Telekom-DSL-Router, Netzwerkeinstellungen

[fischig]

Mach ich glatt!

Erst mal ein goßes Dankeschön für deine große Geduld und deine Hilfe!

[MSfree]

1. Hätte ich dann zwei hier zuhause (dnsmasq auf dem Linux-Router und noch einen auf dem DSL-Router).

Zwei DHCP-Server sind in diesem Fall sogar notwendig.

Von zwei DHCP-Servern im Heimnetz wurde hier im DF immer abgeraten.

Jein. Ein DHCP-Server pro Subnetz ist überhaupt keine Problem. Wenn du 5 Subnetze betriebst, brauchst du sogar 5 DHCP-Server. Wenn alle 5 Subnetze vom selben Router ausgehen, kann in diesem Sonderfall auch ein einzelner DHCP-Server alle Subnetze versorgen. Du hast aber zwei Router kaskadiert, folglich brauchst du auch zwei DHCP-Server, auf jedem Router einen.

Von was hier im DF immer abgeraten wird ist, zwei DHCP-Server im selben Subnetz zu betreiben. Das geht auf jeden Fall schief. Auch zwei Subnetze auf dem selben Kabel zu betreiben, läßt sich nicht sauber mit DHCP lösen.

Den auf dem DSL-Router will ich nicht abschalten, weil ich den für das Gäste-WLAN benötige

Gäste-WLAN = anderes Subnetz.

2. komme ich bei meinen fünf bis sechs Klienten im Heimnetz ganz gut mit festen IPs zurecht.

Ein DHCP-Server lohnt sich bereits für nur einen einziegen Client.

[fischig]

Danke für die Klarstellung!

Offtopic:

Ein DHCP-Server lohnt sich bereits für nur einen einzigen Client.

Zugegeben, händische IP-Verwaltung ist etwas aufwendiger zu pflegen. Aber DHCP für ein im Prinzip statisches kleines Heimnetz hat mir nie eingeleuchtet und leuchtet mir auch jetzt nicht ein. Bei meinen Nachforschungen konnte ich mich nie des Eindrucks erwehren: Jeder macht's, weil's halt da ist. Vorteile, die mich beeindruckt hätten, sind mir nie aufgefallen. Etwas anderes ist es natürlich schon, wenn man sich mobil in unterschiedlichen Netzen bewegt. Da wird dann - weil da DHCP-Server werkeln - gar nichts anderes übrig bleiben. Uns so ist der WoMo-Klapprechner auch konfiguriert: zu Hause hat der eine feste IP und unterwegs bezieht er sie halt via DHCP - ganz ohne wicd, Netzwerkmanager, etc. Hat hier immer problemlos funktioniert.
Ist so'n bisschen wie mit grub: jeder nutzt ihn aber keiner braucht ihn wirklich. Sagt man was Abweichendes, kommt das Totschlagargument: „veraltet“.

[dufty2]

Ich vermute mal, man braucht deshalb iptables (NAT), da der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Reine Vermutung von mir.

[fischig]

Ich vermute mal, man braucht deshalb iptables (NAT), da der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Reine Vermutung von mir.

Aber eine ziemlich plausible, finde ich! Mal schauen, ob jemand Besseres oder Genaueres weiß.

[mat6937]

... der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".

Wenn ein Client aus dem Subnetz des Telekom-router als gateway fungieren kann (und das kann er i. d. R.), dann routet er hier auch "fremde Netze".
Evtl. kann hier jemand zeigen wie man hier ressourcenschonender, Routing statt source-NAT mit iptables, benutzen kann und auf iptables verzichten kann.

[fischig]

Den alten Linux-Router habe ich vor mehr als fünf, wahrscheinlich vor sieben oder acht Jahren mal anhand einer Shorewall-Anleitung der LUG Krefeld eingerichtet. https://www.lug-kr.de/wiki/ShoreWall Vorher hatte ich Ipcop. Vielleicht erhellt das jemanden, der mehr versteht von iptables als ich.

Die Seite sieht ziemlich anders aus, als ich sie in Erinnerung habe, aber das am Ende sichtbare Datum (2012) scheint mir immer noch zu passen.

edit:
Ich blicke nicht ganz durch, welche womöglich überflüssigen Regeln/Kommandos ich wie auskommentieren soll. Dass das letzte Kommando betroffen ist, vermute ich mal.

