Zwei Lans und ein Debianrouter mit Portforwarding

[za0]

Hallo liebe Debiangemeinde,

ich habe gestern Nacht vergeblich versucht einen Debianrouter zu konfigurieren. Ich habe mir dabei das Beispiel aus der Wiki angeguckt, sogar als Vorlage benutzt, aber es wollte einfach nicht funktionieren.

Vielleicht kann mir einer von Euch helfen.

Bei dem Router geht es nur darum, dass er nach dem Hochfahren automatisch anfängt zwischen zwei lokalen Netzen (192.168.5.0 und 192.168.150.0) zu routen. Die IPs des Routers wären 192.168.5.250 und 192.168.150.250. Wichtig ist, dass die Ports 80, 443 und 22 geforwarded werden.
Also so:
192.168.5.250:80 nach 192.168.150.100:80
192.168.5.250:443 nach 192.168.150.100:443
192.168.5.250:22 nach 192.168.150.101:22

Die komischen IPs muessen leider so lauten

Vielen Dank!

Viele Grüße
za0

[herrchen]

Vielleicht kann mir einer von Euch helfen.

womöglich.
wie lautet deine frage?
was hast du bisher gemacht?
was läuft? was nicht?

Also so:
192.168.5.250:80 nach 192.168.150.100:80
192.168.5.250:443 nach 192.168.150.100:443
192.168.5.250:22 nach 192.168.150.101:22

wie sieht dein iptablesscript bisher aus?

herrchen

[DonSam]

wie sieht dein iptablesscript bisher aus?

Bevor gleich mit iptables losgelegt wird: ist überhaupt das Weiterleiten von IP-Paketen zwischen verschiedenen Interfaces erlaubt?

im Zweifelsfall solltest du folgendes Kommando ausführen - ohne das wird überhaupt nicht geroutet

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

Gruß

[za0]

WICHTIG: ich habe gemerkt, dass wenn dieser Debianserver in Betrieb ist, der DNS nicht mehr richtig funktioniert. Rechner aus dem Netz zu dem er portforwarded können keine Domainnamen anpingen,

Hier die Config:

Code: Alles auswählen

#/bin/bash
# Global variables

EXTDEV=eth0 # Device für Verbindungen zum Internet
INTDEV=eth1 # Netzwerkdevice für Lokale Verbindungen (1. Netzwerkkarte)
INTLAN=192.168.150.0/24
IPTABLES=`which iptables`

test -f $IPTABLES || exit 0

case "$1" in

start)
## Load modules
# modprobe iptable_nat
# modprobe iptable_filter
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp ports=7771,21
# modprobe ip_nat_ftp
# modprobe ip_tables
# modprobe ipt_MASQUERADE
# modprobe ipt_REJECT

## Paketforwarding und Dynamische IP aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

## IP Tabellen leeren
$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t filter -F FORWARD
$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT

## Masquerading
$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o $EXTDEV -s $INTLAN -j MASQUERADE

## Port 80 auf SQUID umleiten, nur für diejenige, die SQUID oder ein anderer Proxy
## installiert haben und nicht wollen, daß das Web ohne Proxy erreichbar ist
## Der default-Port muss gff. entsprechend geändert werden!
#$IPTABLES -t nat -A PREROUTING -i $INTDEV -p tcp --dport 80 -j REDIRECT --to-port 3128
# wichtig weg?


# MSS an PPPoE Gegebenheiten anpassen. Dies hat praktisch keinerlei Einfluss auf die
# Performance und verhindert, dass manche Server einfach nicht erreichbar sind.
# Ist praktisch nur bei DSL erforderlich...
#$IPTABLES -t filter -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

## Erlaube alle lokalen Verbindungen  "allow all on localhost"
$IPTABLES -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

## Festlegen welche Ports geöffnet werden sollten
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 443 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 80 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 22 --syn -j ACCEPT

## Alle anderen Prots werden geschlossen
#$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 1:1024 --syn -j REJECT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 901 --syn -j REJECT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp -s 0/0 -d 0/0 --dport 139 --syn -j REJECT

## Portforwarding
## Edonkey/Overnet:
iptables -t nat -A PREROUTING -i $EXTDEV -p tcp --dport 80 -j DNAT --to-dest 192.168.150.100
## quake3
#iptables -t nat -A PREROUTING -i $EXTDEV -p udp --dport 443 -j DNAT --to-dest 192.168.150.100
## FTP
#iptables -t nat -A PREROUTING -i $EXTDEV -p tcp --dport 22 -j DNAT --to-dest 192.168.150.101
;;

restart)
$0 stop && $0 start
;;
esac

[za0]

