"Zwischenrouter"

[guennid]

Ich habe hier ein Mischsystem aus LAN und WLAN, alles pures debian. Als Kabelersatz im LAN dient das häusliche Stromnetz. Da das LAN aber bei einigen Maschinen gestört wird durch einen Rechner, der als Fernseher fungiert, habe ich die betroffenen Maschinen auf WLAN umgestellt, u.a. diejenige, die als Druckserver fungiert. Sämtliche Maschinen sind im gleichen Netz (auf jeder Maschine wird nur entweder die LAN- oder die WLAN-Nic benutzt) und kommen mit nur einem Router ins Internet. Das Problem ist jetzt, dass ich zwei sporadisch genutzte Rechner neben dem Druckserver stehen habe, die über keine WLAN-Karten verfügen, also per switch ans LAN und den Druckserver angeschlossen sind. Das erweist sich als zunehmend problematisch, sowohl was das Heimnetz als auch die Internetanbindung betrifft. Meine Idee: den Druckserver irgendwie als "Zwischenrouter" zu konfigurieren, so im Sinne von:

Rechner "guennid", wenn du Daten im Netz oder mit dem Internet austauschen willst, dann benutze gefälligst den Rechner mit der IP "xyz" (WLAN-NIC des Druckservers) und der soll sich dann gefälligst um die Weiterleitung den Daten ins Heimnetz kümmern oder per "richtigem" Router ins Internet schicken.

Geht das? Wie geht das? Ich benutze kein DHCP.

Grüße, Günther

[syssi]

Rechner "guennid", wenn du Daten im Netz oder mit dem Internet austauschen willst, dann benutze gefälligst den Rechner mit der IP "xyz" (WLAN-NIC des Druckservers) und der soll sich dann gefälligst um die Weiterleitung den Daten ins Heimnetz kümmern oder per "richtigem" Router ins Internet schicken.

Das geht grundsaetzlich aber wo ist der Vorteil?

[DeletedUserReAsG]

Rechner "guennid", wenn du Daten im Netz oder mit dem Internet austauschen willst, dann benutze gefälligst den Rechner mit der IP "xyz" (WLAN-NIC des Druckservers) und der soll sich dann gefälligst um die Weiterleitung den Daten ins Heimnetz kümmern oder per "richtigem" Router ins Internet schicken.

route add default gw [IP "xyz"]?

cu,
niemand

[guennid]

Das geht grundsaetzlich, aber wo ist der Vorteil?

Ich muss den störenden "Fernseher" austricksen!

Code: Alles auswählen

route add default gw [IP "xyz"]?

Hmm! Das muss ich erst mal verdauen.

Grüße, Günther

[guennid]

Nee, so wird das nix. Ich glaube immer mehr, dass ich um die Einrichtung zweier Netze nicht herumkomme.

Aber trotzdem besten Dank für die Denkanstöße!

Grüße, Günther

[uname]

Zweites Netz mit WISP-Client-Router nutzen. Musst mal danach suchen. Ab ca. 30 Euro.

[ChoMar]

Das geht an sich ohne größere Probleme und mit zwei, drei Eingaben.
Leider kenn ich die notwendigen EIngaben für die IP-Tables nicht. Aber Googlen nach IP-Tables, ggf. "IP-Tables Internet weitergeben", sollte helfen.

[guennid]

Das geht an sich ohne größere Probleme und mit zwei, drei Eingaben.

Worauf beziehst du dich jetzt: Auf die Einrichtung von zwei Netzen oder auf meinen ursprünglichen Ansatz, es bei einem Netz zu belassen? Mit deinen Stichworten habe ich nichts gefunden, was mir mit vertretbarem Aufwand weitergeholfen hätte.

Grüße, Günther

[syssi]

"niemand" hat dir eigentlich schon alles noetige genannt. Wenn du moechtest, dass ein Rechner alle Packete gegen einen anderen (Gateway) wirft, dann setzt man ein entsprechendes Default-Gateway: route add default gw 192.168.1.1

In der Regel ist das Default-Gateway dein Router (das Tor zum Internet). Gaebe es in deinem Netz einen DHCP, dann wuerde er mit folgenden Informationen antworten: Deine IP ist fuer die naechste Zeit die x, der DNS-Server lautet y, das Default-Gateway ist z.

