Subnetz-zu-Subnetz routing

ryz · Beitrag von **ryz** » 03.11.2009 14:33:50

Grüße!

Ich möchte zwei Class-C Subnetze (10.0.10.0/24 und 10.0.11.0/24) durch eine Debian-Firewall mit zwei NICs miteinander verbinden. Ein Netz kann das andere Netz physikalisch nur durch die Debian-Firewall erreichen, beide Netze befinden sich also in unterschiedlichen, physikalischen Segmenten (Switches), die durch die Firewall-NICs verbunden sind.
In beiden Netzen befinden sich unterschiedliche PCs, und ich will bspw. mit PC A (10.0.10.45) auf PC B (10.0.11.89) durch die Debian-Firewall zugreifen. Aber nicht nur von PC A auf B, sondern evtl auch von PC C auf D und umgekehrt.

Hier eine kleine Visualisierung:

Code: Alles auswählen

[PC A 10.0.10.45] ---- (10.0.10.0) ---- eth0 ---- (DEBIAN) ---- eth1 ---- (10.0.11.0) ---- [PC B 10.0.11.89]

Ich habe mich schon durch diverse Gateway, iptables und routing (route) tutorials und Problemstellungen gelesen, allerdings scheint keines zu Helfen. Was genau muss ich für ein routing in beide Netze konfigurieren?

Schritte die ich bisher schon ausgeführt habe:

# Routing aktivieren:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

# Zugriff ins jeweilige Netz erlauben

Code: Alles auswählen

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# route -n

Code: Alles auswählen

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.10.0       0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.0.11.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         10.0.10.254     0.0.0.0         UG    0      0        0 eth1
0.0.0.0         10.0.11.254     0.0.0.0         UG    0      0        0 eth0

Bin ein wenig ratlos, im Internet finden sich meist auch nur Anleitungen wo an einem Interface direkt ein Router hängt. Bin für jede Hilfestellung dankbar!

Gruss

ryz

rendegast · Beitrag von **rendegast** » 03.11.2009 14:45:29

(10.0.10.0) ---- eth0 ---- (DEBIAN) ---- eth1 ---- (10.0.11.0)

paßt nicht zu:

10.0.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.0.10.254 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 10.0.11.254 0.0.0.0 UG 0 0 0 eth0

Oder ist oben eigentlich

Code: Alles auswählen

(10.0.11.0) ---- eth0 ---- (DEBIAN) ---- eth1 ---- (10.0.10.0)

gemeint?
Nicht daß Du jetzt mit 10.0.10.254 im 10.0.11.0-Netz bzw. mit 10.0.11.254 im 10.0.10.0-Netz stehst.

Stimmt das Routing auf den Clients?
Ist also
10.0.10.254
bzw.
10.0.11.254
das jeweilige default-Gateway oder Gateway ins jeweilig andere Netz?

Die Clients arbeiten nicht mit unpassender Maske, also zBsp. 10.0.10.45/255.255.255.128 ?

# Zugriff ins jeweilige Netz erlauben

Wie ist die Standard-Policy für die Listen?
DROP oder REJECT, wenn Du scheinbar explizit erlauben mußt ?
Dann auch noch die anderen Listen berücksichtigen, zBsp PREROUTING im nat-Table usw.:

Code: Alles auswählen

iptables -vn --line-numbers -L -t [nat|filter|mangle|raw]

ein normaler Paketweg Durchleitung:
nat-PREROUTING -> filter-FORWARD (+ mangle) -> nat-POSTROUTING
ein normaler Paketweg direkt auf DEBIAN:
nat-PREROUTING -> filter-IN (+ mangle) -> filter-OUT -> nat-POSTROUTING
(Eine genauere Skizzierung durch eindeutige LOG-Targets in allen Listen.)

ryz · Beitrag von **ryz** » 03.11.2009 15:05:44

rendegast hat geschrieben:
(10.0.10.0) ---- eth0 ---- (DEBIAN) ---- eth1 ---- (10.0.11.0)
paßt nicht zu:
10.0.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.0.11.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.0.10.254 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 10.0.11.254 0.0.0.0 UG 0 0 0 eth0
Oder ist oben eigentlich
Code: Alles auswählen
(10.0.11.0) ---- eth0 ---- (DEBIAN) ---- eth1 ---- (10.0.10.0)
gemeint?
Nicht daß Du jetzt mit 10.0.10.254 im 10.0.11.0-Netz bzw. mit 10.0.11.254 im 10.0.10.0-Netz stehst.

richtig,

Code: Alles auswählen

(10.0.11.0) ---- eth0 ---- (DEBIAN) ---- eth1 ---- (10.0.10.0)

ist gemeint, sorry.

rendegast hat geschrieben:Stimmt das Routing auf den Clients?
Ist also
10.0.10.254
bzw.
10.0.11.254
das jeweilige default-Gateway oder Gateway ins jeweilig andere Netz?

ich denke hier liegt das problem. Gateway ins jeweils andere Netz wäre in dem Falle dann doch die Debian-Firewall (10.0.11.1 und 10.0.10.1) selbst?
Sprich:

Code: Alles auswählen

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.11.1       0.0.0.0         UG    0      0        0 eth0
0.0.0.0         10.0.10.1       0.0.0.0         UG    0      0        0 eth1

?

rendegast hat geschrieben: Die Clients arbeiten nicht mit unpassender Maske, also zBsp. 10.0.10.45/255.255.255.128 ?