Was mir noch einfällt, angesichts meiner Vorliebe für statische IPs - und damit komme ich auf meinen Eingangsbeitrag zurück: Der alte Linuxrouter hatte die Endnummer 251. Statische IPs kann ich im DSL-Router nicht eintragen, nur einen Namen und die MAC. Die neue MAC hat er jetzt. Würde er automatisch die IP mit der Endnummer 251 akzeptieren, wenn ICH die am neuen Linux-Router eintrüge. Das ersparte mir einige Umstellungen bei den Klienten.

[mat6937]

edit:
Ich blicke nicht ganz durch, welche womöglich überflüssigen Regeln/Kommandos ich wie auskommentieren soll. Dass das letzte Kommando betroffen ist, vermute ich mal.

Diese:

Code: Alles auswählen

## iptables -I FORWARD 1 -o eth1 -i eth0 -s 192.168.3.0/24 -m conntrack --ctstate NEW -j ACCEPT
## iptables -t nat -I POSTROUTING 2 -o eth0 -j MASQUERADE

EDIT:

BTW: Die Regelnummer bei der verbliebenen (wirksamen) Regel der FORWARD chain, musst Du dann von 2 auf 1 ändern:

Code: Alles auswählen

iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

[fischig]

Letzte Anregungen umgesetzt. Funktioniert. Nochmals danke!

Damit ist das Thema eigentlich gelöst, aber ich bin noch unschlüssig bei der Frage, ob ich die beiden IPs des neuen Linux-Routers

Code: Alles auswählen

192.168.100.250
192.168.3.250

einfach ändern kann auf

Code: Alles auswählen

192.168.100.251
192.168.3.251

Es versteht sich, dass in diesem Fall der alte Linux-Router nicht mit dem DSL-Router verbunden sein darf.
Der DSL-Router lässt keine händische IP-Eingabe zu, nichtdestotrotz akzeptiert er die 192.168.3.250, obwohl die außerhalb des von mir seinem DHCP-Server zugestandenen IP-Raumes liegt.

Bei einem ersten Versuch hat der IP-Wechsel nicht funktioniert, aber dafür will ich Fehleingaben meinerseits noch nicht ausschließen.

Unabhängig davon:
Meine Rückfrage bezüglich des Erkenntnisgewinns der von mir angesprochenen Kommandos war so gemeint: Ich vermute, ihre Ausgaben konnten auch nicht erklären, warum bis dahin keine Klienten-Verbindung mit dem DSL-Router/Internet möglich war.

[mat6937]

Damit ist das Thema eigentlich gelöst,...

Naja, es fehlt noch die ressourcenschonendere Lösung (Alternative) _ohne_ iptables-Regeln, dafür aber mit Routing.

... aber ich bin noch unschlüssig bei der Frage, ob ich die beiden IPs des neuen Linux-Routers

Code: Alles auswählen

192.168.100.250
192.168.3.250

einfach ändern kann auf

Code: Alles auswählen

192.168.100.251
192.168.3.251

Es versteht sich, dass in diesem Fall der alte Linux-Router nicht mit dem DSL-Router verbunden sein darf.
Der DSL-Router lässt keine händische IP-Eingabe zu, nichtdestotrotz akzeptiert er die 192.168.3.250, obwohl die außerhalb des von mir seinem DHCP-Server zugestandenen IP-Raumes liegt.

Wenn Du dem Client die IP-Adressen manuell zuweist, dann sollen bzw. dürfen diese IP-Adressen ja von außerhalb der DHCP-range (DHCP-Pool) des DHCP-Servers beim DSL-Router sein. Probleme gibt es m. E. evtl. temporär, wenn der arp-cache des DSL-Routers noch die alte "Kombination" MAC-Adresse<->IP-Adresse (der neighbours) beinhaltet.

[fischig]

Naja, es fehlt noch die ressourcenschonendere Lösung (Alternative) _ohne_ iptables-Regeln, dafür aber mit Routing.

Wenn's die denn gibt bei meiner konkreten Kombination! Bisher steht ja nur die (allgemeine) Behauptung im Raum. Und ich vermag mir schon vorzustellen, dass der Telekom-DSL-Router da seine „eigenen“ Vorstellungen hat.

