forwarding

chabayo · Beitrag von **chabayo** » 29.01.2006 00:06:30

Hallo,

wie schon einmal habe ich das Prob von einem Rechner ueber einen anderen mit zwei Netzwerkkarten an meinen Router zu kommen; der Router ist ein T-DSL-WLAN-Router.

Weil am Router der Ethernetausgang zu einem Accespoint im anderen Stockwerk verbunden ist, verwende ich den einen Rechner mit WLAN-PCI-Karte und Ethernet-PCI-Karte quasi als Bridge fuer den zweiten der das Problem hat an den Router zu kommen.

An eine Bridge nach dem brctl-Stil ist nicht zu denken, weil wenn ich die Bridge hochfahren taete spinnt die Software aufgrund von Echos der WLAN-PCI-Karte die sie scheinbar selbst erzeugt.

Darum hab ich dem 2. Rechner die default-Route auf den Router (Inet-Gateway) mitgeteilt, und eine Route gelegt die besagt das er, um auf den Router zu kommen, den 1.Rechner (also den mit WLAN-PCI-Karte) als Gateway zum Router benutzen soll.

Soweit klappt das denn noch, den Pings auf den Router vom 2. Rechner akzeptiert der Router mit einem

Code: Alles auswählen

23:49:07.579938 arp who-has sioux.spillboo.me tell router.spillboo.me

an der WLAN-Karte des 1. Rechners. Leider Forwarded der 1. Rechner die Anfrage nicht an den 2. Rechner.
Koennte ich dem Router mitteilen das er sioux ueber den 1. Rechner (also so wie die Route zum Router dem 2. Rechner mitteilte) erreichen kann wuerde es warhscheinlich klappen - aber der Router hat keinen ssh-Zugang ueber den sich das denn klarstellen liesse.

Kann man ueber iptables dem 1. Rechner mitteilen das er die Anfragen weiterleitet??

C_A · Beitrag von **C_A** » 29.01.2006 00:27:31

Masqerade - Beispiel:

Code: Alles auswählen

Wlan - AP [192.168.1.1])))      ((([192.168.1.2]PC-Gateway[10.0.0.1]------[10.0.0.2]PC-Kleint

Folgendes auf dem PC-Gateway machn:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o <iface> -j MASQUERADE

iface: das iface wär das wlan-inteface aufm PC-Gateway.

gms · Beitrag von **gms** » 29.01.2006 00:30:42

Befindet sich der Rechner 2 im gleichen Subnet wie der Router ? Ich frage nur so wegen ARP.
Wie ist dann der Rechner 1 konfiguriert, kannst du einmal die Ausgabe von route posten

Gruß
gms

gms · Beitrag von **gms** » 29.01.2006 00:32:23

C_A hat geschrieben:Masqerade - Beispiel:
Code: Alles auswählen
Wlan - AP [192.168.1.1])))      ((([192.168.1.2]PC-Gateway[10.0.0.1]------[10.0.0.2]PC-Kleint
Folgendes auf dem PC-Gateway machn:
Code: Alles auswählen
iptables -t nat -A POSTROUTING -o <iface> -j MASQUERADE
iface: das iface wär das wlan-inteface aufm PC-Gateway.

er braucht doch kein MASQUERADE um von einem Subnet ins andere zu routen

Gruß
gms

chabayo · Beitrag von **chabayo** » 29.01.2006 01:04:57

...naja, masquerading klappt.

...trotzdem:

2. Rechner

Code: Alles auswählen

sioux:~# route
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
router.spillboo archimedes.spil 255.255.255.255 UGH   0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 eth0
default         router.spillboo 0.0.0.0         UG    0      0        0 eth0

1. Rechner (ra0 ist das WLAN)

Code: Alles auswählen

archimedes:~# route
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
sioux.spillboo. *               255.255.255.255 UH    0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 ra0
localnet        *               255.255.255.0   U     0      0        0 eth0
default         router.spillboo 0.0.0.0         UG    0      0        0 ra0

...nebenbei:

Code: Alles auswählen

iptables -t nat -A PREROUTING -d 192.168.0.2 -i ra0 -j DNAT --to-destination 192.168.0.2

tuts nicht...

