Routing im Subnetz - gelöst

[rbz]

Hallo und vielen Dank im Voraus.

Wir sind nicht ganz blutige Anfänger im Bereich Linux (Debian), aber kommen mit einem riesen Problem leider nicht mehr alleine weiter.

-(dsl)- -(gateway)- -(Switch1)- -(linux)- -(switch2)- -(192.168.1.0)

(gateway) internes Netz IP: 192.168.0.111
(linux) externe Netzwerkkarte eth0 IP: DHCP
(linux) interne Netzwerkkarte eth1 IP: 192.168.1.100

Das ist unser Netz. Am Switch1 hängt noch ein Subnetz (192.168.0.0). Die IP-Adresse des Linux-Servers (extern) muß über DHCP bezogen werden, dies können wir auch nicht ändern.

Das Subnetz (192.168.0.0) kann ins Internet und Netzwerk funktioniert auch.
Jetzt wollen wir mit unserem Subnetz (192.168.1.0) auch ins Internet.
Wir könne leider nciht mal den Gateway anpingen.
Auf dem Linux-Server soll später auch ein PDC (Samba) aufgesetzt werden.
Wie muß die Routingtabelle und Firewall auf dem Linux aussehen?

MfG
C & K

[gms]

Willkommen im Forum!

Wenn du das Routing am "gateway" beieinflussen kannst, genügt es dort einen Routingeintrag für das Subnet 192.168.1.0 (gateway "linux") einzutragen.
Ansonsten müßtest du am "linux" Rechner MASQUERADE einrichten (SNAT wäre besser, geht aber nicht, weil der "linux" Rechner seine (eth0) IP dynamisch bezieht)

Gruß
gms

[mragucci]

Er will doch mit dem Subnetz ins Internet, da bringt ein Routing-Eintrag am Gateway wenig, da den Rechnern im Subnetz der Weg zum Internet beigebracht werden muss
Ich würde

- IP_Forwarding am Server aktivieren (echo "1" > /proc/sys/net/ipv4/ip_forward)
- An den Rechnern im Subnetz den Server (192.168.1.100) als Default Gateway eintragen (route add default gw 192.168.1.100)

Da braucht's doch kein NAT für...

MfG

Mario

Nachtrag: der Linux Rechner soll aber keine Firewall sein, oder?

[gms]

Er will doch mit dem Subnetz ins Internet, da bringt ein Routing-Eintrag am Gateway wenig, da den Rechnern im Subnetz der Weg zum Internet beigebracht werden muss

Das Gateway muß entweder die "Antworten" wieder korrekt zurück an das Subnet 192.168.1.0 liefern könne (geschieht mit zusätzlichem Routingeintrag auf dem "gateway"). Oder dem Gateway muß "vorgetäuscht" werden, daß alle Anfragen vom Subnet 192.168.1.0 vom "linux" Rechner kommen (geschieht mittels MASQUERADE).
Daß der "linux" Rechner als Defaultgateway für das Subnet 192.168.1.0 verwendet werden sollte, und daß dort Forwarding eingerichtet werden muß ist trivial und löst alleine sicherlich nicht das Problem.
Klarerweise sollte am "linux" Rechner als Defaultgateway das "gateway" eingetragen werden und eine Route für das Subnet 192.168.1.0 existieren.

Gruß
gms

[mragucci]

Das Gateway muß entweder die "Antworten" wieder korrekt zurück an das Subnet 192.168.1.0 liefern könne (geschieht mit zusätzlichem Routingeintrag auf dem "gateway"). Oder dem Gateway muß "vorgetäuscht" werden, daß alle Anfragen vom Subnet 192.168.1.0 vom "linux" Rechner kommen (geschieht mittels MASQUERADE).
Daß der "linux" Rechner als Defaultgateway für das Subnet 192.168.1.0 verwendet werden sollte, und daß dort Forwarding eingerichtet werden muß ist trivial und löst alleine sicherlich nicht das Problem.
Klarerweise sollte am "linux" Rechner als Defaultgateway das "gateway" eingetragen werden und eine Route für das Subnet 192.168.1.0 existieren.

Gruß
gms

Okay, da reden wir ein klein wenig aneinander vorbei
Also: Natürlich muss auf dem Gateway eine route zum 192.168.1er Netz eingerichtet werden. Das ist aber nicht ausreichend, weil die Daten gar nicht erst bis zum Gateway kommen. Daher muss er zusätzlich noch das IP_Forwarding aktivieren und den Linux Rechner als Gateway für die clients im 1er Netz einstellen.

Masquerading würde die Rechner im Netz unsichtbar machen, ich weiß nicht, ob er das will, das könnte er mit nem 2ten Router für 20 Euro einfacher haben (nicht zu sprechen von der Administration, die doch deutlich einfacher ist, wenn man null Linux Erfahrung hat).

MfG

Mario

[gms]

Okay, da reden wir ein klein wenig aneinander vorbei

ja, wirklich glücklich wird "rbz" nur, wenn beide Richtungen funktionieren

Masquerading würde die Rechner im Netz unsichtbar machen, ich weiß nicht, ob er das will, das könnte er mit nem 2ten Router für 20 Euro einfacher haben (nicht zu sprechen von der Administration, die doch deutlich einfacher ist, wenn man null Linux Erfahrung hat).

sehe ich auch so, nur gibt es auch Provider, die einen fertig konfigurierten Router zur Verfügung stellen und bei denen dann so eine Krücke über MASQUERADE/SNAT notwendig wird.

Gruß
gms

[rbz]

Vielen dank nochmal, aber leider ist unser Problem damit nicht gelöst.
Ich kann am "gateway" leider keine Änderung vornehmen, liegt nicht in unserem Zuständigkeitsbereich.
Das Subnetz 192.168.1.0 würde ich gerne nachträglich auch noch mit einer Firewall auf dem Linux schützen. Dieses Subnetz ist ein Schulungsraum und soll nach Möglichkeit auch keinen Zugriff auf das andere Subnetz bekommen.
Die Clients sind alles WinXP pro.

MfG
RBZ

[gms]

wo liegt das aktuelle Problem ? Hast du jetzt alle Vorschläge (bis auf den mit der Änderung der Routingtabelle auf dem "gateway") schon berücksichtigt und es funktioniert trotzdem nicht ? Oder hast du ein Problem mit der Implementierung unserer Vorschläge ?

Gruß
gms

[mragucci]

Tja, dann kommst du (leider) an Masquerading nicht vorbei
Guck mal hier: IPTables-Script

Es sollte trotzdem überlegt werden, ob ihr euch nicht einfach noch nen Router anschafft, die Dinger kosten 20 Euronen und ihr habt deutlich weniger Stress mit der Einrichtung.

MfG

Mario

[rbz]

Vielen dank nochmals allen, welche sich mit unserer Problemlösung beschäftigt haben.
ich weiss inzwischen nicht mehr wo überhaupt unser Problem bestand
wir haben zwei zeilen geschrieben, und das wars.

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Wahrscheinlich hatten wir vorher immer einen Denkfehler oder auch einen Fehler bei der Eingabe des Codes.

Danke nochmal an alle

MfG
"RBZ"