Routing von eth1 zu eth0 einrichten

[tsibi]

Hallo zusammen,

mein bekannter hat einen Rechner mit zwei Netzwerkkarten. Mit eth0 ist er mit dem Internet-Router verbunden. An eth1 ist ein WLAN-Accesspoint angeschlossen. Auch diese Rechner sollen die Internetverbindung von eth0 verwenden können.

Muss hier nur eine passende Route eingerichtet werden oder auch mit iptables Masquerading aktiviert werden? Meine Versuche mit route schlugen fehl.

Hier die IP-Einstellungen der beiden Netzwerkkarten:
eth0
IP: 192.168.1.110
Netmask: 255.255.255.0
Gateway: 192.168.1.99

eth1
IP: 192.168.4.1
Netmask: 255.255.255.0

Vielen Dank im Voraus für eure Hilfe.

VG Simon

[minimike]

Wäre eine Bridge nicht einfacher?

apt-get install bridge-utils

Code: Alles auswählen

auto br0
iface br0 inet static
        address 192.168.1.100
        netmask 255.255.254.0
        broadcast 192.168.1.255
        pre-up /sbin/ifconfig eth0 up
        pre-up /sbin/ifconfig eth1 up
        pre-up /usr/sbin/brctl addbr br0
        pre-up /usr/sbin/brctl addif br0 eth0
        pre-up /usr/sbin/brctl addif br0 eth1
        post-down /usr/sbin/brctl delif br0 eth1
        post-down /usr/sbin/brctl delif br0 eth0
        post-down /usr/sbin/brctl delbr br0
        post-down /sbin/ifconfig eth0 down
        post-down /sbin/ifconfig eth1 down

[gms]

schätze auch, eine Bridge macht das ganze für euch sicherlich übersichtlicher.

Ohne Bridge ist aber auch kein Masquerading notwendig, sofern ihr auf beiden Routern ( Internet-Router und WLAN-Accesspoint) entsprechende Routen in das jeweilige andere Subnet einrichten könnt. Also auf dem Internet-Router eine Route für eth1 und auf dem WLAN-Accesspoint eine Route für eth0 ( hier kann es auch die Defaultroute sein), jeweils mit dem Rechner mit den zwei Netzwerkkarten als Gateway.
Sind die Interfaces des WLAN-Accesspoints nicht gebridget ( unterschiedliche Netzwerkadresse ) und Masquerading auf dem AP auch deaktiviert, dann müßten auf dem Internet-Router eine zusätzliche Route für das WLAN-Subnet ( auch mit dem Rechner mit den zwei Netzwerkkarten als Gateway ) eingerichtet werden und auf dem Rechner mit den zwei Netzwerkkarten eine Route in das WLAN-Subnet mit dem AP als Gateway.
Auf dem Rechner mit den zwei Netzwerkkarten sollte in jedem Fall Forwarding aktiviert sein.

Gruß
gms

[tsibi]

Hallo zusammen,

danke für eure Antworten. Das Thema Bridge habe ich noch nicht ganz verstanden. vielleicht schildere ich aber noch einmal den Stand seines Netzes:

Der Accesspoint hängt an eth1. Am Accesspoint kann er keinen Gateway einrichten. Ich habe es so verstanden, dass alle WLAN-geräte ihren Traffic an die eth1 Schnittstelle schicken. eth0 hängt direkt an der Firewall und diese wohl am DSL-Router.

Der Rechner mit den 2 Netzwerkkarten soll also nur dafür sorgen, dass die WLAN-Geräte ins Internet können.

Danke im Voraus für weitere Unterstützung.

[gms]

Welche Adresse bekommt du über WLAN zugewiesen ? Kannst du mit deinem Rechner den Rechner mit den 2 Netzwerkkarten anpingen ( beide IP's versuchen ) ?

[stinkstiefel]

Der Schilderung würde ich entnehmen das der AP gebridged ist was es eigentlich einfach macht.

[tsibi]

Hallo zusammen,

mein Bekannter hat mir gesagt, dass er beide IP-Adressen des Rechners anpingen kann. Die Firewall kann er noch nicht anpingen, ebenso noch nicht eine IP aus dem Internet. Aber der Ping auf beide Netzwerkkarten funktioniert schon.

