DHCP server mit 2 NIC´s und zwei netzen.

xopen · Beitrag von **xopen** » 10.08.2011 17:25:31

moin moin habe da mal eine frage habe einen Router leuft auch alles super jetzt möchte ich das system erweitern habe eine weitere netzwerkkarte ein gebaut und darüber soll ein zweites netz laufen !! wie mache ich das jetzt mit der dhcpd.conf ?

Ist und läuft gut
eth0 = modem (i-net)

eth1 = lan1 192.168.10.0/24

das soll dazu kommen!!!

eth2 = lan2 192.168.20.0/24

möchte aber das beide Netze über DHCP server versorgt werden.

habe auch schon gesucht im i-net und hier im forum aber nix gefunden.

Vielen dank jetzt schon für eure Hilfe

MFG Xopen

rendegast · Beitrag von **rendegast** » 10.08.2011 18:19:07

dnsmasq ?

xopen · Beitrag von **xopen** » 11.08.2011 09:03:22

erstmal danke
meinst du einfach einen zweiten dhcp-server auf die eth2 schalten ?

rendegast · Beitrag von **rendegast** » 11.08.2011 09:58:20

Habe oben noch ein "?" dazugesetzt.
War als mögliche Alternative zum "richtigen" dhcp gedacht,
da die Konfiguration formal ziemlich einfach ist,
dennoch sehr flexibel

$ /usr/sbin/dnsmasq --help dhcp
Known DHCP options:
1 netmask
2 time-offset
3 router
6 dns-server
7 log-server
9 lpr-server
13 boot-file-size
15 domain-name
16 swap-server
17 root-path
18 extension-path
19 ip-forward-enable
20 non-local-source-routing
21 policy-filter
22 max-datagram-reassembly
23 default-ttl
26 mtu
27 all-subnets-local
31 router-discovery
32 router-solicitation
33 static-route
34 trailer-encapsulation
35 arp-timeout
36 ethernet-encap
37 tcp-ttl
38 tcp-keepalive
40 nis-domain
41 nis-server
42 ntp-server
44 netbios-ns
45 netbios-dd
46 netbios-nodetype
47 netbios-scope
48 x-windows-fs
49 x-windows-dm
60 vendor-class
64 nis+-domain
65 nis+-server
66 tftp-server
67 bootfile-name
68 mobile-ip-home
69 smtp-server
70 pop3-server
71 nntp-server
74 irc-server
77 user-class
93 client-arch
94 client-interface-id
97 client-machine-id
119 domain-search
120 sip-server
121 classless-static-route
125 vendor-id-encap
255 server-ip-address

Ausnahmebedingungen, Gruppen-Aliase pipapo.
Zwei Netze zu bedienen sollte kein Problem darstellen.

Zudem hast Du damit gleich auch einen DNS-Proxy.

Colttt · Beitrag von **Colttt** » 11.08.2011 11:20:09

erstmal solltest du jeder NIC eine IP geben aus dem jeweiligen Subnetz..
Bsp:
eth1 = 192.168.10.1
eth2 = 192.168.20.1

in der /etc/default/dhcp3-server
gibts folgendes:
Interface=
dort trägst du beide NICs ein (also eth1 und eth2)

und dann wie gehabt..

Code: Alles auswählen

subnet 192.168.10.0 netmask 255.255.255.0 {
   deine Parameter;
}

subnet 192.168.20.0 netmask 255.255.255.0 {
   deine Parameter;
}

xopen · Beitrag von **xopen** » 11.08.2011 13:37:30

also das mit denn beiden netzen mit dhcp habe ich hinbekommen ein prob habe ich jetzt noch ich kann vom 20.x nach 10.1 (router) ein ping senden aber ich kann keinen anderen rechner im 10.x an pingen da muss ich doch bestimmt noch eine route oder so einbauen oder

ausgabe route -n

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
77.20.107.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
0.0.0.0         77.20.113.254   0.0.0.0         UG    0      0        0 eth0

Colttt · Beitrag von **Colttt** » 11.08.2011 14:11:03

hmm das ist jetzt nicht meine stärke.. aber versuch mal sowas

Code: Alles auswählen

rout add -net 192.168.20.0 netmask 255.255.255.0 gw dev eth1
rout add -net 192.168.10.0 netmask 255.255.255.0 gw dev eth2

oder

rout add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.10.1
rout add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.20.1

Gunman1982 · Beitrag von **Gunman1982** » 11.08.2011 14:35:23

Du musst package forwarding aktivieren.
Ich persönlich hab das bei mir meist über die firewall (iptables) regeln gemacht. Früher gabs auch noch nen extra flag was man setzen musste um forwarding selber überhaupt möglich zu machen. Ich schau nachher mal ob ich das noch find.

