Debian Router

Dragon_of_Death · Beitrag von **Dragon_of_Death** » 22.03.2007 10:14:10

Moin,
ich versuche gerade einen Router mit Debian aufzusetzen, leider will das ganze nicht so.

Aufbau sieht so aus:


 VPN Router1                                VPN Router2 
       |                                                       |
       |                                                       |
       |________ | Debian Router |______|

                                     |
                                  LAN

Vom Debian System aus kann ich alles wunderbar erreichen, nur vom lan dahinter ist immer
nur der Debian Rechner erreichbar nicht die anderen beiden Router.
Kann mir da jemand weiter helfen, wie ich das am einfachsten löse!?
Der Debian Router muss/soll auch keine Firewall funktionen haben, ich benötige nur routing, so dass
ich die beiden VPN´s vom internen Netz erreiche.

mistersixt · Beitrag von **mistersixt** » 22.03.2007 10:37:52

Als erstes muss man dem Kernel auf dem Debian Router mitteilen, dass er Pakete von einem Interface auf ein anderes weiterleiten darf (also Pakete "routen" darf), das geht mit:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

Ferner müssen natürlich die VPN Router 1 und 2 wissen (per Route), dass sie über den Debian Router in Dein LAN kommen können, und anders herum müssen die Maschinen in Deinem LAN wissen, dass sie ihre Pakete zum Debian Router schicken müssen, wenn sie den VPN Router 1 und 2 erreichen wollen.

Gruss, mistersixt.

Duff · Beitrag von **Duff** » 22.03.2007 10:40:22

Was für Netze gibt es bei dir?
(IP-Adressen und Netzwerkmasken)

Welche routen hast du gesetzt/definiert?

Wie wird auf den Debian-Router zugegriffen?
(welche Netzwerkkarten hat er? liegt der Debian-Router im gleichen Netz wie auch das LAN und der VPN Router2?)

Dragon_of_Death · Beitrag von **Dragon_of_Death** » 22.03.2007 11:10:36

Danke für die schnellen antworten^^
VPN 1: 10.10.0.250/24
VPN 2: 10.10.10.250/24

Der Debian Router muss nach 10.3.170.0/24 routen, liegt im LAN und
hat 3 Intel Pro 1000 NIC´s (werden alle erkannt).

Code: Alles auswählen

/proc/sys/net/ipv4/ip_forward

steht auf 1

DynaBlaster · Beitrag von **DynaBlaster** » 22.03.2007 12:49:26

Du hast geschrieben, dass dein Debian-Router die beiden VPN-Router und das LAN erreicht. Das Problem sind wahrscheinlich die "Rück-Routen".

Erst einmal müssen auch die beiden VPN-Router ebenfalls IP-Forwarding aktiviert haben ( - jedenfalls wenn auch eine Kommunikation mit den Clients hinter den Routern erwünscht ist). Darüberhinaus muss deren Routing-Tabelle so angepasst werden, dass sie dein LAN 10.3.170.0/24 erreichen. Sie müssen wissen, dass sie 10.3.170.0/24 erreichen, indem sie die Pakete an die IP deines Debian-Routers schicken. VPN1 also an 10.10.0.250 und VPN2 an 10.10.10.250. Dafür müssen entsprechende Routen auf den VPN-Routern gesetzt werden.

Für die Clients hinter den VPN-Routern gilt das natürlich genauso - am einfachsten wäre hier, wenn du die Clients so konfigurierst, dass sie "ihren" VPN-Router als ihr Standard-Gateway nutzen, falls das nicht sowieso schon der Fall ist.

Dragon_of_Death · Beitrag von **Dragon_of_Death** » 22.03.2007 18:43:58

Hätte jemand vieleicht ein kleines Howto, wie ich das Debian System richtig configuriere?
Kurze Übersicht...

Code: Alles auswählen

              |---> NIC 0 (10.3.170.1/24)  ---> LAN 
DEBIAN |---> NIC 1 (10.10.0.1/24)    ---> VPN 1 (10.10.0.250)
              |--> NIC 2 (10.10.10.1/24)  ---> VPN 2 (10.10.10.250)

Pingen in den jeweiligen Netzen funktioniert, also 10.10.0.1 zu 10.10.0.250 etc.
Nach anlegen einer neuen Route auf den VPN Routern (route add -net 10.3.170.0 netmask
255.255.255.0 gw 10.10.0.250) kann ich auch die 10.3.170.1 vom Debian erreichen, aber immer
noch nicht die anderen Clients im Lan und diese erreichen die VPNs auch nicht.

Erst einmal müssen auch die beiden VPN-Router ebenfalls IP-Forwarding aktiviert haben ( - jedenfalls wenn auch eine Kommunikation mit den Clients hinter den Routern erwünscht ist). Darüberhinaus muss deren Routing-Tabelle so angepasst werden, dass sie dein LAN 10.3.170.0/24 erreichen. Sie müssen wissen, dass sie 10.3.170.0/24 erreichen, indem sie die Pakete an die IP deines Debian-Routers schicken. VPN1 also an 10.10.0.250 und VPN2 an 10.10.10.250. Dafür müssen entsprechende Routen auf den VPN-Routern gesetzt werden.

So hatte ich mir das auch gedacht nur an der Umsetzung hapers noch

DynaBlaster · Beitrag von **DynaBlaster** » 22.03.2007 19:40:20

Nach anlegen einer neuen Route auf den VPN Routern (route add -net 10.3.170.0 netmask
255.255.255.0 gw 10.10.0.250) kann ich auch die 10.3.170.1 vom Debian erreichen, aber immer
noch nicht die anderen Clients im Lan und diese erreichen die VPNs auch nicht.

Ich dachte, der Debian-Router hätte die IP 10.10.0.250 bzw. 10.10.10.250. Deshalb ist mein Hinweis falsch: probier mal folgendes auf den VPN-Routern:

Code: Alles auswählen

route add -net 10.3.170.0 netmask 255.255.255.0 gw 10.10.0.1

bzw.

Code: Alles auswählen

route add -net 10.3.170.0 netmask 255.255.255.0 gw 10.10.10.1

Und wie gesagt: Die Clients im Netz 10.3.170.0/24 sollten 10.3.170.1 als Standard-GW nutzen. Die Clöients in den VPN's entsprechend 10.10.0.1 bzw. 10.10.10.1

Dragon_of_Death · Beitrag von **Dragon_of_Death** » 23.03.2007 09:03:51

Moin^^

Code: Alles auswählen

route add -net 10.3.170.0 netmask 255.255.255.0 gw 10.10.0.1

hab ich gemacht, dann bekomme ich aber auch nur die Nic gepingt die im 10.3.170.0 Netz
liegt.
Die anderen kann ich nicht pingen.

Dragon_of_Death · Beitrag von **Dragon_of_Death** » 23.03.2007 19:01:46

Kann es sein das ich noch irgendwas forwarden muss denn immer wenn ich versuche die Clients
zu pingen bekomm ich keine Antwort, ich meine so wie "Zeitüberschreitung.." etc. (ping von VPN
Routern aus)