Braucht er jetzt wohl nur noch iproute für das forwarding und masquerading einzurichten oder wie verfährt man hier weiter?


Danke im Voraus für weitere Hilfe.

VG Simon

[stinkstiefel]

sofern ihr auf beiden Routern ( Internet-Router und WLAN-Accesspoint) entsprechende Routen in das jeweilige andere Subnet einrichten könnt. Also auf dem Internet-Router eine Route für eth1 und auf dem WLAN-Accesspoint eine Route für eth0

Wobei ihr auf dem AP sehr wahrscheinlich keine Route benötigt.

[gms]

Auf dem Internet Router eine Route für das eth1 Subnet über den Rechner mit den zwei Netzwerkkarten einrichten sollte genügen


edit:

sofern ihr auf beiden Routern ( Internet-Router und WLAN-Accesspoint) entsprechende Routen in das jeweilige andere Subnet einrichten könnt. Also auf dem Internet-Router eine Route für eth1 und auf dem WLAN-Accesspoint eine Route für eth0

Wobei ihr auf dem AP sehr wahrscheinlich keine Route benötigt.

richtig, deshalb habe ich ja dann auch weitergeschrieben:

( hier kann es auch die Defaultroute sein)

Gruß
gms

[stinkstiefel]

Das war keinerlei Kritik, ich wollte tsibi nur noch einmal vor Augen führen das die weitere Verfahrensweise schon dasteht,

[sys_op]

was spricht gegen ip forward ?

[gms]

Das war keinerlei Kritik, ich wollte tsibi nur noch einmal vor Augen führen das die weitere Verfahrensweise schon dasteht,

sorry, ich habe mich nicht kritisiert gefühlt.
Der AP hat schon eine korrekte Defaultroute ( denn eth0 läßt sich aus eth1 heraus pingen ), sodaß auf dem AP sicherlich ( und nicht sehr wahrscheinlich ) keine Route eingetragen werden muß. Das wäre eigentlich meine Aussage gewesen

Gruß
gms

[tsibi]

Hallo zusammen,

der Ping funktioniert von einem Laptop, der mit dem Accesspoint verbunden ist. der Accesspoint hängt ja an eth1. Man kann bisher vom Laptop auch eth0 und die Firewall anpingen. Nur ein Ping ins Internet funktioniert noch nicht. Was müssen wir hierfür noch konfigurieren? Habe gerade ein wenig den Überblick verloren ...

Müssen wir nun eine iptables Regel einrichten, die Traffic von eth1 an eth0 reicht? Glaube ich nicht, denn das scheint ja aktuell schon zu funktionieren, da man z. B. die Firewall anpingen kann. Aber warum kann man vom Laptop aus nicht ins Internet pingen, wenns schon an die Firewall geht?

[gms]

der Ping funktioniert von einem Laptop, der mit dem Accesspoint verbunden ist. der Accesspoint hängt ja an eth1. Man kann bisher vom Laptop auch eth0 und die Firewall anpingen. Nur ein Ping ins Internet funktioniert noch nicht.

Ihr seit also jetzt schon bei der Firewall, deren Einstellungen ihr wahrscheinlich auch schon überprüft habt, oder ?
Was ist das für eine Firewall, ist das ein zusätzliches Gerät, oder meinst du hier die Firewall vom Internet-Router ?

[stinkstiefel]

Schickt vom WLAN-Client mal reichlich ICMP Päckchen an xxx.xxx.xxx.xxx ich schau hier mal ob und wie die ankommen.

[tsibi]

Hi,

die Firewall ist ein extra Gerät. Da wird aber nichts blockiert. Der Ping ging nicht raus. Der Laptop kann ja nicht einmal die Firewall anpingen, was ja auch gehen müsste. Offenbar kommen die Pakete zwar bei eth0 an - gehen aber dann nicht weiter.

[stinkstiefel]

Man kann bisher vom Laptop auch eth0 und die Firewall anpingen.

Der Laptop kann ja nicht einmal die Firewall anpingen, was ja auch gehen müsste.

Ja was denn nun ja oder nein.

Edit: Was sagt denn route -n auf der Kiste mit eth0 und eth1

[tsibi]

Hallo,

sorry für das Missverständnis bzgl. dem Pingen. Er kann die Firewall nicht anpingen, sondern nur eth1 und eth0, Ping ins Internet geht auch noch nicht.des Rechners.

