[gelös] Netzwerk konfig richtig, Route richtig, NAT FALSCH !

loi · Beitrag von **loi** » 17.10.2005 16:55:02

Hi

Ich habe vor, ein kleines Netzwerk zu bauen. Es sollte dann so aussehen:

ADSLsignal-->modem<-->[eth1:router:eth0]<--->switch<---->[eth0:pc1] und weiter am switch

Die pc1-n sollen jeweils feste IPs haben.
Die /etc/network/interfaces von PC1 sieht im Moment so aus:

Code: Alles auswählen

auto eth0
iface eth0 inet static
address 10.10.10.10
netmask 255.0.0.0
network 10.0.0.0
broadcast 255.255.255.255
gateway 10.10.10.1

Der Routerpc hat 2 netzwerkkarten: eth0 und eth1, diese werden auch erkannt und bei ifconfig angezeigt.
Die dortige konfigdatei:

Code: Alles auswählen

auto eth0
iface eth0 inet static
address 10.10.10.1
netmask 255.0.0.0
network 10.0.0.0
broadcast 255.255.255.255

auto eth1
iface eth1 inet dhcp

das modem/router war früher direkt an pc1 angeschlossen, es vergibt ips mittes dhcp im bereich 10.10.10.5-10.10.10.25 uns hat die (interne) ip 10.10.10.30. Seine externe Ip bekommt er dynamisch von Bluewin.

Auf dem routerpc läuft ein standart NAT-script von harry,s iptables generator.
Macht vileicht keinen sinn, 2 gateways hintereinanderzuschalten, aber das modem wird dann mal ne bridge geben. Und es sollte ja trozdem gehen.

Nun zum Problem: LAN pings gehen, vom pc1 zum router auf eth0 und zurück an pc1 auch. ABER: ich lann weder vom pc1 noch vom router das modem pingen !!
komme also nicht raus ins inet !

Stehe als Anfänger im Bereich Netzwerk total auf der Leitung!

mfg loi

cosmac · Beitrag von **cosmac** » 17.10.2005 21:07:54

hi,

das Problem ist, dass du auf beiden Seiten des Routers das gleiche Netzwerk 10.0.0.0
hast. Es gibt viele Moeglichkeiten, das zu verbessern, aber ich lass' dir keine Wahl

Die internen Adressen gehoeren auf 192.168.7.x umgestellt. Wenn du lieber statische
magst, na gut, aber ich wuerde die PCs gleich auf DHCP umstellen und den die 192.168
vergeben lassen. Umstellen musst du auf jeden Fall, aber mit DHCP nur einmal. Das
Sarge-Paket dazu heisst "dhcp3-server".

Die Broadcast-Adressen sollten 10.255.255.255 bzw. 192.168.7.255 sein.

Ob der Modem/Router die richtigen DHCP-Daten an den Debian-Router vergibt,
siehst du mit "ifconfig eth1", "route -n" und "cat /etc/resolv.conf" -- nicht dass es
schon da Probleme gibt.

P.S.: warum gerade 192.168.7.x? Weil die 0- und 1- Netzwerke oft bei
WLAN-Schachteln, Druckern, Telefonanlagen usw. voreingestellt sind und
ich sowas nicht direkt und unkonfiguriert in meinen Netzwerk haben will.

P.P.S: auch als Anfaenger solltest du nicht auf der Leitung stehen, Patchkabel
sind relativ empfindlich, so kann man auch seinen Ping versauen!

loi · Beitrag von **loi** » 18.10.2005 13:02:49

Hi

zuerst mal Danke.
Mit dem Lan klappts jetzt

Habe die Adressen umgestellt...
Vom Routerpc komm ich ins LAN und ebeso ins INET.
Aber vom PC1 kann ich nur im LAN pingen.
Aber erstaunlicherweise kann ich eth1 pingen ?!
Also ligt es wahrscheinlich nicht am NAT-script ?

Will ich zb das modem pingen (ping 10.10.10.30) gehts nicht !
Hier die Ausgaben von route -n:
Routerpc:

Code: Alles auswählen

Kernel IP Routentabelle
Ziel                Router          Genmask         Flags Metric Ref    Use Iface
192.168.7.0  0.0.0.0          255.255.255.0 U       0          0       0     eth0
10.0.0.0        0.0.0.0          255.0.0.0         U        0          0       0    eth1
0.0.0.0          10.10.10.30  0.0.0.0             UG      0         0        0   eth1

PC1

Code: Alles auswählen

Kernel IP Routentabelle
Ziel                 Router          Genmask         Flags Metric Ref    Use Iface
10.0.0.0         0.0.0.0           255.0.0.0         U       0      0          0 eth0
0.0.0.0           192.168.7.15     0.0.0.0            UG    0      0          0 eth0

sorry für den unschön formatierten code.
Ich denke, es stimmt etwas mit den routs nicht, aber was ?

mfg Loi

Beitrag von **KBDCALLS** » 18.10.2005 14:08:23

Wenn dann kannste sowas auch hierhin http://nopaste.debianforum.de/ posten

__________________________ /edit: verkürzt (warum war das so?) Savar

loi · Beitrag von **loi** » 19.10.2005 21:40:02

Hi

Ich stell mal die Frage genauer:

WAN--->[(ext.IP):Router/Modem:(10.10.10.30)]<--->[(10.10.10.9)eth1:Routerpc:eth0(192.168.7.15)]<--->[(192.168.7.10)eth0:Client]

-Was für Gateway einträge muss ich auf dem routerpc in /etc/network/interfaces für eth0 bzw eth1 machen?