Code: Alles auswählen

httping -h 192.168.5.250
PING 192.168.5.250:80 (http://192.168.5.250:80/):
connected to 192.168.5.250:80, seq=0 time=895.87 ms 
connected to 192.168.5.250:80, seq=1 time=292.37 ms 
--- http://192.168.5.250:80/ ping statistics ---
2 connects, 2 ok, 0.00% failed
round-trip min/avg/max = 292.4/594.1/895.9 ms

[za0]

ja, also

Code: Alles auswählen

echo /proc/sys/net/ipv4/ip_forward

liefert den Wert 1

Scheinbar funktioniert das Forwarding wie httping es zeigt (siehe oben).
ABER(!): Jetzt können die Clients aus dem Netz 192.168.150.0 nicht
auf den DNS-Service zugreifen (wie schon oben erwähnt).
Das ist sehr interessant.
Ich überprüfe mal, ob man aus 192.168.150.x einen Rechner aus dem Internet anpingen kann...

[za0]

HAHA, ich muss mich korigieren:

Es funktioniert NICHT nur der DNS nicht, sondern auch noch das Routing generell.
Ich kann nicht einmal einen Rechner aus dem Netz anpingen mit diesem Router.

Ich plugge hier ständig um von FLi4l zu Debian. Der Fli4l-router is auch keine Lösung, da das Portforwarding nicht im zwischen ethernet und ethernet funktioniert. Zumindest in meiner Version. Ich habe auch die neueste ausprobiert - aber wie auch immer. Fli4l ist nicht die Lösung. Ich würde viel lieber nen Debian Router haben. Der Fli4l Router is nur eine vorübergehende Lösung, damit ich überhaupt online sein kann.

[gms]

Die IPs des Routers wären 192.168.5.250 und 192.168.150.250. Wichtig ist, dass die Ports 80, 443 und 22 geforwarded werden.
Also so:
192.168.5.250:80 nach 192.168.150.100:80
192.168.5.250:443 nach 192.168.150.100:443
192.168.5.250:22 nach 192.168.150.101:22

wozu soll ein Portforwarding auf dem Router von einem Interface auf das andere gut sein ? Sowohl der httpd- als auch der ssh-daemon können doch auf mehreren Interfaces lauschen.

Gruß
gms

[za0]

Die IPs des Routers wären 192.168.5.250 und 192.168.150.250. Wichtig ist, dass die Ports 80, 443 und 22 geforwarded werden.
Also so:
192.168.5.250:80 nach 192.168.150.100:80
192.168.5.250:443 nach 192.168.150.100:443
192.168.5.250:22 nach 192.168.150.101:22

wozu soll ein Portforwarding auf dem Router von einem Interface auf das andere gut sein ? Sowohl der httpd- als auch der ssh-daemon können doch auf mehreren Interfaces lauschen.

Gruß
gms

Hi,

das Problem liegt in der ganzen Netzwerkstruktur. Aber die muß leider so bleiben.
In dem Netz 192.168.150.x befinden sich server. Diese müssen da bleiben, wo Sie sind.

Trotzdem sollte der Router seinen Job machen. Die Frage ist jetzt nur: Wo ist der Wurm drin?

[DonSam]

Es funktioniert NICHT nur der DNS nicht, sondern auch noch das Routing generell.
Ich kann nicht einmal einen Rechner aus dem Netz anpingen mit diesem Router.

Entschuldige meine Verwirrung: aber was kannst du jetzt von wo aus nicht anpingen?

Router <--> Internes LAN?
Router <--> Internet?
Internes LAN <--> Internet?

Desweiteren: stellt der Router selbst die Internetverbindung her, oder leitet er sie an ein Gateway weiter?

EDIT: Bitte gib auch nochmal an, von welchem internen Netz du keine Verbindung bekommst

Gruß

[herrchen]

Trotzdem sollte der Router seinen Job machen. Die Frage ist jetzt nur: Wo ist der Wurm drin?

wie sieht denn deine /etc/network/interfaces aus?
ich sehe kein 192.168.5.0 netz.

zu deinem script:
es ist sehr wirr, da die kommentare nicht stimmen und der ganze auskommentierte kram macht es auch nicht übersichtlicher.
die policy sollte sinnvollerweise auf "DROP" stehen und dann werden nur erwünschte pakete erlaubt.
wenn du die ports 1-1024 schliesst, brauchst du dann nicht noch 901 und 139 extra schliessen ...

poste am besten erstmal deine "interfaces" und versuch noch einmal dein netz (verkabelung) etwas genauer zu beschreiben.

herrchen

[gms]

das Problem liegt in der ganzen Netzwerkstruktur. Aber die muß leider so bleiben.
In dem Netz 192.168.150.x befinden sich server. Diese müssen da bleiben, wo Sie sind.

