2WAN a portforwarding

[HonzaC]

Zdravim ve spolek.
Potreboval bych poradit od nekoho z mistnich linux/sitovych guru, neb mam problem s portforwardingem na 2WAN routeru a nejsem si jist, zda to je problem muj (nastaveni), vyrobce (spatny firmware) ci spatny napad (obecne).

Doma mam server, teda vlastne stanici, na ktery bezi SSH, VNC, Rsync. Snad mi linuxaci odpusti, ze na WinXP 
Protoze potrebuji zajistit pomerne vysokou jistotu dostupnosti, poridil jsem si druhy internet (jednou wifi, jednou adsl) a hledal dual Wan router, kterych jako hotovych krabic neni po certu mnoho.
Nakonec jsem koupil Tenda TEI480T+

problem: potrebuju nastavit portforwardy pro obe WAN, na ssh i dalsi porty.
konfiguracni rozhrani to vyzaduje pro kazdou WAN zvlastni pravidlo, prislo mi to logicke a jenom jsem znejistel, kdyz mi WAN1:8022 => <localni_ip>:8022 (TCP) a WAN2:8022=> <lokalni_ip>:8022 (TCP) oznacil za duplicitni pravidlo a odmitnul ulozit. Zacal jsem tusit potize.

Tenhle problem jsem obesel, prvni pravidlo bylo nastaveno na TCPIP, druhe na Both (TCP+UDP).

Jenze portforward se chova divne. Jednou to jde pres WAN1, nikoliv pres WAN2, jindy zas naopak, nikdy najednou. Laboroval jsem s ruznymi kombinacemi nastaveni, ale ani po 4 hodinach jsem v tom nenasel vzor, proste co restart routeru ci zmena pravidel, to jina WAN s pf funkcni.

Proto bych moudre hlavy tady poprosil o nakopnuti spravnym smerem:

1. je myslenka 2 WAN a 2 portforwardu soubezne spatne od zakladu? Prijde mi ze ne, ze snad chci neco, co chce dost lidi a nemel by byt problem uz v tom napadu...
2. je ci muze to byt tohle problem jen odflaknutyho firmware?
3. je ci neni to obecne vlastnost daneho vyrobku? (Ze to zkratka neumi, tento router od tohoto vyrobce, ale jiny treba ano)?
4. ma nekdo doporuceni na jiny kousek hardwaru, na kterem tohle ma spolehlive odzkouseno? (jen podotykam, ze linux trochu pobiram, ale na produkcni nasazeni preferuju hotovou krabicku)
5. existuje tu nejaka teoreticka moznost probourat se do firmwaru a prepsat si podle sebe? (Asi pro nejakyho gurua, ale zeptat se muzu)

pripadne, pokud vsechno selze, predbezne jsem vyguglil, ze k tomu ucelu se hodi distro pfSense, mate nekdo zkusenost, na zaklade ktere muzete pro muj pripad (2WAN, failover, NAT s pf) tuto distro doporucit?

Predem dekuju za jakykoliv typ, neb vim dost na to, ze jsem v zasade amater, ale ted vaham, kde tedy je zakopany pes.

H.C.

[Reklama]

[lejtkin]

A ty dvě WAN linky jedou obě zároveň s nějakým load-balancingem a nebo chceš mít první jako backup pro případ, že druhá nefunguje (fail-over). Dobrou zkušenost mám se značkou Vigor Draytek, tak se na ně případně podívej.

[HonzaC]

jde mi o fail-over, samozrejme jsem zkusel i load balancing i custom ruler.

[Dalimil Gala]

Možná by bylo dobré abys popsal podrobněji, jak si představuješ, že to bude fungovat. Obecně musíš zajistit, aby příchozí i odchozí pakety jednotlivého TCP nebo UDP spojení šly přes stejný WAN interface a se správnou zdrojovou adresou odchozích paketů. Neznám tvůj router, možná to umí automaticky.