-brauchen BEIDE eine gateway-zeile ?

Bin sehr dankbar für irgendwelche Tipps

mfg Loi

Savar · Beitrag von **Savar** » 19.10.2005 21:53:21

also der Router braucht als Gateway die IP des Modems/Router und die PCs brauchen als Gateway die IP des Routers.. desweiteren scheint das aber schon zu funktionieren und ich denke eher das dein NAT auf dem Router nicht funktioniert... das Skript für iptables solltest du mal nach http://nopaste.debianforum.de posten..

loi · Beitrag von **loi** » 19.10.2005 22:48:13

Hi

So, hab mal das NAT-script, die konfig /etc/network/interface und die ausgabe von route -n des Routerpc nach nopaste gepostet [1]

Das NAT-script stammt von [2]
Hatte es generiert OHNE ein Häckchen zu ändern, dachhte mir, dann wirds sicher laufen.
(Verstehe die NAT-seite der ipt noch nicht so)

Bin auch froh um Kommentare wie: "Das stimmt so...", um die Fehlerursache etwas einzugrenzen...

mfg Loi

[1]: http://nopaste.debianforum.de/1389
[2]: http://harry.homelinux.org/modules.php? ... _Generator

Savar · Beitrag von **Savar** » 19.10.2005 23:38:08

dir fehlt folgendes:

Code: Alles auswählen

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth1 -s eth0 -j MASQUERADE

Aber keine Garantie!

loi · Beitrag von **loi** » 20.10.2005 13:35:50

Hi

Hab die 2 Zeilen mal zwischen zeile 76 und 77 eingefügt...
Hat leider nix gebracht !
Musste allerdings -s eth0 auf -s 192.168.7.15 ändern.

Ich komme Irgendwie nicht von eth1 weg, aber eth1 ist anpingbar -> NAT läuft ??

Hab langsam keine Ahnung mehr !
Baue schon seit ca ner Wochen dran herum...

mfg Loi

Savar · Beitrag von **Savar** » 20.10.2005 20:59:50

hmm nein nur weil die andere IP anpingbar ist, muss NAT nicht laufen.. da es auf ein und demselben Rechner läuft..

wenn du mal deine IPtables Sachen alle rausnimmst und nur die beiden Zeilen einfügst, klappt das dann?

loi · Beitrag von **loi** » 20.10.2005 22:43:26

Hi

Also: hab das Script immer mehr entlehrt...bis am Schluss nur noch diese beiden Zeilen drinn waren. Hat leider nie was gebracht.

Habe irgendwie den Verdacht, das die Packete NICHT weitergeleitet werden...
Aber WARUM ??
Irgendwie IPTABLES nicht genügend offen ?!

Ist zwar "macht mir die Arbeit" aber wäre trozdem Nett, wenn sich jemand, der etwas mehr von IPT versteht als ich, mal 2 min Zeit nähme, um bei [harry] ein script zu erstellen, das funktioniert, und es nach nopaste postet.

@Savar: schön, das du mir so konsequent hilfst.

mfg Loi

Savar · Beitrag von **Savar** » 20.10.2005 22:54:00

ok mach mal Folgendes:

Code: Alles auswählen

iptables -P ACCEPT INPUT
iptables -P ACCEPT OUTPUT
iptables -P ACCEPT FORWARD
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

geht das danach?

loi · Beitrag von **loi** » 21.10.2005 00:42:26

Hi

Vielen Dank, hat endlich geklappt...
Da fehlte wirklich was im NAT.
Alle Pings erreichen nun ihr Ziel...

Werde mich nun mit einem sicheren NAT beschäftigen.

aber ich wuerde die PCs gleich auf DHCP umstellen und den die 192.168
vergeben lassen.

Ja, jetzt werde ich mich dann auch um DHCP kümmern...
Finde statische vergabe in der Aufbau und Testphase einfach besser.

Noch ne kleine Frage: auf welchem PC würdet ihr den DHCP installieren ?
Ich denke, auf dem Routerpc.

mfg Loi

Savar · Beitrag von **Savar** » 21.10.2005 06:20:10

prinzipiell auf dem Router mit den beiden Interfacen.. alles andere wäre unsinnig.

Wenn du jetzt weiß das NAT funktioniert, dann kannst du jetzt Schritt für Schrit die Regeln einfach mal auf der Konsole hinzufügen die du in deinem Firewallskript hast und dann nach jedem immer wieder pingen damit du rauskriegst wenns wegfällt..