Edu 9 (Stretch): gateway für eth0 auf eth1

[tardis]

Hallo Forum,

ich hoffe, jemand von euch kann mir helfen...denn ich bin mittlerweile so verwirrt, ich finde keinen Lösungsweg mehr.
Für mein Schulnetzwerk möchte ich gerne die aktuelle Edu-Version Stretch nutzen.
Nun habe ich dies testweise aufgesetzt und die Installation lief auch gut durch.
Der Aufbau ist, dass über eine Netzwerkkarte vom Server (hier eth0) das LAN für die Clients zur Verfügung gestellt wird und über eth1 geht der Server in den Router für Internet.

Die Clients erhalten alle eine ip aus dem dyn. DHCP Pool und der Server kommt ins Internet.
Vom Client kann ich auch gosa aufrufen, um ihn fest aufzunehmen - aber ins Internet komme ich mit dem Client nicht. Der Ping vom Server auf den Client geht auch nicht.

Eth0 bekommt von Edu die ip 10.0.2.2 mit dem gw 10.0.0.1 (inet static) das ist so voreingestellt,
Eth1 bekommt die ip 172.27.16.2 mit dem gw 172.27.16.1 (inet static) von mir eingetragen.

Nachinstalliert habe ich dnsmasq, iptables-persistent. iptables sind wieder leer und ich habe vorher verschiedenste Regeln erstellt, sogar alles erlaubt, aber kein Erfolg.
Ip-forwarding ist aktiviert und liefert eine 1 zurück.

Das gw 172.27.16.1 taucht in route -n erst auf, wenn ich es über route add hinzufüge. Nach einem reboot ist der Eintrag aber wieder verschwunden und der Server kommt dann natürlich auch nicht mehr ins Internet.

Also folgender Aufbau:
client--eth0--eth1--router--internet (und alles wieder zurück)
Wo kann ich noch nachschauen warum die Clients keine Internetverbindung erhalten?

Ach und noch was: ich werde in unregelmäßigen Abständen abgemeldet, also richtig ausgeloggt aus der Sitzung ohne Vorwarnung. Ein bug in Stretch?

Bin für jeden Tipp dankbar!
Viele Grüße, tardis

[dufty2]

Da ich mit DebianEdu nicht vertraut bin, habe ich mir mal die Topologie unter
https://wiki.debian.org/DebianEdu/Curre ... ogy_scheme
angeschaut.
Dein Server spielt also die Rolle des "main server (tjener) 10.0.0.2",
die von Dir angegebene 10.0.2.2 ist wohl ein Tippfehler.

Bei Dir sind quasi "Schulnetz" (10.0.0.0/8) und "Schülernetz" (192.168.0.0/24) vertauscht an eth1 bzw. eth0.

Normalerweise kann man keine 2 Defaultgateways haben (wenn wir mal loadbalancing/etc. außer Acht lassen),
deshalb ist bei Dir die "gw 10.0.0.1" falsch, welches bei Dir ja das "Schülernetz" repräsentiert, also das Netz mit den thin-clients1/2/3/...

Wenn Du Deine Topologie so beibehalten willst, müssten die clients die 10.0.0.2 als gateway bekommen
und Dein Router muss zusätzlich zum 172.27.16.0/30(?) auch das 10.0.0.0/8 kennen (falls Du das 10er-Netz nicht an Deinem Server NAT-ten willst).
Denn die 10.0.0.1 gibt es bei Dir gar nicht, alternativ halt jene statt der 10.0.0.2 am eth0 verwenden.

[tardis]

Hallo dufty2,

danke für deine Antwort.

In Stretch hat sich der Aufbau geändert, siehe:
https://jenkins.debian.net/userContent/ ... anual.html

Das default gateway ist hier 10.0.0.2, die Einstellungen in meinem Router sind aber fest vergeben durch die Behörde. Deshalb kann ich nur am Server die Einstellungen anpassen. Irgendwo mache ich einen Denkfehler, aber ich habe mittlerweile so viel ausprobiert, dass ich den besagten Wald nicht mehr sehe...

Nun installiere ich das System (in Xen) nochmal neu; vielleicht habe ich während der Installation schon einen Fehler begangen, der mir entgangen ist.

Viele Grüße
Tardis

[BenutzerGa4gooPh]

Das default gateway ist hier 10.0.0.2, die Einstellungen in meinem Router sind aber fest vergeben durch die Behörde.

