Lokales Netz kommt nicht nach draussen - Routingproblem?

chw · Beitrag von **chw** » 25.01.2005 12:16:42

Hallo,

habe hier einen Rechner der als Firewall funktionieren soll. Er wird direkt vor die Cisco aufgestellt. Bislang habe ich die FW nicht aktiviert. Ersteinmal ist das Netz zu konfigurieren. Das lokale Netz liegt in 10.53.11.0/24 das DMZ in 10.53.191.0/24. Unsere Cisco hat die 10.53.191.1.

Folgendes sagt ifconfig:

Code: Alles auswählen

eth0      Protokoll:Ethernet  Hardware Adresse 00:04:75:8C:5E:56
          inet Adresse:10.53.191.2  Bcast:10.53.191.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6758 errors:55 dropped:0 overruns:1 frame:95
          TX packets:6078 errors:0 dropped:0 overruns:0 carrier:12
          Kollisionen:7 Sendewarteschlangenlänge:1000
          RX bytes:8472858 (8.0 MiB)  TX bytes:668140 (652.4 KiB)
          Interrupt:18 Basisadresse:0xdc00

eth1      Protokoll:Ethernet  Hardware Adresse 00:04:75:8C:5E:57
          inet Adresse:10.53.11.1  Bcast:10.53.11.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3016 errors:0 dropped:0 overruns:1 frame:0
          TX packets:1716 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:423635 (413.7 KiB)  TX bytes:905871 (884.6 KiB)
          Interrupt:19 Basisadresse:0xd800

lo        Protokoll:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:149 errors:0 dropped:0 overruns:0 frame:0
          TX packets:149 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:16264 (15.8 KiB)  TX bytes:16264 (15.8 KiB)

route gibt folgendes aus:

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
10.53.11.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.53.191.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         10.53.191.1     0.0.0.0         UG    0      0        0 eth0

dann noch ein netstat -r:

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
localnet        *               255.255.255.0   U         0 0          0 eth1
10.53.191.0     *               255.255.255.0   U         0 0          0 eth0
default         10.53.191.1     0.0.0.0         UG        0 0          0 eth0

und schließlich die /etc/interfaces:

Code: Alles auswählen

### etherconf DEBCONF AREA. DO NOT EDIT THIS AREA OR INSERT TEXT BEFORE IT.
auto lo eth0 eth1

iface lo inet loopback

iface eth0 inet static
        address 10.53.191.2
        netmask 255.255.255.0
        broadcast 10.53.191.255
        gateway 10.53.191.1

iface eth1 inet static
        address 10.53.11.1
        netmask 255.255.255.0
        broadcast 10.53.11.255
        

### END OF DEBCONF AREA.  PLACE YOUR EDITS BELOW; THEY WILL BE PRESERVED.

Nach meinem Verständnis eigentlich soweit alles richtig. Nur wenn ich jetzt von einem Client aus dem lokalen Netz ein ping auf die Cisco (10.53.191.1) machen will, kommt er nicht über die Konfiguration hier rüber. Ein ping auf die 10.53.191.2 (eth0 im neuen Rechner) geht. Auch die 10.53.11.1 (eth1 im neuen Rechner) kann ich von einem Client aus dem 10.53.11.0/24er Netz anpingen.

Vom neuen Rechner kann ich über die Cisco andere Rechner in unserem Intranet anpingen (z.b. aus dem 10.17er Kreis).

Was mich wundert ist, das bei dem route Befehl das looback device gar nicht aufgeführt ist, obwohl es in der /etc/interfaces konfiguriert ist. Fehlt dort noch ein Routingeintrag, oder wo liegt der Hund begraben?

Wie gesagt FW ist aus, und ip_forward ist auf 1.

Edit:
Als Netzwerkkarten benutze ich 2 Stück 3Com PCI 3c905C (Tornado) die auch lt. dmesg richtig erkannt werden vom Treiber
Als Kernel benutze ich 2.4.27-1-686 (Debian Kernel-Image)

Gruss,
Christian

ernohl · Beitrag von **ernohl** » 25.01.2005 12:42:06

Was sagen denn die Routing-Einträge und Netzmasken der Clients?

chw · Beitrag von **chw** » 25.01.2005 12:52:23

ernohl hat geschrieben:Was sagen denn die Routing-Einträge und Netzmasken der Clients?

Die Routing-Einträge sind bei den Clients unverändert geblieben. Ich muss dazu sagen, das der neue Rechner (Debian) einen alten Rechner (Mandrake) ersetzen soll. Da mit dem alten Rechner alles funzt, und die Einträge dort auch gleich sind (bis auf den Routing-Eintrag für lo bei route -n) brauche ich doch eigentlich nix auf den Clients änderen. Es sind übrigens alles Windows-Clients.
Als Gateway ist auf den Clients die 10.53.11.1 des neuen Rechners eingetragen.

Gruss,
Christian

ernohl · Beitrag von **ernohl** » 25.01.2005 13:09:27

chw hat geschrieben:Da mit dem alten Rechner alles funzt, und die Einträge dort auch gleich sind (bis auf den Routing-Eintrag für lo bei route -n) brauche ich doch eigentlich nix auf den Clients änderen.

Ich komme nicht dahinter, wie die Konfiguration mit dem "alten Rechner" aussah. Wenn es vorher ein Class-A-Netz war, musst du die Netmask ändern.

chw · Beitrag von **chw** » 25.01.2005 13:11:13

ernohl hat geschrieben:
chw hat geschrieben:Da mit dem alten Rechner alles funzt, und die Einträge dort auch gleich sind (bis auf den Routing-Eintrag für lo bei route -n) brauche ich doch eigentlich nix auf den Clients änderen.
Ich komme nicht dahinter, wie die Konfiguration mit dem "alten Rechner" aussah. Wenn es vorher ein Class-A-Netz war, musst du die Netmask ändern.

Die IP-Adressen haben sich nicht geändert!
Wo meinst Du, muss ich die Netmask ändern?

Gruss,
Christian

ernohl · Beitrag von **ernohl** » 25.01.2005 13:47:48

chw hat geschrieben:Die IP-Adressen haben sich nicht geändert!
Wo meinst Du, muss ich die Netmask ändern?

So wie ich deine Konfiguration verstehe, fungiert die Firewall als Router zwischen zwei Class-C-Netzen. Damit müssen auch die Clients die Netmask 255.255.255.0 (für Class C) haben.

Joghurt · Beitrag von **Joghurt** » 25.01.2005 14:01:06

ernohl hat geschrieben:Damit müssen auch die Clients die Netmask 255.255.255.0 (für Class C) haben.

Denn 10.x.y.z ist ein Class A Netz, mit der default-netmask 255.0.0.0

ernohl · Beitrag von **ernohl** » 25.01.2005 14:55:23

Joghurt hat geschrieben:
ernohl hat geschrieben:Damit müssen auch die Clients die Netmask 255.255.255.0 (für Class C) haben.
Denn 10.x.y.z ist ein Class A Netz, mit der default-netmask 255.0.0.0

Ja, eigentlich ist dieser Bereich für Class-A-Netze vorgesehen. Wie man diese Bereiche aber nutzt, ist eine ganz andere Geschichte. Wie man oben sehen kann (jedenfalls interpretiere ich das so), wurden hier zwei Class-C-Netze (10.53.11.0 und 10.53.191.0) angelegt. Man beachte die Netmasken.

Joghurt · Beitrag von **Joghurt** » 25.01.2005 15:48:23

ernohl hat geschrieben:Man beachte die Netmasken.

Schon. Die Frage war ja, ob die Netmasken auch in den Clients angepasst wurden.