[gelöst]Debian Konfigurationsproblem

[S3bastian89]

Hallo Liebes Forum,
wie richte ich meine Netzwerkkarte unter /etc/network/interface ein, um die Daten von eth0 über meinen Squid Proxy auf eth1 zu leiten.

Client --> Switch --> eth1 (internes Netzwerk) --> Squid (port 3128) --> eth0 (Kabel zur Fritzbox)

Fritzbox:
IP: 192.168.0.1

Server:
192.168.0.2 (eth0)
192.168.1.1 (eth1)

Client:
192.168.0.10


So sieht gerade meine config aus, aber irgendwie komme ich nicht vom Debian Server (kein eingetragener Proxy) ins Internet, aber über die ip auf die Fritzbox.

[syssi]

Du solltest eine Default-Route setzen fuer das Interface eth0. Den eth0-Abschnitt um ein

Code: Alles auswählen

gateway 192.168.0.1 # oder wie die fritzbox ip genau ist

erweitern.

[S3bastian89]

Habe nun meine config erweitert, aber leider ist das Problem noch geblieben.

[syssi]

Kannst du die Fritzbix pingen? Kannst du IPs (173.194.65.94) pingen aber nicht google.com? Dann fehlt dir noch ein Eintrag in der /etc/resolv.conf:

Code: Alles auswählen

nameserver 192.168.0.1

[S3bastian89]

Die Fritzbox kann ich mit der IP 192.168.0.1 anpingen, google kann ich aber nicht mit der IP anpingen.
Wenn ich eth1 auskommentiere, dann funktioniert es, aber ich muss doch eth1 konfigurieren,

[syssi]

Kannst du nochmal beide Interfaces aktivieren und die komplette Ausgabe von "route -n" posten? Dort scheint etwas im Argen zu sein. Damit wird nicht aneinander vorbei reden: Du versuchst kein Routing, sondern du hast einen Rechner mit zwei Netzwerkkarten und auf diesem Rechner geht die Internet-Konnektivität verloren, sobald die zweite Netzwerkkarte geuppt ist. Richtig?

[S3bastian89]

Richtig, denn das übertragen von der einen zur anderen netzwerkkarte soll den mit squid geschehen, aber dazu muss ich erst mal die beiden Netzwerkkarten gemeinsam zum laufen bringen.

[S3bastian89]

Code: Alles auswählen

root@Proxyserver:/home/administrator# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

[syssi]

Diese Zeile ist der Uebeltaeter:

Code: Alles auswählen

0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

Das sieht danach aus, als ob du fuer eth1 ebenfalls ein Default-Gateway gesetzt haettest. Sorge dafuer, dass "eth1" keinen "gateway"-Eintrag besitzt. "route -n" sollte danach etwas in dieser Richtung ausgeben:

Code: Alles auswählen

0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Das bedeutet: Route alle Packete fuer nicht lokale Netze gegen die Fritzbox an eth0.

[S3bastian89]

Dies ist meine gesamte /etc/network/interfaces Konfiguration

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
gateway 192.168.0.1 # Fritzbox
broadcast 192.168.0.255
dns-nameservers 192.168.0.1

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

eth1 hat aber keinen gateway

[syssi]

Dann versuchen wir einmal die Konfiguration per Hand. Nicht wundern,... sie ist fluechtig und beim naechsten Reboot verloren:

Code: Alles auswählen

ifdown -a
ifup -a
# ggf. nochmal "route -n" pruefen. Weiterhin ein falsches Default-Gateway vorhanden?
route del default gw 192.168.1.1
route add default gw 192.168.0.1

Nun sollte das korrekte Gateway gesetzt sein und das Internet pingbar.

PS. Entfern mal die "network"-Zeilen aus deiner /etc/network/interfaces. Die sind unnoetig und vllt stoerend.

[S3bastian89]

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
#network 192.168.0.0
gateway 192.168.0.1 # Fritzbox
broadcast 192.168.0.255
dns-nameservers 192.168.0.1

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
#network 192.168.1.0
broadcast 192.168.1.255

Code: Alles auswählen

root@Proxyserver:/home/administrator# ifdown -a
SIOCDELRT: No such process
root@Proxyserver:/home/administrator# ifup -a
root@Proxyserver:/home/administrator# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Seltsamerweise geht es jetzt, aber wie du gesagt hast nur bis zum neustart.

Wenn ich

Code: Alles auswählen

ifdown eth0
ifup eth0

eintippe dann geht es auch bis zum neustart

[syssi]

Nach dem Neustart ist wieder die falsche Route aktiv?

[S3bastian89]

Ja

[syssi]

Dann hilft leider nur dein System mal unter die Lupe zu nehmen. Normal ist das nicht. Ich wuerde ziemlich radikal ueber "/etc" greppen und nach der IP suchen:

Code: Alles auswählen

grep -r /etc "192.168.1.1"

Sehr mysteriös ist auch, dass die 192.168.1.1 gesetzt wird, obwohl das die IP des Interfaces ist.

[S3bastian89]

Vielen Dank syssi,
habe jetzt mal mein Debian Server komplett neu installiert und siehe da, nach den Netzwerkeinstellungen geht es auf einmal.
Jetzt muss ich nur noch um Squid kümmern, so dass die Clients ans Internet kommen.

[syssi]

So gehts auch. Prima!

[S3bastian89]

Ist der Squid Cache eigentlich verschlüsselt?

[syssi]

Nein. Der Cache selbst funktioniert auch nur fuer nicht verschluesselten Traffic (http). Bei https laesst man den Squid eigentlich aus oder bittet ihn die Daten direkt weiterzureichen.

[S3bastian89]

und gibt es eigentlich eine Möglichkeit den Cache aus Datenschutzrechlichen Gründen zu verschlüsseln?

[syssi]

Wenn du Angst hast, dass jemand deinen Server herunterfaehrt und entwendet, dann waere Verschluesselung ein Ansatz. Da der Server aber im Betrieb auf die Daten zugreifen koennen muss ist eine verschluesselte Zwischenspeicherung der Daten nur verschwendete Rechenzeit. Ausserdem kommen die Daten unverschluesselt an und werden genauso unverschluesselt weiter gereicht.

[S3bastian89]

Ah danke syssi
Der Squid sollte ja laut Aufgabe noch mit User-Authentifizierung ausgestattet werden, wie kann das am besten realisieren?

[syssi]

Dabei handelt es sich um eine (unverschluesselte) Basic-Auth Challenge. Steht im Detail in der Dokumentation.

[S3bastian89]

Ok, ich schaue mal nach, danke