2. PC mit Internet verbinden

[illuminatus26]

Hallo zusammen,

ich habe 2 PC's, wobei einer über Kabel mit dem DSL-Router verbunden ist.
Jetzt würde ich gerne dem 2. PC auch Zugang zum Internet ermöglichen. Die 4 LAN-Anschlüsse am Router sind bereits alle belegt.
Nun habe ich eine 2. Netzwerkkarte in den PC, welcher schon Zugang zum Internet hat, eingebaut und beide durch ein Crossover-Kabel verbunden.

Momentan sieht es so aus:

DSL-Router (192.168.2.1) --- PC1 eth0 (192.168.2.102) + eth2 (192.168.0.200) --- PC2 eth0 (192.168.0.250)

Ich kann beide Rechner pingen.
Wie bekomme ich nun auf PC2 Zugang zum Internet?

[Six]

Du solltest ein wenig Zeit damit verbringen um dein System abzusichern oder ein hardening-tool wie Bastille benutzen. Aber hier erstmal quick and dirty:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Der Debian Standardkernel bringt alle nötigen Module mit, bei einem selbstgebauten solltest du die Netfilter Module für Forwarding und Masquerade einrichten.

[illuminatus26]

Ich habe die quick and dirty Variante auf dem Rechner mit den beiden Netzwerkkarten (PC1) ausgeführt, wobei ich anstatt von eth1, eth2 benutzt habe.

Versuche ich nun auf PC2 ein

Code: Alles auswählen

ping -c 4 www.google.de

erhalte ich ein

Code: Alles auswählen

ping: unknown host www.google.de

mit

Code: Alles auswählen

ping -c 4 74.125.39.147

ein

Code: Alles auswählen

connect: Network is unreachable

Was läuft da schief?

[Six]

Räusper, das muss nur auf der Maschine ausgeführt werden, die routen soll -- und ich hatte den String schon für deine Beschreibung angepasst, eth1 ist also richtig.

Siehe auch hier: http://www.netfilter.org/documentation/ ... HOWTO.html

[illuminatus26]

Entschuldige. Wollte dich nicht verärgern oder an dir zweifeln. Es ist nur so, das ich von der Netzwerkkonfiguration, wie man sicherlich gemerkt hat, keine Ahnung habe.

Die Fehlermeldungen bleiben leider.

Ist es überhaupt richtig, dass PC2 in einem anderen Netzwerk ist als der Router? Ich hoffe du verstehst jetzt auch was ich meine.

[Danielx]

Siehe dazu auch:
viewtopic.php?p=748189#p748189

Und bitte nicht vergessen dem Link in meinem verlinkten Beitrag zu folgen.

Gruß,
Daniel

[michaa7]

Ist es überhaupt richtig, dass PC2 in einem anderen Netzwerk ist als der Router?.

ja, er ist tatsächlich in einem anderen netzwerk. Die netzwerkstecker des routers bilden ein netzwerk, was hinter den jeweils angeschlossenen rechnern liegt sind immer weitere netzwerke.

Kannst du von PC2 erfolgreich den router anpingen? Wenn nein, dann hast du vermutlich ein gateway problem auf PC2.

Zeig' in diesem fall mal

Code: Alles auswählen

ifconfig

von PC2. (Das gateway=ausgangstor zum nächsten netzwerk auf PC2 ist die ip der netzwerkkarte mit der PC1 mit PC2 verbunden ist, also 192.168.0.200. Wenn unter ifconfig des PC2 was anders steht dann ist dies der fehler).

[Danielx]

Ich kann beide Rechner pingen.

Von wo genau kannst du PC1 und PC2 anpingen?

Was sagt:

Auf PC1 und PC2:

Code: Alles auswählen

iptables -L

Und

Code: Alles auswählen

route -n

Und:

Code: Alles auswählen

ifconfig

Und auf PC1:

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward

edit:

eth1 ist also richtig.

Das sehe ich nicht so, denn da gibt es kein eth1!

PC1 eth0 (192.168.2.102) + eth2 (192.168.0.200)

eth0, also das Interface von PC1, an welchem der DSL-Router hängt, wäre richtig!

Gruß,
Daniel

[Six]

Das sehe ich nicht so, denn da gibt es kein eth1!

PC1 eth0 (192.168.2.102) + eth2 (192.168.0.200)

eth0, also das Interface von PC1, an welchem der DSL-Router hängt, wäre richtig!

Gruß,
Daniel

Stimmt, da habe ich mich wohl verguckt.

[illuminatus26]

Hallo zusammen,

erst einmal vielen Dank für eure Antworten und Entschuldigung, das ich jetzt erst antworte. Ist im Moment leider etwas stressig bei mir.
Aber nun zurück zum Thema...

Kannst du von PC2 erfolgreich den router anpingen? Wenn nein, dann hast du vermutlich ein gateway problem auf PC2.