Nein.

rendegast hat geschrieben:
# Zugriff ins jeweilige Netz erlauben
Wie ist die Standard-Policy für die Listen?
DROP oder REJECT, wenn Du scheinbar explizit erlauben mußt ?
Dann auch noch die anderen Listen berücksichtigen, zBsp PREROUTING im nat-Table usw.:
Code: Alles auswählen
iptables -vn -L -t [nat|filter|mangle|raw]

Standard-Policy ist ACCEPT, ich dachte nur es sei notwendig noch eine explizite ACCEPT-Chain zu definieren.

rendegast · Beitrag von **rendegast** » 03.11.2009 15:18:16

ich denke hier liegt das problem. Gateway ins jeweils andere Netz wäre in dem Falle dann doch die Debian-Firewall (10.0.11.1 und 10.0.10.1) selbst?
Sprich:
Code: Alles auswählen
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.11.1       0.0.0.0         UG    0      0        0 eth0
    0.0.0.0         10.0.10.1       0.0.0.0         UG    0      0        0 eth1

0.0.0.0 10.0.10.254 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 10.0.11.254 0.0.0.0 UG 0 0 0 eth0

?
Welche IPs benutzt Dein DEBIAN denn nun,
10.0.1[0|1].254 oder 10.0.1[0|1].1 ?
Oder geht es hier um zwei verschiedene Maschinen, also
DEBIAN mit 10.0.1[0|1].254
und
Debian-Firewall mit 10.0.1[0|1].1 ?

Gib mal bitte das Routing für einen Client an, aus 10.0.10.* und 10.0.11.*,

Code: Alles auswählen

route -n
oder 
route print (Windows)

----------------------

durch eine Debian-Firewall

<->

Standard-Policy ist ACCEPT

naja, noch zum Üben.

ryz · Beitrag von **ryz** » 03.11.2009 15:30:15

rendegast hat geschrieben:
ich denke hier liegt das problem. Gateway ins jeweils andere Netz wäre in dem Falle dann doch die Debian-Firewall (10.0.11.1 und 10.0.10.1) selbst?
Sprich:
Code: Alles auswählen
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.0.11.1       0.0.0.0         UG    0      0        0 eth0
    0.0.0.0         10.0.10.1       0.0.0.0         UG    0      0        0 eth1
0.0.0.0 10.0.10.254 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 10.0.11.254 0.0.0.0 UG 0 0 0 eth0
?
Welche IPs benutzt Dein DEBIAN denn nun,
10.0.1[0|1].254 oder 10.0.1[0|1].1 ?
Oder geht es hier um zwei verschiedene Maschinen, also
DEBIAN mit 10.0.1[0|1].254
und
Debian-Firewall mit 10.0.1[0|1].1 ?

Es geht um EINEN debian mit ZWEI NICs mit folgenden IP-Adressen:

eth0 = 10.0.11.1
eth1 = 10.0.10.1

die *.254 ist in dem Fall fehlerhaft und noch aus einer alten Konfiguration.

rendegast · Beitrag von **rendegast** » 03.11.2009 15:43:30

Also sollten die Clients im 10.0.10.* den 10.0.10.1
und die im 10.0.11.* den 10.0.11.1 als (default-)Gateway eingetragen haben.
An den Clients kontrollieren:

Code: Alles auswählen

route -n
route print (Windows)

Elegant ist die Verteilung der Info an das jeweilige Segment über DHCP,
Also gegebenenfalls auch dieses kontrollieren.

ryz · Beitrag von **ryz** » 04.11.2009 08:25:16

Okay, im Grunde wars das, danke.

Ich habe wohl so viel rumprobiert, dass mir die beiden default-routen (die falschen *.254 aus der alten Konfiguration) dann letztendlich das Bein gestellt haben und ich das übersehen habe.

Danke nochmal!

debianforum.de

Subnetz-zu-Subnetz routing

Subnetz-zu-Subnetz routing

Re: Subnetz-zu-Subnetz routing

Re: Subnetz-zu-Subnetz routing

Re: Subnetz-zu-Subnetz routing

Re: Subnetz-zu-Subnetz routing

Re: Subnetz-zu-Subnetz routing

Re: Subnetz-zu-Subnetz routing