Probleme gibt es m. E. evtl. temporär, wenn der arp-cache des DSL-Routers noch die alte "Kombination" MAC-Adresse<->IP-Adresse (der neighbours) beinhaltet.

Das ließe sich durch einen Neustart des DSL-Routers ausschalten - richtig?

[mat6937]

... ich vermag mir schon vorzustellen, dass der Telekom-DSL-Router da seine „eigenen“ Vorstellungen hat.

Der Telekom-DSL-Router ist hier in diesem Fall (d. h. Kommunikation zwischen Client und Telekom-DSL-Router, via Linux-Router) nicht relevant und könnte auch mit einem anderen Gerät ersetzt werden.

Das ließe sich durch einen Neustart des DSL-Routers ausschalten - richtig?

Ja, Neustart sollte OK sein.

EDIT:

Auf dem Telekom-DSL-Router konnte man kein tcpdump (oder gleichwertig) starten. Mit einem anderen Gerät (Linux als OS, für tcpdump) hätte man evtl. sehen können, dass der Ping vom Client, das Gerät erreichen kann, aber den Weg zurück nicht kennt. Source-NAT sorgt dafür, dass der Weg zurück bekannt ist. Das sollte dann auch nur mit Routing (statt mit iptables) gemacht werden.

[fischig]

Ja, Neustart sollte OK sein.

Hat funktioniert!

[fischig]

Bezüglich der Frage: Geht Router-Betrieb ohne NAT (und damit iptables)

Du hast mit iptables aus deiner Linuxkiste einen NAT-Router gemacht. NAT ist aber zu Kommunikation zwischen deinem Linuxrouter und dem Telekomrouter nicht nötig.

Ich stelle mal folgende Überlegung zur Diskussion:
Der Linux-Router ist das einzige mit dem DSL-Router verbundene Gerät. Ohne NAT auf dem Linux-Router, schickte der DSL-Router alle Internet-Anfragen aus dem LAN zurück an den Linux-Router, der diese dann aber nicht mehr an die anfragenden Maschinen weiterleiten könnte, weil wegen fehlendem NAT nicht mehr bekannt.
Ergo geht bei meiner Kombination Internet-Routing NICHT ohne NAT und damit ohne iptables auf dem Linux-Router. MSfrees These ist zumindest praktisch nicht relevant?

[MSfree]

Um estmal etwas anschaulicher mit Zahlen zu machen:

Ich nutze hier als Beispiel ein LAN hinter dem Linuxrouter mit dem IP-Bereich 10.0.1.0/24
Der DSL-Router spannt ein LAN mit dem IP-Bereich 192.168.1.0/24 auf

Code: Alles auswählen

(LAN  10.0.1.0/24)  -> Linuxrouter -> (LAN 192.168.1.0/24) -> DSL-Router -> Internet

In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Der DSL-Router NATet dann nochmal von 192.168.1.0/24 auf die IP-Adresse deines Inernetproviders. DoppelNAT kann man sich sparen.

Das einzieg, was nötig ist, ist das Setzen einer Statischen Route im DSL-Router. Wo du das in seinem Konfigurationsmenü findest, weiß ich von hier natürlich nicht. Aber, du mußt dem DSL-Router mitteilen, daß das Netz 10.0.1.0/24 über den Linuxrouter mit der IP 192.168.1.??? zu leiten ist. Der Weg von den 10.0.1.0/24-Clients über den Linuxrouter braucht man nicht speziell definieren, denn der Linuxrouter weiß die Route von 10.0.1.0/24-Netz in das 192.168.1.0/24-Netz automatisch.

(Das 10er-Netz ist hier natürlich nicht zwingend notwendig, es erleichtert aber die Lesbarkeit, weil eben völlig andere Bereiche gewählt sind. Genauso gut hätte ich auch 192.168.2.0/24 schreiben können, das wäre aber schwieriger von 192.168.1.0/24 im Lesefluß zu unterscheiden)

[mat6937]

In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Der DSL-Router NATet dann nochmal von 192.168.1.0/24 auf die IP-Adresse deines Inernetproviders. DoppelNAT kann man sich sparen.

Das einzieg, was nötig ist, ist das Setzen einer Statischen Route im DSL-Router. ... Aber, du mußt dem DSL-Router mitteilen, daß das Netz 10.0.1.0/24 über den Linuxrouter mit der IP 192.168.1.??? zu leiten ist.