Zeig' in diesem fall mal

Code: Alles auswählen

ifconfig

von PC2. (Das gateway=ausgangstor zum nächsten netzwerk auf PC2 ist die ip der netzwerkkarte mit der PC1 mit PC2 verbunden ist, also 192.168.0.200. Wenn unter ifconfig des PC2 was anders steht dann ist dies der fehler).

Es klappt leider nicht.
Hier die ifconfig von PC2: http://paste.debian.net/72026/

Ich kann beide Rechner pingen.

Von wo genau kannst du PC1 und PC2 anpingen?

Von PC1 kann ich PC2 pingen und von PC2 kann ich PC1 pingen.

Was sagt:

Auf PC1 und PC2:

Code: Alles auswählen

iptables -L

Auf beiden: http://paste.debian.net/72027/

Und

Code: Alles auswählen

route -n

PC1: http://paste.debian.net/72029/
PC2: http://paste.debian.net/72030/

Und:

Code: Alles auswählen

ifconfig

PC1: http://paste.debian.net/72032/
PC2: http://paste.debian.net/72026/

Und auf PC1:

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward

Nachdem ich als root das hier:

Code: Alles auswählen

echo 1 > /proc/sys/ipv4/ip_forward

ausgeführt habe, eine 1 ansonsten (also standardmäßig 0).

Die beiden Links habe ich mir angeschaut.
Ich denke, das für mich auch die Möglichkeit 1 (Route) infrage kommt. Leider konnte ich das nicht auf mein Beispiel ummünzen.
Hast du evtl. nähere Informationen zu diesen Routen?

Code: Alles auswählen

EXTIP="`/sbin/ifconfig $EXTIF | grep "inet\ " | awk '{print $2}' | sed -e 's/.*://'`"

erzeugt bei mir keine Ausgabe.
Was bewirkt der Befehl? Habe ich etwas verstellt, was ich wieder zurücksetzen müsste?

[tr45h]

Ich denke Dein Default-Gateway auf PC2 ist falsch. Die Routing Tabelle zeigt

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Welche Komponente soll denn die IP 192.168.0.1 haben? Das mus denke ich auf PC1 mit IP 192.168.0.200 zeigen.

[Duff]

Dem kann ich nur zustimmen. Es müsste die IP 192.168.0.200 an eth2 sein, weil über diese wird die Verbindung hergestellt.

Aber schau dir mal den super Beitrag von Danielx an viewtopic.php?p=739791#p739791!
Wäre schon was für's wiki

[uname]

Wäre es nicht sinnvoll für ein paar Euro einen zusätzlichen Switch zu kaufen und den an einen LAN-Port des DSL-Routers zu hängen. Spart sehr viel Arbeit, erhöht die Zuverlässigkeit und kostet nur ein wenig Strom.

[Danielx]

Ich denke Dein Default-Gateway auf PC2 ist falsch.

Ja, das ist auf jeden Fall falsch, ändere das mal auf 192.168.0.200, temporär geht das so:

Code: Alles auswählen

route del default gw 192.168.0.1 eth0
route add default gw 192.168.0.200 eth0

Dann hast du die Wahl zwischen den beiden genannten Möglichkeiten:

1. Routing:
   1. Auf dem PC1:

      Code: Alles auswählen

      echo 1 > /proc/sys/ipv4/ip_forward

   2. Und auf deinem DSL-Router folgende Route setzen:

      Code: Alles auswählen

      Ziel: 192.168.0.0
      Netmask: 255.255.255.0
      GW: 192.168.2.102

2. NAT:
   1. Auf dem PC1:

      Code: Alles auswählen

      echo 1 > /proc/sys/ipv4/ip_forward

   2. Und dann noch, entweder:

      Code: Alles auswählen

      iptables -t nat -o eth0 -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

      oder:

      Code: Alles auswählen

      iptables -t nat -o eth0 -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 192.168.2.102

      Oder evtl.:

      Code: Alles auswählen

      iptables -t nat -o eth0 -A POSTROUTING -j MASQUERADE

      Aber ich bin da immer lieber etwas restriktiver.

Dann probierst du mal von PC2 einen Rechner im Internet, erstmal nur per IP-Adresse (um DNS-Probleme zu vermeiden), anzupingen, z.B. das df.de:

Code: Alles auswählen

ping 78.47.201.130

Wenn das funktioniert, solltest du noch sicher stellen, dass auf PC2 der richtige Nameserver verwendet wird (siehe /etc/resolv.conf), z.B. der DSL-Router (192.168.2.1).

Was bewirkt der Befehl? Habe ich etwas verstellt, was ich wieder zurücksetzen müsste?

Nichts, außer eine unnötige Variable setzen, die von keinem Programm ausgewertet wird.
Der Befehl ist hier nutzlos.

Gruß,
Daniel

[illuminatus26]

Es hat der 2. Methode (NAT) geklappt.
Jetzt stellt sich nur die Frage, wie ich das dauerhaft einstelle.

Einen Befehl um das Forwarding dauerhaft zu aktivieren habe ich im Netz gefunden.