C_A · Beitrag von **C_A** » 29.01.2006 09:35:33

gms hat geschrieben:er braucht doch kein MASQUERADE um von einem Subnet ins andere zu routen

Das habe ich auch nicht gesagt. Nur wenn man auf dem Wlan AP keine routen hinzufügen kann ist masquerade wohl besser.

gms · Beitrag von **gms** » 29.01.2006 11:53:44

C_A hat geschrieben:
gms hat geschrieben:er braucht doch kein MASQUERADE um von einem Subnet ins andere zu routen
Das habe ich auch nicht gesagt. .

Du hast ja überhaupt sehr wenig gesagt, nur ein Mini-Howto wie man MASQUERADE einrichtet, ohne Erklärung warum er das tun sollten.

Bezieht der Rechner2 seine IP über DHCP oder wurde der statisch eingerichtet ?
Wenn der Rechner2 statisch eingerichtet wurde, sollte er SNAT statt MASQUERADE verwenden.

Und wenn er überall die richtigen Routen eintragen kann, braucht er auch dieses nicht.

Gruß
gms

C_A · Beitrag von **C_A** » 29.01.2006 11:57:44

gms hat geschrieben:Du hast ja überhaupt sehr wenig gesagt

Ich hatte ihm das eigentlich im df.de Jabber Chat erklärt und dann nur nochmal die Schritte hier reingeschrieben

chabayo · Beitrag von **chabayo** » 29.01.2006 12:10:12

...ja...mus c_a schon mal kurz verteidigen...hat das Prima gemacht...und auf jeden Fall ne Loesung angeboten...

gms · Beitrag von **gms** » 29.01.2006 12:27:50

chabayo hat geschrieben:...ja...mus c_a schon mal kurz verteidigen...hat das Prima gemacht...und auf jeden Fall ne Loesung angeboten...

Ich wollte ja niemanden angreifen, daher braucht auch niemand verteidigt zu werden. Nachdem ich aber von der Kommunikation im Chat nichts wissen kann, wollte ich einfach nur eine Erlärung dafür haben. Ich hoffe niemand fühlt sich hier jetzt deswegen beleidigt.

Gruß
gms

chabayo · Beitrag von **chabayo** » 29.01.2006 12:59:29

...will aber auch gms keinen Vorwurf machen...gegen Gesunde Kritik ist nichts einzuwenden...

...darum: ich habe nur statische ip-addressen vergeben...und das mit dem snat wuerde mich schon interessieren...bin im Moment nicht faehig diesen Gedanken zur Reife zu fuehren...

...das netfilter-Tutorial http://iptables-tutorial.frozentux.net/ ... RADETARGET spricht auch ausdruecklich von overhead von MASQERADE gegenueber SNAT...

...gms - entschuldige, ja?

gms · Beitrag von **gms** » 29.01.2006 13:12:25

für SNAT brauchst du nicht viel zu ändern:
iptables -t nat -A POSTROUTING -o <iface> -j SNAT --to-source <ipaddr>

Proxy-ARP wäre auch noch eine Möglichkeit um zwei physisch getrennte Netze in das gleiche Subnet zu bringen. Auf diese Möglichkeit habe ich in meinem ersten Posting hier abgezielt.

Gruß
gms

chabayo · Beitrag von **chabayo** » 29.01.2006 14:09:36

...hehe...proxy arp tuts...http://www.sjdjweis.com/linux/proxyarp/...

...damit laesst sich arbeiten...grins...

...im Grunde also nur:

Code: Alles auswählen

 echo 1 > /proc/sys/net/ipv4/conf/ra0/proxy_arp
 echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

merci@all

gms · Beitrag von **gms** » 29.01.2006 16:54:24

chabayo hat geschrieben: ...im Grunde also nur:
Code: Alles auswählen
 echo 1 > /proc/sys/net/ipv4/conf/ra0/proxy_arp
 echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

Wenn du möchtest, kannst du das auch über sysctl persistent machen::
Die folgende Zeile in /etc/sysctl.conf eintragen und "sysctl -p" aufrufen

Code: Alles auswählen

net/ipv4/conf/all/proxy_arp = 1

Gruß
gms

chabayo · Beitrag von **chabayo** » 30.01.2006 15:22:54

...yup...erledigt.

debianforum.de

forwarding

forwarding

forwarding [solved]

Re: forwarding [solved]