Hi,
bitte nicht schlagen, aber irgendwie habe ich heute 'n DAU-Knoten in /dev/brain und im Netzwerk.
Szenario:
Ein Server (Debian-Sarge) mit zwei NIC's:
eth0 zuständig für: 192.168.1.0, zukünftig N1
eth1 zuständig für: 192.168.2.0, zukünftig N2
Variante 1:
N1 soll von N2 aus erreichbar sein (in N1 liegen router ins Internet, nameserver, samba etc.), N2 hingegen geht N1 nichts an.
Gehe ich richtig in der Annahme, dass dafür folgende Bedingungen erfüllt sein müssen:
Auf dem server /proc/sys/net/ipv4/ip_forward auf 1;
auf den clients in N2 ein
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0
auf den Clients in N1 nicht dergleichen
Problem: Ich kann unter diesen Bedingungen nicht von N2 nach N1 pingen, ein Versuch wird abgebügelt mit destination host unreachable
Was fehlt mir noch?
Variante 2 (Idealfall):
N2 soll auch N1 nicht direkt nutzen können, sondern nur über den N1-Router das WWW erreichen können; lässt sich das allein mit einem Proxy machen oder ist trotz proxy auch ein netzwerübergreifendes routing nötig?
Routing-Problem
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Re: Routing-Problem
das regelst du mit "iptables" auf dem router.outis hat geschrieben: Ein Server (Debian-Sarge) mit zwei NIC's:
eth0 zuständig für: 192.168.1.0, zukünftig N1
eth1 zuständig für: 192.168.2.0, zukünftig N2
Variante 1:
N1 soll von N2 aus erreichbar sein (in N1 liegen router ins Internet, nameserver, samba etc.), N2 hingegen geht N1 nichts an.
ja.Auf dem server /proc/sys/net/ipv4/ip_forward auf 1;
du musst das gateway für das netz angeben, nicht die schnittstelle, die ja nicht in diesem netz liegt.auf den clients in N2 ein
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0
Problem: Ich kann unter diesen Bedingungen nicht von N2 nach N1 pingen, ein Versuch wird abgebügelt mit destination host unreachable
"iptables" kann das in der "FORWARD chain" regeln.Variante 2 (Idealfall):
N2 soll auch N1 nicht direkt nutzen können, sondern nur über den N1-Router das WWW erreichen können; lässt sich das allein mit einem Proxy machen oder ist trotz proxy auch ein netzwerübergreifendes routing nötig?
herrchen
-
DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Eine Ergänzung noch zu herrchens Beitrag:
Wenn die Clients in N1 den N1-Router (WWW) als Standardgateway verwenden, können sie auf pings aus dem Netz N2 nicht antworten, da ihnen eine Route in das Netz N2 fehlt.
Am einfachsten ist in dem Fall, dem N1-Router die Route ins N2-Netz mitzugeben. Damit ist die Sache für die N1-Clients geregelt. Die N2-Clients bekommen den Debian-Server als Standard-Gateway.
Was von N2 nach N1 bzw. von N1 nach N2 darf regelst du mittel iptables in der FORWARD-CHAIN des Debian-Servers.
Wenn die Clients in N1 den N1-Router (WWW) als Standardgateway verwenden, können sie auf pings aus dem Netz N2 nicht antworten, da ihnen eine Route in das Netz N2 fehlt.
Am einfachsten ist in dem Fall, dem N1-Router die Route ins N2-Netz mitzugeben. Damit ist die Sache für die N1-Clients geregelt. Die N2-Clients bekommen den Debian-Server als Standard-Gateway.
Was von N2 nach N1 bzw. von N1 nach N2 darf regelst du mittel iptables in der FORWARD-CHAIN des Debian-Servers.