Du wirst also auf deinem Rechner, der in Zukunft (zwischen) Gateway spielen soll "ip_forwarding" aktivieren:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
# bzw.
echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sysctl -w net.ipv4.ip_forward=1

Und auf dem System, welches seine Pakete in Zukunft nicht mehr gegen dein Tor zum Internet werfen soll spendierst du ein:

Code: Alles auswählen

route add default gw <ip-des-ip-forwardenden-system>
# ggf. noch einen DNS-Eintrag in die /etc/resolv.conf

Das wars. Ich bezweifel aber, dass es irgendwelche Probleme loest. Es schafft nur ein zusaetzliches...

[guennid]

Ich bezweifel aber, dass es irgendwelche Probleme loest. Es schafft nur ein zusaetzliches...

Warum sollte ich das dann tun/nicht tun? Details bitte.

Was ich wollte war:
Wenn ich auf einem Rechner, dessen kabelgebundene Internetanbindung durch den eingeschalteten "Fernseher" erheblich beeinträchtigt wird, etwas Größeres runterladen will, dann kann ich das auch gleich vergessen. Ich wollte das umgehen, indem ich dafür den wlan-Teil nutze. Ich sperre mich doch gar nicht gegen eine Aufteilung in zwei Netze, wenn es denn sinnvoller ist. Einen Grund dafür wurde aber bisher nicht genannt.

Grüße, Günther

[DynaBlaster]

Hallo,

der Ansatz von syssi funktioniert. Ergänzend dazu sei allerdings die fehlende "Rück-Route" erwähnt. Auf dem "Haupt-Router" (der mit dem Internetzugang) muss es eine Route zurück in das zweite (neue) Netz über dei WLAN-IP des Printservers geben, damit das ohne NAT/MASQUEARDING funktioniert.

Was mir nicht ganz klar ist, ist die jetzige Konfiguration auf dem Printserver. Hast du die WLAN-NIC und LAN-NIC gebdrigded? Falls nicht, sind deine Probleme eher in dem Loop, den du da erzeugt hast, zu suchen als in der Störquelle Fernsehgerät.

[guennid]

Ich glaube, ich blicke hier nicht mehr durch. Vielleicht lassen wir's besser.

[syssi]

Magst du mal dein Netzwerk etwas greifbarer Aufmalen? Mir erschliesst sich nicht inwiefern dein Fernseher in der Leitung stoert und wieso er nicht mehr stoert, wenn man einen kuenstlichen Hop hinzufuegt. Zusaetzliche WLAN-Accesspoints kann man ausserdem voellig transparent im Netzwerk integrieren - als Router nutzt man dann weiterhin "das Tor zum Internet".

[guennid]

So, aufgemalt habe ich es mal. Aber ich weiß nicht, wie ich das hochladen soll. Mit der "Galerie" komme ich nicht zurecht. Ich brauchte sowas, das ähnlich wie nopaste funktioniert. Und mit dem, was ihr da sonst noch so zum Hochladen nutzt, habe ich auch keine Erfahrungen.

Grüße, Günther

[syssi]

http://imageshack.us/ (Browse -> Jetzt hochladen) und den Link der herausfaellt zwischen ein IMG-Tag posten.

[guennid]

Ich habe zwischenzeitlich auch was gefunden, was selbst ich bedienen kann: http://www.workupload.com/file/WyBNHmT. Die gestrichelten Linien sind Funknetz (wlan). Die Teile, die am Stromnetz hängen sind daran über so ein Allnet-Teil verbunden (1685 Ethernet Bridge). Die benutze ich schon jahrelang, kann mich nicht erinnern, die irgendwie konfigureirt z haben. Die durchgezogenen Linien sind RJ45-Kabel.