[HonzaC]

Dobra, predstavuji ci to takhle:
na serveru za natem sedi Win, s VNC, rsyncem a SSH.
Do routeru vede kabel od wifi ISP a modem v bridge rezimu.

V dome (mysleno v lokalni siti), at si kdo chce surfuje jak chce (fail-over, loadbalancing, je mi to jedno).

Ale z dalky bych se chtel na server dostat skrz NAT - (portforwarding) pres obe konektivity.
A to nejde, hapruje a chova se kazdou chvili jinak.

Nejsem si jist, zda fail-over znamena (to jsem si puvodne myslel): pro surfare doma, kdyz WAN1 vypadne, leze ven WAN2, ale jinak o WAN2 nevi a dovnitr lze lezt libovolne (WAN1 i WAN2),
... anebo ... (diky za inspiraci, vyzkousim)...
ze failover znamena, ze dokud WAN1 neklekne, ven ALE I DOVNITR se leze vyhradne pres WAN1. (coz mi neštimuje, protoze se mi i pri nastaveni failover darilo dovnitr vlezt chvilkami i pres WAN2)

Router ma 3 mozna nastaveni DualWAN rezimu:
a) fail over, plus urcuju si primarni WAN
b) inteligent load balancing
c) custom ruler (+ vse nezachycene v pravidlu via WAN1)

... z toho bych usuzoval, ze ma puvodni myslenka (dovnitr cimkoliv) by mela byt spravna.

Ted mozna prokazu zakladni teoreticke nedostatky, ale mel jsem za to, ze NAT funguje tak, ze odchozi spojeni na vzdaleny server (s urcenym portem, dle sluzby) vyvola v routeru zaevidovani lokalniho portu, kterym mi zpet tece odpoved... a proto taky, kdyz mi server odpovida, odpovida mi na port, ktery mu s daty prisel, ze ma pro odpoved pouzit. A NAT je zodpovedny za to, aby toto cislo, de facto casove omezenou rezervaci, evidoval, tedy az do nejakeho timeoutu a pro predani odpovedi do vnitrni site pouzil.

Procez, kdyz komunikace vznika zvenku a v ceste je NAT, existuje tu instrument portforwardu, aby NAT vedel, kam dovnitr to ma poslat, kdyz o tom slysi poprve.

A jestli je ma idea o NATu spravna, pak bych ji u "dualWAN" ocekaval v pozmenene logice tak, ze router udrzuje tabulku o tom, ktery port, routerem prideleny pri odchozim spojeni nalezi kteremu WAN (co byl zrovna pouzit, at uz v ramci load balancingu nebo fail-overu) ci lokalni IP a podle toho se chova. Nicmene, (jestli jsem ted nekapl na podstatu pruseru), kdyz definuji pod dualWAN portforward, jehoz definici je i pro kterou WAN portforward stanovuji, NAT to pusti tam kam ma (lokalni IP), ale pri odpovedi zevnitr NAT nevi kam (WAN1/2) odpovedet? Zil jsem v presvedceni, ze jde-li prichozi konexe zvenci, dovnitr se to propusti podle portforward pravidla a odpoved zpet jde (router posila) do spravneho WAN podle toho, s jakym portem pro odpoved pozadavek prisel.... a ze za to je ten "skvely drahy dual WAN router" vlastne placen.

Rikam to spravne nebo melu z cesty?

[Reklama]

[HonzaC]

+ jeste dodam, ze situace, kdy jedna konektivita resi smer dovnitr a jina druha ven... je vec pro profiky, ne pro me amatera, dale predpoklada nejakou aktivni spolupraci i na druhe strane tech dvou dratu a rozhodne neni v naplni prace hotove krabicky za 3,5 tisice. Ale treba jsem jeste vetsi amater, nez si myslim... to je mozne.