Trotzdem sollte der Router seinen Job machen. Die Frage ist jetzt nur: Wo ist der Wurm drin?

Tut mir leid, aber das erklärt doch nicht warum du von der einen IP (Interface) des Routers auf die andere IP (Interface) des Routers forwarden möchtest. Laut deinen Angaben liegen die Server nicht in dem einen Netz sondern liegen am Router

[DonSam]

Ich hab mir das ganze nochmal überlegt - deine config sieht wohl so aus:

Code: Alles auswählen

eth0:
ip        : 192.168.5.250
network   : 192.168.5.0
netmask   : 255.255.255.0
broadcast : 192.168.5.255

eth1:
ip        : 192.168.150.250
network   : 192.168.150.0
netmask   : 255.255.255.0
broadcast : 192.168.150.255

Du routest also Verkehr zwischen zwei internen LANs, folgende Regel macht da z.B. keinen Sinn:

Code: Alles auswählen

IPTABLES -t nat -A POSTROUTING -o $EXTDEV -s $INTLAN -j MASQUERADE

Diese wird für NAT benutzt, also wenn dein Router sich ins Internet einwählt und mit nur einer Öffentlichen IP ein ganzes LAN mit dem Internetzugang versorgen muss.

Ich würde dir empfehlen: scmeiß erst mal die ganzen Firewallregeln weg, und setze die Policies auf ACCEPT. Das Forwarding an sich, muss natürlich aktiv sein (siehe mein erstes Posting). Dann testest du nochmal die Verbindungen (pings).

Der Router sollte beide Netze erreichen können. Wenn nicht ist wohl was an der Verkabelung oder an der Konfiguration des Netzwerkinterfaces falsch.

Falls das Funktioniert, probierst du pings von einem LAN ins andere (also 192.168.5.x <--> 192.168.150.x). Wenn das nicht funktioniert, kann das z.B. an folgendem liegen:

1) Routing ist nicht aktiv (s.o.)
2) Du hast den Clients noch nicht mitgeteilt, dass das jeweils andere Netz über den Router erreichbar ist.


Gruß
Sam

[herrchen]

Laut deinen Angaben liegen die Server nicht in dem einen Netz sondern liegen am Router

das habe ich anders verstanden:

Die IPs des Routers wären 192.168.5.250 und 192.168.150.250. Wichtig ist, dass die Ports 80, 443 und 22 geforwarded werden.
Also so:
192.168.5.250:80 nach 192.168.150.100:80
192.168.5.250:443 nach 192.168.150.100:443
192.168.5.250:22 nach 192.168.150.101:22

herrchen

[gms]

Ok, sorry nach dreimaligen überprüfen habe ich jetzt endlich alle Zahlen korrekt verglichen und auch eine Ungleichheit festgestellt.
Ich Brauche anscheinend doch eine Lesebrille

Gruß
gms

[DonSam]

Ich verstehe nicht ganz, warum sich hier alle so aufs portforwarding einschießen?

Der Router hängt doch zwischen zwei LANs und soll lediglich IP-Pakete vom einen Netz ins Andere rüberschaufeln. Da muss der überhaupt nichts portforwarden, da Ports erst im TCP-Layer implementiert sind.

Wenn das grundlegende Routing mal funktioniert, kann man sich um Firewallregeln kümmern, aber im Moment scheint ja noch gar nichts zu funktionieren.


Gruß
Sam

[gms]

Ich verstehe nicht so ganz, warum sich hier alle so aufs portforwarding einschießen?

ich auch nicht, wenn gleich meine bisherige Begründung dagegen etwas schwach und nicht sehr stichhaltig war. Aber deine ist dafür umso besser

Gruß
gms

[DynaBlaster]

Evtl. wäre auch mal interessant, welche Gateways die PC's im Netz 192.168.5.0/24 bzw. 192.168.150.0/24 nutzen.
Wenn die nämlich irgendeinen anderen Router (z.B. einen Hardwarerouter) nutzen und dem die Routen in die entsprechende Netze fehlen, sind die beschriebenen Probleme kein Wunder.

Donsam hat Recht. Erstmal sollte das Routing laufen bevor hier mit Paket-Filtereung begonnen wird. Wenn

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward

eine 1 liefert ist soweit alles ok. Aber nur wenn die Clients in 192.168.5.0/24 auch 192.168.5.250 als Gateway nutzen. Entsprechend müssen die Clients in 192.168.150.0/24 192.168.150.250 nutzen.

