Problemer med at sætte static netværk op (2 netkort)

[thomasjohansen]

Jeg har en mailserver som har to netværks indgange, en til hvert af de interne netværk.

eth0: 192.168.0.127 giver adgang via routeren til indkommende forspørgsler på div. mail porte, fra internettet.
eth1: 10.192.67.102 giver kun adgang fra det lokale netværk.

Jeg har mine grunde til at opsættet skal være sådan.

Hvis jeg starter dem op i eth0 og derefter eth1 så kan jeg ikke få fat på eth0 udefra og ind via telnet. men hvis jeg bytter om på opstarts rækkefølgen så kan jeg sagtens få fat i begge, hvorfor?

De virker også hvis jeg istedet for static ip, sætter dem op med dhclient3.

Mit bud er at der går noget galt med at route.

Hvis en af jer har en ide til en mere "stabil" opsætning som ikke er afhængig af opstarts rækkefølge og andre tilfældigheder lytter jeg gerne.



Er det et problem at mailserveren lytter på to netværks kort, eller kan den selv finde ud af hvor forespørgslerne kommer fra og sende svar den rigtige vej?





Grunden til denne lidt spøjse opsætning, er at alle brugerne i lokalnetværket skal kunne tilgå mailserveren uden først at skulle ud på internettet.
Samtidig skal brugerne ude af huset også kunne tilgå mailserveren.
Dette er i bund og grund let nok, men det skal ikke være let, for jeg har desværre ikke adgang til vores router og må ikke få åbnet for diverse porte, så mailserveren skal derfor placeres på et andet netværk så jeg kan åbne diverse porte til brugerne udefra.

[lath]

Jeg har en mailserver som har to netværks indgange, en til hvert af de interne netværk.

eth0: 192.168.0.127 giver adgang via routeren til indkommende forspørgsler på div. mail porte, fra internettet.
eth1: 10.192.67.102 giver kun adgang fra det lokale netværk.

Jeg har mine grunde til at opsættet skal være sådan.
...
Dette er i bund og grund let nok, men det skal ikke være let, for jeg har desværre ikke adgang til vores router og må ikke få åbnet for diverse porte, så mailserveren skal derfor placeres på et andet netværk så jeg kan åbne diverse porte til brugerne udefra.

Det er bedre at du fortæller din netværksadmin at du ikke vil have SMTP porten åbnet, men at du som email-sysadmin gerne vil have NATet SMTP porten (port 25) til en mail-serverens IP adresse: 192.168.0.127:25. Det gælder både fra 10 netværket, og for hosts ude på internettet.

Derefter kan du nøjes med at holde mail-serveren kørende på 192.168-0.127:25, routeren ordner resten

Hvis jeg starter dem op i eth0 og derefter eth1 så kan jeg ikke få fat på eth0 udefra og ind via telnet. men hvis jeg bytter om på opstarts rækkefølgen så kan jeg sagtens få fat i begge, hvorfor?

De virker også hvis jeg istedet for static ip, sætter dem op med dhclient3.

Mit bud er at der går noget galt med at route.

Rækkefølgen har en betydning.

Hvis en af jer har en ide til en mere "stabil" opsætning som ikke er afhængig af opstarts rækkefølge og andre tilfældigheder lytter jeg gerne.

Hvis du lader mail serveren bruge alle tilgængelige interfaces (NICs) - vil Linux(kernen) automatisk gøre serveren tilgængelig på det net når det sættes til at gå on-line.

Alle tilgængelige interfaces er IP adressen 0.0.0.0

Er det et problem at mailserveren lytter på to netværks kort, eller kan den selv finde ud af hvor forespørgslerne kommer fra og sende svar den rigtige vej?

Fra TCP protokollen får kernen at vide hvilken fjern IP adresse og port der kontaktede systemet.
Derefter slår kernen op i en tabel hviket PID (Proces ID=program) der er tilknyttet til mål port nummeret.
Efter at kernen har behandlet pakken i dens firewall (Linux systemer har kun 1 firewall, og den bor i kernen) bliver pakken sendt videre til programmet, som så behandler det på sin egen program-specifikke måde. Her er den program-specifikke måde så SMTP protokollen, som er i applikationslaget.

(I andre: Det her den simple forklaring - det er meget mere avanceret. F.eks. er multi-tasking delen udeladt.)

Grunden til denne lidt spøjse opsætning, er at alle brugerne i lokalnetværket skal kunne tilgå mailserveren uden først at skulle ud på internettet.
Samtidig skal brugerne ude af huset også kunne tilgå mailserveren.

Det er bedre at lade en router om det arbejde, og kun have mail-serveren kørende på 1 IP adresse.

/Lars

[thomasjohansen]

Tak for inputs.

De to interne netværk hænger på ingen måde sammen.

10.192.67.xxx er hele hoved netværket, hvor alle brugere sidder.
Routeren til dette kan jeg ikke ændre noget ved, har prøvet at få nogle ting igennem uden succes. Den styres af et meget konservativt firma.

Derfor har jeg et sekundært netværk, 192.168.0.xxx, her styrer jeg selv routeren.


Derfor har jeg også NICS i mailserveren, så brugerne ikke behøver at gå på internettet for at få adgang til mailserveren.

ang. det med opstarts rækkefølgen af netværket, så har jeg fundet ud af at begge er sat til default, så her skal laves lidt ændringer.

[lath]

Tak for inputs.

De to interne netværk hænger på ingen måde sammen.

10.192.67.xxx er hele hoved netværket, hvor alle brugere sidder.
Routeren til dette kan jeg ikke ændre noget ved, har prøvet at få nogle ting igennem uden succes. Den styres af et meget konservativt firma.

Derfor har jeg et sekundært netværk, 192.168.0.xxx, her styrer jeg selv routeren.


Derfor har jeg også NICS i mailserveren, så brugerne ikke behøver at gå på internettet for at få adgang til mailserveren.

ang. det med opstarts rækkefølgen af netværket, så har jeg fundet ud af at begge er sat til default, så her skal laves lidt ændringer.

Jeg går ud fra at du har en router imellem de 2 net - så 10.192.67.0/24 netværket er det net der har en eller flere router ud til internettet.
For har du det så går hosts pakke på 10.192.67.0/24 netværket ikke via internettet, hvis din router via en ICMP* pakke kan fortælle en host (på 10.192.67.0/24 netværket) at den får en hurtigere route til din mailserver ved at bruge din router.
Jeg ved dog ikke om det kræver at det lidet samarbejdsvenlige firma du omtaler også skal konfigurere deres egen router for at det vil virke.

Får du alt for store problemer kan du bare leje dig ind på en debian maskine (et VPS) hos f.eks http://www.vps4less.de/, som er super-billige (fra 3,99€ til 21,99€ pr måned), men så skal alle via internettet for at snakke med din mailserver.

/Lars

*: http://www.iana.org/assignments/icmp-parameters