Zusätzliche Netze (neues 172 ... ) hinter weiteren Routern (inkl. dem nunmehrigen Debian-Router) müssen dem Gateway bekannt gemacht werden, z. B. mit einer statischen Route. Sonst klappt der Rückweg der Pakete nicht - weil der GW schlicht und einfach nicht weiss, wohin damit.

Evtl. kann man was machen, in dem man 10.0.0.0/8 weiter subnetted, also Teilbereiche z.B. /12 oder /16 vor und hinter der routenden Debiankiste verwendet. Dann nutzt der Gateway Summenrouten - ohne Veränderung. Ob/wie das mit der speziellen Distribution klappt, weiss ich nicht. Debian lässt per Konfig-Dateien eigentlich alles zu. Wenn nicht, könnte man einen zusätzlichen Billig-Router (mit DDWrt oder OpenWrt) dafür einsetzen, die Debian-Büchse benötigt nur noch 1 NW-Karte.

Stichworte wären subnetting und route summarization.

Edit:
Noch einfacher wäre ein NAT-Router: https://www.heise.de/ct/artikel/Router- ... 25801.html
(Der "verträgt" sogar doppelte Adressen LAN vs. WAN)

oder lt Manual:

Falls Sie bereits einen Router haben, diesen aber nicht entsprechend konfigurieren können (keine Berechtigung, technische Gründe), dann könnte ein System mit zwei Netzwerkschnittstellen in ein »Gateway« umgewandelt werden; wählen Sie dazu bei der Installation das Debian-Edu-Profil »Minimal«.

Nach der Installation

Die Datei »/etc/network/interfaces« anpassen.

Den Rechnernamen permanent auf »gateway« ändern.

IP-Forwarding und NAT für das Netzwerk 10.0.0.0/8 einrichten.

Als Option eine Firewall und / oder ein Programm zur Kontrolle der Netzwerkbelastung (traffic shaping) installieren.

https://jenkins.debian.net/userContent/ ... work_setup

Für weiteren Support wäre ein Netzwerkplan hilfreich.

[tardis]

Hallo Jana,

danke für deine Antwort.

Ich hatte die Hoffnung, das eth1 als Transportnetz für das lan von eth0 zu konfigurieren.
Denn sonst würde ich diesen "minimal-Router" zwischen meinen Router und Server nochmal installieren.
Sollte das alles nicht mit ip-forwarding und dnsmasq funktionieren?

Habe nochmals alles aufgesetzt:

Code: Alles auswählen

root@tjener:/skole/tjener/home0/dmin# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.27.16.1     0.0.0.0         UG    0      0        0 eth1
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
172.27.16.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
 

Code: Alles auswählen

root@tjener:/skole/tjener/home0/dmin# ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.2.2  netmask 255.0.0.0  broadcast 10.255.255.255
        inet6 fe80::a236:9fff:fef2:77e4  prefixlen 64  scopeid 0x20<link>
        ether a0:36:9f:f2:77:e4  txqueuelen 1000  (Ethernet)
        RX packets 3063  bytes 283032 (276.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 716  bytes 80403 (78.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfb500000-fb5fffff  

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.27.16.2  netmask 255.255.255.0  broadcast 172.27.16.255
        inet6 fe80::a236:9fff:fef2:77e5  prefixlen 64  scopeid 0x20<link>
        ether a0:36:9f:f2:77:e5  txqueuelen 1000  (Ethernet)
        RX packets 4908  bytes 2153750 (2.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1844  bytes 183952 (179.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfb400000-fb4fffff  

eth2: flags=4098<BROADCAST,MULTICAST>  mtu 1500
        ether a0:36:9f:b5:12:00  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0                                                                              
        TX packets 0  bytes 0 (0.0 B)                                                                                            
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfb200000-fb2fffff  

eth3: flags=4098<BROADCAST,MULTICAST>  mtu 1500
        ether a0:36:9f:b5:12:01  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xfb100000-fb1fffff  

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Lokale Schleife)
        RX packets 4604  bytes 2050223 (1.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4604  bytes 2050223 (1.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Code: Alles auswählen

#/etc/network/interfaces
auto lo
iface lo inet loopback
    dns-search intern
    dns-nameservers 127.0.0.1

auto eth0
iface eth0 inet static
    address 10.0.2.2
    netmask 255.0.0.0
    broadcast 10.255.255.255
    gateway 10.0.0.1

auto eth1
iface eth1 inet static
address 172.27.16.2
netmask 255.255.255.0

Nach wie vor: clients erhalten eine IP aus dem dyn. Pool und Server kommt ins Internet (aber nur wenn ich nachträglich "route add -net 0.0.0.0 netmask 0.0.0.0 gw 172.27.16.1 einfüge).

