iptables DNAT über Tunnel resultiert in falsche Source-IP bein SYN-ACK

  • Thread starter Thread starter Deleted member 11691
  • Start date Start date
D

Deleted member 11691

Guest
iptables DNAT über Tunnel resultiert in falsche Source-IP beim SYN-ACK

Hallo,

folgendes Problem stellt sich mir gerade in den Weg:

Ich habe Server 1 und Server 2 über einen IPIP-Tunnel verbunden und kann damit wunderbar OpenVZ-Maschinen erreichen, die IP-Adressen wie 10.x.y.100, 10.a.b.101, etc. haben. Um diese im Internet erreichbar zu machen habe ich von Hetzner für jeden Server jeweils 3 IPv4-Adressen bei denen ich nun mit DNAT die einzelnen Ports auf verschiedene vServer mappe (jeder vServer macht hier jeweils einen anderen Dienst). Nun wollte ich einen vServer, der auf Server 1 liegt über eine IP-Adresse von Server 2 zugänglich machen, wobei folgendes das Problem ist:

(Das Problem konnte ich nur "grafisch" darstellen, daher hier ein Sprunge von meinem Problem)
http://sprunge.us/ZYKO

Hierbei muss ich dazusagen, dass am Server 2 die richtige Source-Adresse von Client 1 ankommen soll und nicht einfach eine von iptables SNAT-Adresse, womit es dann logischerweise funktioniren dürfte.

Die Konfiguration von Server 1 ist:
http://sprunge.us/HYEc

Die Konfiguration von Server 2 ist:
http://sprunge.us/MUQa

Auf Server 1 und Server 2 habe ich zuerst versucht, Port 25 (SMTP) auf einen einzigen vServer der auf Server 1 liegt zu DNATten, was aufgrund oben genanntem Problem misslungen ist. Dann habe ich versucht, Port 5353 von Server 1 auf Server 2 zu DNATten, das dann auch nicht ging. Ein tcpdump auf Server 1 auf eth0 verrät den SYN (mit den Tests auf Port 5353), ebenso ein tcpdump auf nekotun0 auf Server 1 und 2, hier kommt aber nie ein SYN-ACK. Ein tcpdump auf Server 2 auf eth0 verrät dann, dass der SYN-ACK hier mit der Source-IP von Server 2 eth0 und der Destination-IP vom Client direkt rausgeschickt wird, ohne über den Tunnel geroutet zu werden.

Ich hoffe, ihr versteht mein Problem und könnt mir hier weiterhelfen, denn ich bin da schon mit meinem Latein am Ende :)

Danke und Liebe Grüße,

Fusl
 
Last edited by a moderator:
Back
Top