Source-Based Routing einrichten

Wenn deinem Server eine zweite IP-Adresse aus einem anderen Subnet über ein getaggtes VLAN zugewiesen wird, stellt Source-Based Routing sicher, dass Traffic von dieser IP über den richtigen Gateway geleitet wird. Ohne Source-Based Routing nutzt der gesamte ausgehende Traffic den Standard-Gateway, was zu asymmetrischem Routing führt, das Probleme mit Firewalls und Diensten verursachen kann.

warnung

Asymmetrisches Routing wird in unserem Netzwerk zukünftig blockiert. Die Einrichtung von Source-Based Routing ist daher bei der Verwendung von zusätzlichen IP-Adressen aus einem anderen Subnet erforderlich.

Voraussetzungen

• Abonnement: Zusätzliche IPv4-Adresse aus einem anderen Subnet
• VLAN <VLAN-ID> muss von nine.ch Support auf dem Port eingerichtet sein
• bond0 Netzwerkschnittstelle

Netplan

Öffne /etc/netplan/55-interfaces.yaml im Editor deiner Wahl:

vi /etc/netplan/55-interfaces.yaml

Eine vollständige Netplan-Konfiguration mit Source-Based Routing über ein getaggtes VLAN könnte so aussehen:

network:
  version: 2
  ethernets:
    eno1:
      dhcp4: false
      dhcp6: false
      accept-ra: false
    eno2:
      dhcp4: false
      dhcp6: false
      accept-ra: false
  bonds:
    bond0:
      addresses:
        - 198.51.100.10/24
      nameservers:
        addresses:
          - 217.150.241.5
          - 217.150.242.21
          - 178.209.45.7
        search:
          - nine.ch
      macaddress: 1f:2f:3f:4f:5f:6f # MAC-Adresse des ersten Netzwerk-Interface (eno1)
      interfaces:
        - eno1
        - eno2
      parameters:
        mode: "802.3ad"
        mii-monitor-interval: "100"
        lacp-rate: "fast"
        transmit-hash-policy: "layer3+4"
      routes:
        - to: 0.0.0.0/0
          via: 198.51.100.1
  vlans:
    vlan<VLAN-ID>:
      id: <VLAN-ID>
      link: bond0
      addresses:
        - 203.0.113.10/24
      routes:
        - to: 203.0.113.0/24
          table: 100
          on-link: true
        - to: 0.0.0.0/0
          via: 203.0.113.1
          table: 100
      routing-policy:
        - from: 203.0.113.10/32
          table: 100
          priority: 100

Bevor du die Netplan-Konfiguration aktivierst, kannst du diese auf Syntax-Fehler und Netzwerkprobleme prüfen:

netplan try

Solltest du die neue Konfiguration erfolgreich getestet, aber noch nicht mittels netplan try aktiviert haben, hole dies mit dem nachfolgenden Befehl nach:

netplan apply

Und verifizieren mit:

ip rule show
ip route show table 100

Weitere Informationen findest du unter: man netplan

ifupdown (legacy)

tip

Bitte verwende nach Möglichkeit Netplan. Die folgenden Informationen dienen lediglich der Vollständigkeit.

Stelle sicher, dass das Paket vlan installiert ist:

apt install vlan

Öffne /etc/network/interfaces im Editor deiner Wahl:

vi /etc/network/interfaces

Füge das VLAN-Interface und die Source-Based-Routing-Regeln hinzu:

auto bond0
iface bond0 inet static
    hwaddress ether 1f:2f:3f:4f:5f:6f
    address 198.51.100.10
    netmask 255.255.255.0
    gateway 198.51.100.1
    bond_slaves eno1 eno2
    bond_primary eno1
    bond_mode 4
    bond_miimon 100
    bond_xmit_hash_policy layer3+4
    bond_lacp_rate 1

auto bond0.<VLAN-ID>
iface bond0.<VLAN-ID> inet static
    address 203.0.113.10
    netmask 255.255.255.0
    vlan-raw-device bond0
    up ip route add 203.0.113.0/24 dev bond0.<VLAN-ID> table 100
    up ip route add default via 203.0.113.1 table 100
    up ip rule add from 203.0.113.10/32 table 100 priority 100
    down ip rule del from 203.0.113.10/32 table 100 priority 100
    down ip route del default via 203.0.113.1 table 100
    down ip route del 203.0.113.0/24 dev bond0.<VLAN-ID> table 100

Und starte das Netzwerk neu:

systemctl restart networking

Weitere Informationen findest du unter: man interfaces