Aber wenn doch geNATet wird, bekommt der DSL-Router (als "border device") dann überhaupt mit, dass es Datenpakete aus dem Subnetz 10.0.1.0/24 gibt bzw. sind? Wenn der DSL-Router das nicht mitbekommt, dann wird er die in ihm konfigurierte statische Route (die Du beschrieben hast) doch auch nicht anwenden können bzw. nicht benutzen, oder?

[MSfree]

Aber wenn doch geNATet wird, bekommt der DSL-Router (als "border device") dann überhaupt mit, dass es Datenpakete aus dem Subnetz 10.0.1.0/24 gibt bzw. sind?

Mein Vorschlag zielte darauf ab, das erste NAT im Linuxrouter zu vermeiden.

Du kannst entweder DoppelNATen oder im Linuxrouter normal routen. Wenn du zweimal NATest, braucht man die statische Route im DSL-Router natürlich nicht, sie schadet aber auch nicht. Wenn du das erste NAT wegläßt, ist die statische Route im DSL-Router zwingend notwendig.

[mat6937]

Wenn du das erste NAT wegläßt, ist die statische Route im DSL-Router zwingend notwendig.

OK. @fischic, im Linux-Router die z. Zt. vorhandenen iptables-Regeln:

Code: Alles auswählen

## iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
## iptables -t nat -I POSTROUTING 1 -o eth1 -j MASQUERADE

kommentieren (damit sie nicht mehr wirksam sind), im DSL-Router die statische Route konfigurieren, danach Alles (DSL-Router, Linux-Router und Client-PC) rebooten und nach dem reboot, testen.

[fischig]

In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24

Also meine bisherige Konfiguration ist das wohl nicht.

im DSL-Router die statische Route konfigurieren

Ich kann keine solche Einstellung auf dem Speedport Smart 3 finden.

[MSfree]

Also meine bisherige Konfiguration ist das wohl nicht.

Die Zahlen nicht, das Prinzip aber schon.

Ich kann keine solche Einstellung auf dem Speedport Smart 3 finden.

Ein Router, bei dem man keine Routen definieren kann, echt absurd.
Naja, die Speedports sind halt auch nur Plastikdosen. Dann geht's halt nur mit DoppelNAT.

[fischig]

Also meine bisherige Konfiguration ist das wohl nicht.

Die Zahlen nicht, das Prinzip aber schon.

Nicht nachollziehbar. Es gibt hier schlicht kein zweites Netz.

[mat6937]

Es gibt hier schlicht kein zweites Netz.

Aber Du benutzt doch:

Code: Alles auswählen

192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1  # DSL-Router
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0   # Linux-Router

, oder?

[fischig]

Das muss ich jetzt est mal verdauen. Ich benutze zwar:
iface eth1 inet static
address 192.168.3.251
gateway 192.168.3.1

Aber dass das via
netmask 255.255.255.0
broadcast 192.168.3.255
Ein zweites Netz aufspannen soll, ist mir noch nie in den Sinn gekommen. Wie hätte man sich also eine Hin- und Rückroute (ohne iptables) vorzustellen, wenn, sagen wir, ein client mit der internen IP 192.168.100.151 über sein gateway 192.168.100.251 eine Anfrage ans Debianforum (IP habe ich gerade nicht zur Hand) richtete?

[mat6937]

Ein zweites Netz aufspannen soll, ist mir noch nie in den Sinn gekommen.

Aber das hast Du doch schon gemacht. Der DSL-Router hat das Subnetz 192.168.3.0/24 und der Linux-Router (mit seinen Clients) hat das Subnetz 192.168.100.0/24.

Wie hätte man sich also eine Hin- und Rückroute (ohne iptables) vorzustellen, wenn, sagen wir, ein client mit der internen IP 192.168.100.151 über sein gateway 192.168.100.251 eine Anfrage ans Debianforum (IP habe ich gerade nicht zur Hand) richtete?

Na das hat MSfree doch geschrieben: Mit der statischen Route im DSL-Router (border device).

Der Linux-Router mit seiner WAN-IP-Adresse aus dem Subnetz 192.168.3.0/24, ist das gateway.

[fischig]

Die Rückroute leuchtet mir noch nicht ein.