Hier die Ausgabe von route -n

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.4.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.99    0.0.0.0         UG    0      0        0 eth0

Die IP 192.168.1.99 gehört der Firewall, die auch der Gateway ist. Nur der Laptop kommt nicht ins Internet und auch nicht via Ping an die Firewall.

Vielen Dank im Voraus für weitere Hilfe. und bis Morgen.

Simon

[stinkstiefel]

Ausgabe von cat /proc/sys/net/ipv4/ip_forward bitte. Auf der Firewall habt ihr wie beschrieben eine Route angelegt?

[tsibi]

Hi,

in der Datei /proc/sys/net/ipv4/ip_forward steht der Wert 0. Soweit mir bekannt ist, kann er auf der Firewall keine Route einrichten. Das Routing muss wohl der Rechner mit den beiden Karten machen.

VG Simon

[stinkstiefel]

Ihr habt keinen der bisherigen Tipps umgesetzt und wundert euch das nix funktioniert.

Soweit mir bekannt ist, kann er auf der Firewall keine Route einrichten.

Was ist das für eine Plastikbox?

[gms]

jetzt weiß ich wieder, warum ich Threads zu diesen Themen eigentlich nicht mag

Soweit mir bekannt ist, kann er auf der Firewall keine Route einrichten.

Hättest du das nicht auf meine einleitenden Worte antworten können:
Zitat: Ohne Bridge ist aber auch kein Masquerading notwendig, sofern ihr auf beiden Routern ( Internet-Router und WLAN-Accesspoint) entsprechende Routen in das jeweilige andere Subnet einrichten könnt.
Und wenn der Ping zur Firewall einmal funktioniert, dann wieder doch nicht, dann ist das auch nicht sehr hilfreich

Wenn ihr keine Routen definieren könnt, solltet ihr auf dem Rechner mit den zwei Netzwerkkarten ein SNAT einrichten. ( SNAT ist besser wie Masquerading, kann aber nur benutzt werden, wenn auf eine statische IP genattet wird.)

/proc/sys/net/ipv4/ip_forward gehört natürlich auf 1, daher entweder ein "echo 1 >/proc/sys/net/ipv4/ip_forward" oder in /etc/sysctl.conf ein Eintrag "net.ipv4.ip_forward=1" hinzufügen und anschließend "sysctl -p" aufrufen.

Gruß
gms

[stinkstiefel]

SNAT ist besser als Masquerading, kann aber nur benutzt werden, wenn auf eine statische IP genattet wird.

Jep, aber wenn ich das richtig überschaue ja eh nur eine zutreffende Antwortadresse vorhanden ist sollte Masquerading meines Erachtens nach völlig ausreichend sein. Ausserdem finde ich persönlich NAT im LAN alles andere als vorteilhaft und würde es dewegen auf jeden Fall versuchen zu vermeiden. Wer weiss, am Ende ist am Router/Firewall für den AP sogar noch ein LAN-Port frei der dieses ganze Konstrukt ad absurdum führt.

[gms]

SNAT ist besser als Masquerading, kann aber nur benutzt werden, wenn auf eine statische IP genattet wird.

Jep, aber wenn ich das richtig überschaue ja eh nur eine zutreffende Antwortadresse vorhanden ist sollte Masquerading meines Erachtens nach völlig ausreichend sein. Ausserdem finde ich persönlich NAT im LAN alles andere als vorteilhaft und würde es dewegen auf jeden Fall versuchen zu vermeiden.

Wenn du SNAT "in jeden Fall vermeiden möchtest", was ich ja noch unterschreiben kann, dann gilt das gleiche aber auch für Masquerading, steckt dort doch die gleiche Technologie dahinter:

MASQUERADE
...
It should only be used with dynamically assigned IP (dialup) connecttions: if you have a static IP address, you should use the SNAT target.

Gruß
gms

[stinkstiefel]

dann gilt das gleiche aber auch für Masquerading, steckt dort doch die gleiche Technologie dahinter:

Ja, deswegen hatte ich NAT geschrieben und nicht nur SNAT, womit wir dann wohl wieder einer Meinung währen.