Wenn

Code: Alles auswählen

net.ipv4.conf.default.forwarding=1
net.ipv4.ip_forward = 1

in die Datei /etc/sysctl.conf eingetragen wird, soll das Forwarding dauerhaft eingestellt sein.

Das Gateway von eth0 an PC2 kann ich ja in /etc/network/interfaces einstellen.

Nun geht es also noch darum, entweder Routing oder NAT dauerhaft zu konfigurieren.
Am liebsten wäre mir ja die Lösung über den DSL-Router.
Allerdings habe ich nicht die genaue Stelle gefunden, wo man das einstellt.
Ich habe einen Speedport w503 von der Telekom. Dort gibt es im Menupunkt Netzwerk einen Unterpunkt NAT/Port-Weiterleitungen.
Nur was ich da wie ein zu stellen habe, wird mir nicht klar.
Weiß das zufällig jemand?

[Danielx]

Ich habe einen Speedport w503 von der Telekom. Dort gibt es im Menupunkt Netzwerk einen Unterpunkt NAT/Port-Weiterleitungen.
Nur was ich da wie ein zu stellen habe, wird mir nicht klar.

Das ist nicht die richtige Einstellung für das Hinzufügen von Routen.

Am liebsten wäre mir ja die Lösung über den DSL-Router.
Allerdings habe ich nicht die genaue Stelle gefunden, wo man das einstellt.

Anscheinend kann bei deinem Router diese Einstellung nicht über das Webinterface vorgenommen werden, zumindest steht davon nichts in der Bedienungsanleitung:
http://hilfe.telekom.de/dlp/eki/downloa ... A_0909.pdf
Da wird der Kunde mal wieder "entmündigt".

Aus einem Speedport W503V Typ-A könnte man theoretisch auch eine vollwertige Fritz!Box 7270 machen, dort kann man dann unter "Einstellungen -> System -> Netzwerkeinstellungen -> IP-Routen -> Neue Route" eine Route hinzufügen.
(Vielleicht muss zuvor noch Erweiterte- oder Expertenansicht eingestellt werden.)

Gruß,
Daniel

[illuminatus26]

Ich kram das alte Ding noch einmal heraus...

Aus einem Speedport W503V Typ-A könnte man theoretisch auch eine vollwertige Fritz!Box 7270 machen, dort kann man dann unter "Einstellungen -> System -> Netzwerkeinstellungen -> IP-Routen -> Neue Route" eine Route hinzufügen.
(Vielleicht muss zuvor noch Erweiterte- oder Expertenansicht eingestellt werden.)l

Zum Expertenmodus habe ich im Webinterface leider nichts gefunden und da es ein Leihgerät ist, kann ich da auch nicht viel machen. Also muss ich mit dem Leben, was mir angeboten wird.
Trotzdem erst einmal Danke, dass du dir den Aufwand gemacht hast und sogar in der Anleitung nachgesehen hast.

Code: Alles auswählen

iptables -t nat -o eth0 -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

oder:

Code: Alles auswählen

iptables -t nat -o eth0 -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 192.168.2.102

Oder evtl.:

Code: Alles auswählen

iptables -t nat -o eth0 -A POSTROUTING -j MASQUERADE

Aber ich bin da immer lieber etwas restriktiver. [/list][/list]

Wenn ich es richtig verstanden habe, lässt die erste Codezeile am wenigsten Spielraum und wird deshalb von dir favorisiert.
Jetzt muss ich allerdings noch nachfragen, wie ich sie dauerhaft übernehme.

Ich hatte was gelesen, dass man sie einfach mit in /etc/network/intefaces schreibt. Ist das so richtig?

[Danielx]

Ich hatte was gelesen, dass man sie einfach mit in /etc/network/intefaces schreibt. Ist das so richtig?

Ja, das wäre eine Möglichkeit.
Also beim richtigen Interface (eth0) in der Datei /etc/network/intefaces hinzufügen:

Code: Alles auswählen

up echo 1 > /proc/sys/net/ipv4/ip_forward
up iptables -t nat -o eth0 -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
down iptables -t nat -o eth0 -D POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Zeile 1 ist evtl. nicht nötig, falls du die Einstellung irgendwo anders vorgenommen hast.
Zeile 3 ist löscht die Regel wieder, wenn das Interface "down" geht.
Anstatt up kannst du auch post-up verwenden.

Wenn ich es richtig verstanden habe, lässt die erste Codezeile am wenigsten Spielraum und wird deshalb von dir favorisiert.

Ich würde eher die zweite Zeile verwenden, da MASQUERADE eigentlich für dynamisch zugewiesene IP-Adressen gedacht ist.
Siehe dazu bei "man iptables" unter MASQUERADE und SNAT.

Gruß,
Daniel

[Six]

Nein, entweder schreibst du die Zeile in die Datei rc.local: Dann wird sie ganz zum Ende des Startprozesses ausgeführt. Oder du erstellst ein kleines Skript und weist dem eine frühere Startposition zu. Oder du schreibst die Zeile direkt ins networking Skript, davon rate ich aber ab.

[Danielx]

Nein