Tja, da bin ich am selben Punkt wieder...Vielleicht ist das mit der Vorgabe für den Router von der Behörde auch einfach nicht möglich.

Danke für eure Hilfe bisher. Ich muss mir was anderes einfallen lassen.
Viele Grüße, tardis

[dufty2]

In Stretch hat sich der Aufbau geändert, siehe:
https://jenkins.debian.net/userContent/ ... anual.html

Danke für den Link, soviel hat sich aber nicht geändert.
Wenn man darin liest, kommt man - so wie jana auch - zur folgenden Stelle

Falls Sie bereits einen Router haben, diesen aber nicht entsprechend konfigurieren können (keine Berechtigung, technische Gründe), dann könnte ein System mit zwei Netzwerkschnittstellen in ein »Gateway« umgewandelt werden; wählen Sie dazu bei der Installation das Debian-Edu-Profil »Minimal«.

Und das entspricht genau Deinem Fall: Die 10.0.0.1 gibt es bei Dir so nicht, also muss der Server tjener das selbst übernehmen. Und zum eigentlichen Gateway hin (bei Dir 172.27.16.1) wird dann über Deine 172.27.16.2 ge-nat-tet.
Sie haben sogar ein kleines scriptchen angegegeben:

Code: Alles auswählen

 #!/bin/sh
 # Turn a system with profile 'Minimal' into a gateway/firewall. 
 #
 sed -i 's/auto eth0/auto eth0 eth1/' /etc/network/interfaces
 sed -i '/eth1/ s/dhcp/static/' /etc/network/interfaces
 echo 'address 10.0.0.1' >> /etc/network/interfaces
 echo 'netmask 255.0.0.0' >> /etc/network/interfaces
 hostname -b gateway
 hostname > /etc/hostname 
 service networking stop
 service networking start
 sed -i 's#NAT=#NAT="10.0.0.0/8"#' /etc/default/enable-nat 
 service enable-nat restart

[tardis]

Diesen Punkt habe ich mir auch durchgelesen, aber ich finde ihn etwas vage beschrieben.
Soll das Skript auf dem Server ausgeführt werden oder in einem Verzeichnis hinterlegt werden; soll nochmal irgend ein ausgedienter Rechner mit zwei Netzwerkkarten zwischen dem Server und dem Switch aufgebaut werden oder zwischen dem eigentlichen Router und einem Switch...?

Das ist das was ich meine, ich habe soviel ausprobiert dass ich nicht mehr weiß wo ich anfangen soll. Ich muss sagen dass ich Debian technisch noch recht unerfahren bin, da ich jahrelang einen suse sles administriert habe. Es ist schon eine ziemliche Umstellung...nur wenig ist noch da, wo es sein sollte
Aber ich bin auch erst seit einer Woche dran, vielleicht muss ich mir noch etwas mehr Zeit geben

[dufty2]

Soll das Skript auf dem Server ausgeführt werden oder in einem Verzeichnis hinterlegt werden; soll nochmal irgend ein ausgedienter Rechner mit zwei Netzwerkkarten zwischen dem Server und dem Switch aufgebaut werden oder zwischen dem eigentlichen Router und einem Switch...?

Mmmh, da steht "... wählen Sie dazu bei der Installation das Debian-Edu-Profil »Minimal«"
Weiterhin habe ich geschrieben:
Die 10.0.0.1 gibt es bei Dir so nicht, also muss der Server tjener das selbst übernehmen.

[BenutzerGa4gooPh]

Und das entspricht genau Deinem Fall: Die 10.0.0.1 gibt es bei Dir so nicht, also muss der Server tjener das selbst übernehmen. Und zum eigentlichen Gateway hin (bei Dir 172.27.16.1) wird dann über Deine 172.27.16.2 ge-nat-tet.

Ui, da hatte ich wohl vohandenes und neues Netz vertauscht/missverstanden.
War mir auch nicht ganz sicher, deshalb

Für weiteren Support wäre ein Netzwerkplan hilfreich.

@tardis:
Beim Planen kommt man manchmal zu Erkenntnissen. Und eine gute Vorlage/Doku hast du. Support erfolgt dann mit gemeinsamen Gundlagen und Begriffen.

[tardis]

Hallo nochmal,

nun habe ich mich in Ruhe mit eurem Hinweis auf das Handbuch nochmal auseinander gesetzt und "minimal" installiert.
Nun funktioniert alles soweit.

Vielen Dank für eure Mühe und Geduld!