Routing zweier Subnetze

gordi · Beitrag von **gordi** » 03.10.2007 15:25:02

Hallo miteinander.

Ich bin gerade dabei ein kleines LAN aufzubauen, ich hänge nur gerade dummerweise beim festlegen der routing Tabellen.

Folgende Subnetz Aufteilung ist am an den beiden Serverinterfaces geplant

eth0 192.168.2.0/24 ->default gateway 192.168.2.1
eth1 192.168.1.0/29

Der Providerrouter ist der next hop von eth0 aus.

route -n auf dem Server

Code: Alles auswählen

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.248 U     0      0        0 eth1
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

/etc/sysctl.conf

Code: Alles auswählen

net.ipv4.ip_forward = 1

So wie es mit tcpdump auf dem Server aussieht, gelangen Ping requests aus 192.168.1.0/29 eth1 schon an das iface eth0 nur es kommt nichts zurück. DNS funktioniert auch soweit schon.

Code: Alles auswählen

15:03:00.608581 IP gurke.ltsp > www.l.google.com: ICMP echo request, id 789, seq 11, length 64

Irgendwie fehlt die route zurück, ich komm jedenfalls leider nicht drauf wie ich das jetzt einzurichten habe..

Ich währe schon über eine gute Doku erfreut.

gruß

Teddybear · Beitrag von **Teddybear** » 03.10.2007 15:38:17

Moin

Könnte sein das es daran liegt, das kein Masquerading aktiv ist.

chroiss · Beitrag von **chroiss** » 05.10.2007 15:02:05

Da 192.168.2.1 das Default Gateway ist , sollte dieser auch das Masuerading übernehmen.

Ich würde eher mal auf Deine Firewall Regeln kucken , wenn IPForwarding an und ip_conntrack aktiv ist.
(Ansonsten muesste es nämlich gehen)
Was sagt

Code: Alles auswählen

iptables -vL

Gruss Chroiss

gordi · Beitrag von **gordi** » 05.10.2007 15:17:44

Code: Alles auswählen

iptables -vL

Chain INPUT (policy ACCEPT 327K packets, 432M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 2 packets, 168 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 203K packets, 28M bytes)
 pkts bytes target     prot opt in     out     source               destination

chroiss · Beitrag von **chroiss** » 05.10.2007 15:38:51

äääähhhhh,

Von welchem Rechner hast Du den Ping eigentlich versucht ?
Wenn es ein Rechner ist der an eth1 hängt funktioniert Dein Internet doch.
Wenn Namensauflösung geht , geht auch theoretisch alles Andere.
Kann es sein das Dein 192.168.2.1 RechnerPings nicht zulässt/durchlässt ?
Was is das fürne Komponente ? (Hardwarerouter?)

Oder seh ich das gerade alles falsch ?!

Gruss Chroiss

gordi · Beitrag von **gordi** » 05.10.2007 17:55:56

Nach dem Server kommt noch eine fritzbox, die die Verbindung zum Provider herstellt.
Also wenn ich zb vom Client 192.168.1.5 aus zu der Netzwerkkarte, die auf dem Server der einstiegspunkt des anderen Subnetzes darstellt pinge, dann geht das. Aber nicht weiter.

Ping vom Client 192.168.1.5 zur Server-netzwerkkare eth0 welche schon im anderen Subnetz liegt und eine direkte Anbindung zum Router bereitstellt.

Code: Alles auswählen

ping 192.168.2.23
PING 192.168.2.23 (192.168.2.23) 56(84) bytes of data.
64 bytes from 192.168.2.23: icmp_seq=1 ttl=64 time=0.204 ms

Ping vom client über den Server auf den Router

Code: Alles auswählen

ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
--- 192.168.2.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1009ms

Namesauflösung fuktioniert über dnsmasq, welches auf dem Server läuft. Es währe gut, wenn ich den Nameserver des Routers benutzen könnte.

Eine kleinigkeit ist da aber noch zu erwähnen, die mir erst nach dem threadstart eingefallen ist, nur auf den clients läuft Debian, auf dem Server läuft ein Gentoo, hatte ich in dem Moment nicht dran gedacht, sorry.

DynaBlaster · Beitrag von **DynaBlaster** » 05.10.2007 18:08:16

Irgendwie fehlt die route zurück, ich komm jedenfalls leider nicht drauf wie ich das jetzt einzurichten habe..

Schön, das du dir die Antwort im Prinzip schon zu Beginn selbst gegeben hast. Also entweder trägst du im Konfigurationsmenü der Fritzbox eine statische Route ins Netz 192.168.1.0/24 ein, damit de Fritzbox weiss, wohin sie Pakete in dieses Netz zu schicken hat - nämlich an eth1 des Servers. Alternativ (oder wenn die Fritzbox dieses Feature nicht beherrscht) wirst du alle Pakete aus dem Netz 192.168.1.0/24 mittels NAT maskieren müssen (Stichworte für die Forensuche hier: NAT, SNAT MASQUERADE).

PS: In beiden Szenarien klappts dann auch mit dem DNS-Service der Fritzbox.

Nachtrag: Für die sttaische Route wäre es also empfehlenswert, dafür zu sorgen, dass eth1 im Netz 192.168.2.0/24 immer dieselbe IP erhält, also entweder eine statische IP vergeben, oder den DHCP-Server der Fritzbox so konfigurieren, dass er der MAC-Adresse von eth1 immer dieselbe IP zuweist.

gordi · Beitrag von **gordi** » 05.10.2007 19:01:10

Hmm, ich habe es gerade nochmal getestet und es funktioniert jetzt plötzlich (scheinbar) einfach so. o0
Ich benutze zur Zeit noch den Nameserver auf dem Gentoorechner. Ich werde das wohl mal auf dem Telekomrouter einrichten.Statische IP's sind bereits eingerichte, aber ich muss im Moment über den Nachbar ins Netz, da ewetel mich scheinbar hasst. Leider ist auf dem Router ein Passwort drauf, welches nichtmal meinem Nachbar bekannt ist. Das passt aber bald.

Danke für eure Tipps

gruß