[Dusan Zatkovsky]

Len strelim od boku workaround - nevie windows 2 ip-cky na 1 interface tak, ako linux? Tzn. jeden forward by bol wan1->ip1 a druhy wan2->ip2. Ale je otazne ako to bude fungovat na uvedenom routeri a ci to vobec bude fungovat. Principialne totiz v tom co chces nevidim ziaden problem.

[HonzaC]

No, kdyz uz bych mel jit na to od lesa, napadaji me i lepsi reseni.
Spis premyslim a zjistuji, zda je problematicky koncept (chci blbost) ci firmware (a hodim router vyrobci na hlavu) a pripadne, zda nekoupit jine zarizeni, neb obecne v SOHO produktech (hotovy krabicky) dost casto portforward hapruje:
 - nektere routery se pri pridani 9. pravidla portforwardu zacinaji chovat divne (nektera pravidla nejedou)
 - nektere routery maji rovnou kolonky fixne jen na 8-10 pozic/pravidel
 - nektere routery neumoznuji port urcit rozsahem
 - nektere, resp. vetsina routeru umi pf jen na stejne cislo portu (8022=>22 tak neni mozne)

2 IP na jednom Win stroji se me nejak nepozdavaji, tolik zas M$ neverim. A router podle me, bude mit spis problem s duplicitnim cislem portu nez dupl. IP, ale to je jen odhad.

Mozna reseni:
1/ nekdo zde mi napise "router ABC model 123 to spolehlive umi, mam vyzkouseno". Pak vytasim dalsi $ a koupim, budu-li vedet, ze je proc. Doporuci nekdo podle overene zkusenosti?
2/ nekdo zde mi napise: vsechny hotovy chytry krabicky stoji za starou backoru, upec si vlastni FW/NAT pocitac s konkretni distribuci. Co jsem zjistoval, pfSense je pry dobry, ale treba mi doporucite neco jineho. Na kazdy pad, zkompilovat si vlastni gentoo a trapit se s iptables a ruznyma skriptama ci hledat stovky ruznych "zapni v kernelu podporu pro abc" neni na muj naturel, takovej linuxak nejsem. A dalsimu pocitaci, co mi doma huci (a zere 150W) nonstop jsem se chtel vyhnout. A v zasade, kdyz nebude zbyti, toz nastuduju a naucim se nakonec vsechno, ale desitky, ne-li stovky hodin vyjdou ponekud draz, nez koupit "chytrou krabicku" za radove tisice.
3/ na Win masine rozjet ve VMware dalsi OS, bridge sitovku s vlastni IP a soft (VNC, ssh, ...) dalsi na dalsich portech. ... slozite, nedokonale, divne
4/ na Win masine rozjet ve VMware treba ten pfSense (lze stahnout rovnou VMw image), 3 virutalni NIC, ale to nevim, zda uz nefantaziruju moc. Anebo 3 sitovky, ale 3 sitovky pod WIN - z toho podle meho nekouka nic dobreho
5/ v teto chvili router unese 2 pravidla na 1 IP, dvou roznych portu bez potizi (pres 1 WAN portforwardy pro SSH a rsync jedou). Jako reseni me take napadlo dany software mit na serveru pod dvema portama (ssh napriklad na 8022 a 9022). Jenze: nevidim jako realne napriklad freeSSHd na Win mit jako dve instance - myslim, ze by to nefungovalo a zaroven, ten soft neumi poslouchat na vice portech. Rsync (presne DeltaCopy od Synematrics) stejna story. Zacal jsem studovat OpenSSH pro Win - coz podle aktivity na SourceForge a nadavkach v tamnim foru vypada taky lehce na tragedii (2. pokus o implementaci, lastupdate 2009, a predtim 2004, ), BTW, co na Win doporucite na SSHd? (potrebuji tunelovani a login klicem)

... tedy, kdyz na to tak koukam, poloreseni je dost, ale spravne funkcni router by byl asi nejsnazsi