[herrchen]

Donsam hat Recht. Erstmal sollte das Routing laufen bevor hier mit Paket-Filtereung begonnen wird. Wenn

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward

eine 1 liefert ist soweit alles ok.

das thema sollte durch sein:

ja, also

Code: Alles auswählen

echo /proc/sys/net/ipv4/ip_forward

liefert den Wert 1

herrchen

[DonSam]

Aber nur wenn die Clients in 192.168.5.0/24 auch 192.168.5.250 als Gateway nutzen. Entsprechend müssen die Clients in 192.168.150.0/24 192.168.150.250 nutzen.

Jepp, das meine ich auch. Allerdings sollte man dann noch etwas mehr über die Netzwerktopologie erfahren, sodass man den Router evtl. als default gateway konfiguriert.

Also wie schaut es aus: ich habe immer noch nicht ganz verstanden, wie das Internet ans Netz gebunden ist... gibts da nochmal einen Router in 192.168.5.0 oder 192.168.150.0, der die Verbindung ins Internet herstellt?

Oder ist der Router, der die beiden Netze verbindet, mit einer dritten Netzwerkkarte gesegnet und kümmert sich auch noch gleich um den Internetzugang?

Es wäre wichtig das zu wissen, sodass man sich ein paar vernünftige route bzw. gateway Einträge für die Clients ausdenken kann.

Gruß
Sam

P.S. za0 bist du noch da, oder ist dir schon der Kopf abgeraucht

[herrchen]

Ich verstehe nicht ganz, warum sich hier alle so aufs portforwarding einschießen?

?

Also so:
192.168.5.250:80 nach 192.168.150.100:80

Der Router hängt doch zwischen zwei LANs und soll lediglich IP-Pakete vom einen Netz ins Andere rüberschaufeln.

eben nicht.
er will die IP des routers (192.168.5.250) im browser eingeben und der webserver auf 192.168.150.100 soll die seite ausliefern.

herrchen

[DonSam]

OK, jetzt hab ich es auch verstanden! Ich hatte folgenden Satz aus dem ersten Posting im Hinterkopf, was mich in die Irre führte

Bei dem Router geht es nur darum, dass er nach dem Hochfahren automatisch anfängt zwischen zwei lokalen Netzen (192.168.5.0 und 192.168.150.0) zu routen.

Trotzdem: der Router muss als Gateway beim Rechner 192.168.150.100 eingetragen werden! Ansonsten kommt von dem Rechner nichts zurück, da er nicht wissen kann wie er das Netz erreicht, aus dem die Anfrage kam.

Edit: also falls der "Server" 192.168.150.100 ausschließlich über den einen Router mit anderen Netzen verbunden ist, kannst du folgenden Befehl probieren:

Code: Alles auswählen

ip route add default via 192.168.150.250

oder alternativ:

route add default gw 192.168.150.250

Wenn das Routing dann funktioniert kannst du diese Einstellung permanent vornehmen, indem du die /etc/network/interfaces bearbeitest und beim entsprechenden Interface folgenden Eintrag hinzufügst:

Code: Alles auswählen

gateway 192.168.150.250

Gruß

[DynaBlaster]

eben nicht.
er will die IP des routers (192.168.5.250) im browser eingeben und der webserver auf 192.168.150.100 soll die seite ausliefern.

Ah, jetzt hab ichs auch verstanden. In dem Fall fehlt aber in dem Script ne Zeile, die bereits bestehende Verbindungen auch durchlässt.

Code: Alles auswählen

## Festlegen welche Ports geöffnet werden sollten
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 443 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 80 --syn -j ACCEPT
$IPTABLES -t filter -A INPUT -i $EXTDEV -p tcp --dport 22 --syn -j ACCEPT

allein lässt nämlich nur die Verbindungsanfragen durch:

Code: Alles auswählen

$IPTABLES -t filter-A INPUT -i $EXTDEV -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

sollte helfen, alternativ vielleicht mal die Option --syn entfernen.

[za0]

P.S. za0 bist du noch da, oder ist dir schon der Kopf abgeraucht

Bin noch da. Lese den Thread noch .. gleich melde ich mich

[za0]

er will die IP des routers (192.168.5.250) im browser eingeben und der webserver auf 192.168.150.100 soll die seite ausliefern.

herrchen

Genau das!

Und: aus beiden Netzen:
192.168.5.x und 192.168.150.x soll man ins WAN können.
Der WAN router hat die IP 192.168.5.1.
Ich sage gleich noch was zu den Configs .. lese nur mal weiter, ich den Thread nicht ganz mitverfolgt habe (war immernoch mit problem beschäftigt)

Achso noch was: Pingen konnte ich NUR aus 192.168.150.x nicht.
Naja, ich habe die Config des Routers die ich zuanfang gepostet habe, aus der Wiki.
Öhm, also eigentlich ist das ein Script. Das findest sich unter Wiki/Installation/Netzwerk/Debianrouter in 2Min oder so hier auf Debianforum.de