Colttt hat geschrieben:hmm das ist jetzt nicht meine stärke.. aber versuch mal sowas

Code: Alles auswählen

rout add -net 192.168.20.0 netmask 255.255.255.0 gw dev eth1
rout add -net 192.168.10.0 netmask 255.255.255.0 gw dev eth2

oder

rout add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.10.1
rout add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.20.1

Die ersten beiden funktionieren so nicht. Die letzten beiden Zeilen müssen respektiv so auf den Rechnern im jeweiligen Netz ausgeführt werden. (btw route, nich rout).
Ausnahme: du hast auf den Rechnern in den Netzen sowieso jeweils schon 192.168.x.1 als gateway eingetragen dann brauchste natürlich keine extra regel.

xopen · Beitrag von **xopen** » 11.08.2011 15:05:05

ich habe iptables am laufen ich komme von beiden netzen ins i-net und kann auch von beiden netzen alle nic´s im router anpingen nur nicht darüber hinaus meine FW ist wie folgt

Code: Alles auswählen

#!/bin/sh

# Schnittstelle zum lokalen Netzwerk
        IFACE_INT=eth1

# Schnittstelle zum zweiten lokalen Netzwerk
        IFACE_INT2=eth2
        
# Internetschnittstelle 
        IFACE_EXT=eth0

# Loopback device - bedraf keiner Anpassung
        IFACE_LO=lo


# ************
# * POLICIES *
# ************

# Zurücksetzen der Konfiguration
iptables -F
iptables -t nat -F

iptables -X
iptables -t nat -X

# Default-Policies setzen - alles fliegt raus
iptables -P INPUT DROP  
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Einschalten von ip-Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward


# *********
# * INPUT *
# *********

# Soll nicht sein
iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP

# Vom internen Netz alles erlauben
iptables -A INPUT -i $IFACE_INT -j ACCEPT 
iptables -A INPUT -i $IFACE_INT2 -j ACCEPT

# Vom Loopback Alles erlauben
iptables -A INPUT -i $IFACE_LO -j ACCEPT

# Vom Internet: Darf nicht sein
iptables -A INPUT -i $IFACE_EXT  -s 10.0.0.0/8 -j DROP    
iptables -A INPUT -i $IFACE_EXT  -s 172.16.0.0/12 -j DROP 
iptables -A INPUT -i $IFACE_EXT  -s 192.168.0.0/24 -j DROP

# Vom Internet Erlauben von bereits initialisierten Verbindungen
iptables -A INPUT -i $IFACE_EXT -m state --state ESTABLISHED,RELATED -j ACCEPT


# ***********
# * FORWARD *
# ***********

# Wegen der Telekom
iptables -I FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Lokal -> Internet: Alles erlauben
iptables -A FORWARD -i $IFACE_INT -o $IFACE_EXT -j ACCEPT 
iptables -A FORWARD -i $IFACE_INT2 -o $IFACE_EXT -j ACCEPT

# Internet -> Lokales: Nur Verkehr über bereits bestehende Verbindungen erlauben
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT2 -m state --state ESTABLISHED,RELATED -j ACCEPT

# **********
# * OUTPUT *
# **********

# Ins lokale Netzwerk: Alles erlauben
iptables -A OUTPUT -o $IFACE_INT -j ACCEPT 
iptables -A OUTPUT -o $IFACE_INT2 -j ACCEPT

# Ans Loopback: Alles erlauben
iptables -A OUTPUT -o $IFACE_LO -j ACCEPT

# Ins Internet : Alles erlauben
iptables -A OUTPUT -o $IFACE_EXT -j ACCEPT

# Masquerading
iptables -A POSTROUTING -o $IFACE_EXT -t nat -j MASQUERADE

# squid 3.1 transparrent
iptables -t nat -A PREROUTING -i $IFACE_INT -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i $IFACE_INT2 -p tcp --dport 80 -j REDIRECT --to-ports 3128

# Den Rest mitprotokollieren
iptables -A OUTPUT -j LOG --log-prefix "Nicht raus: "
iptables -A FORWARD -j LOG --log-prefix "Nicht durch: "
iptables -A INPUT -j LOG --log-prefix "Nicht rein: "

Gunman1982 · Beitrag von **Gunman1982** » 11.08.2011 15:14:03

Wenn du unter den beiden Netzen alles erlauben willst:

Code: Alles auswählen

iptables -A FORWARD -i $IFACE_INT -o $IFACE_INT2 -j ACCEPT
iptables -A FORWARD -i $IFACE_INT2 -o $IFACE_INT -j ACCEPT

xopen · Beitrag von **xopen** » 11.08.2011 15:15:39

das habe ich schon getestet leider geht es nicht kann das am DNS server liegen ?

Gunman1982 · Beitrag von **Gunman1982** » 11.08.2011 15:18:34

xopen hat geschrieben:das habe ich schon getestet leider geht es nicht kann das am DNS server liegen ?

Das heist du bekommst logs das die Pakete gedropped werden oder du bekommst keine Logs und nichts kommt an?
DNS hat eigentlich mit den Sachen nichts zu tun.

Achja btw, das clamp-to-mss kannste auf -o $IFACE_EXT beschränken da es ja nur für inet traffic sinnvoll ist.

xopen · Beitrag von **xopen** » 11.08.2011 20:35:45

das ist noch drin

Code: Alles auswählen

iptables -A FORWARD -i $IFACE_INT -o $IFACE_INT2 -j ACCEPT
iptables -A FORWARD -i $IFACE_INT2 -o $IFACE_INT -j ACCEPT

leuft aber immer noch nicht !!!

hatt einer noch ein tipp

debianforum.de

DHCP server mit 2 NIC´s und zwei netzen.

DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.

Re: DHCP server mit 2 NIC´s und zwei netzen.