Die RJ45-Verbindung zwischen Druckserver und Switch2 ist entbehrlich. Habe ich getestet. Die benutze ich nur, um den Druckserver per wakeonlan hochzufahren. eth0 auf dem Druckserver wird nach dem Booten automatisch abgeschaltet, bevor das wlan aktiviert wird. Deswegen auch identische IP, sowohl für eth0 als auch wlan. Ein Bekannter hat mir geraten, für Druckserver, R3 und R4 ein zweites Netz einzurichten. Das meine ich auch verstanden zu haben. Aber wenn's mit einem ginge, fänd ich das charmanter. Was den störenden "Fernseher" betrifft. es ist so: Solange der keinen Strom hat, funktioniert das Netz, so, wie ich es aufgezeichnet habe. Hat er Strom, kann man Druckserver, R3 und R4 vergessen: jede Menge ausgefallener Pakete. Er muss dazu nicht mal eingeschaltet sein, es genügt, dass das Netzteil unter Strom steht. Ein scheinbar sleten blödes Teil, ich weiß. Aber neu anschaffen möchte ich nicht. Deswegen möchte ich die Rechner Druckserver, R3 und R4 ausschließlich auf das wlan beschränken.

Grüße, Günther

[syssi]

Was haelst du davon auf die Verbindung zwischen Switch1 und Switch2 zu verzichten? Dann wuerdest du eth0 und wlan0 des Druckservers bridgen. Daraus entsteht ein einzelnes neues Device namens br0, welches die IP 192.168.0.110 bekommt. Die Bridge sollte dafuer sorgen, dass R3 und R4 den Router (0.251) ueber WLAN zu hoeren bekommen und ganz normal mit allen Geraeten sprechen koennen. Ein Paket von R3 wandert somit ueber den Switch2 zum Druckserver via WLAN, dann zum Swich1 und hin zum Router.

[syssi]

Die Alternative, welche dir vorgeschlagen wurde: Du packst den Druckserver (eth0), R3 und R4 in ein eigenes kleines Netzwerk. Das Geraet wlan0 (192.168.0.110) des Druckservers ist der Weg ins andere Netz. Das Setup sieht dann so aus:

R3: 192.168.1.2, Default-GW: 192.168.1.1
R4: 192.168.1.3, Default-GW: 192.168.1.2
Druckerserver: eth0: 192.168.1.1, wlan0: 192.168.0.110, Default-Gateway 192.168.0.251 (ip_forwarding aktivieren!)

Nun musst du nur noch deinem Default-Gateway (192.168.0.251) beibringen, wie es den Weg ins 1er Netz findet. Dafuer legt man eine statische Route an:

Code: Alles auswählen

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.110

Bekommen nun irgendwelche Clients aus deinem 0er Netz Anfragen aus dem dem 1er Netz, dann werfen sie ihre Pakete erstmal gegen die 0.251. Dieser weiss Bescheid und leitet sie weiter Richtung 192.168.0.110. Dies ist der Weg mit dem geringsten Aufwand.

Gruss syssi

[guennid]

Danke!

So, ich bin gerade dabei, Variante 2 umzusetzen, die du, syssi, und wohl auch andere Experten für die sauberere halten. Unaufwendig? OK, ich habe die andere ja gar nicht probiert.

Variante 2 funktioniert auch schon, zumindest im Ansatz. Folgende weitere Fragen:
Auf dem "Druckserver" habe ich zwei Abschnitte in der "interfaces", einen für eth0, einen für wlan0. Als (Default-) Gateway wird aber ausschließlich das "alte" (...0.110) eingetragen - richtig? Ich habe das jetzt zweimal darin stehen, einmal im eth0-Abschnitt und einmal im wlan0-Abschnitt. Das empfinde ich zumindest als unschön. Ändern?

Code: Alles auswählen

R4: 192.168.1.3, Default-GW: 192.168.1.2

War die 2 im Default-GW ein Tippfehler oder habe ich das nicht verstanden? Ich dächte, in deinem Beispiel sollte eine 1 da stehen.

Grüße, Günther

[syssi]

Das "unaufwendig" war auf die Client-Konfiguration bezogen. Haeufig moechte man nicht auf jedem Geraet im Netzwerk eine Route ins jeweils andere Netz konfigurieren. Deshalb nimmt man gelegentlich hin, dass Pakete erstmal zum Default-Gateway wandern, um dann wieder "zurueck" geschickt zu werden anstatt direkt den Weg uebers korrekte Gateway zu nehmen.

Auf dem "Druckserver" habe ich zwei Abschnitte in der "interfaces", einen für eth0, einen für wlan0. Als (Default-) Gateway wird aber ausschließlich das "alte" (...0.110) eingetragen - richtig? Ich habe das jetzt zweimal darin stehen, einmal im eth0-Abschnitt und einmal im wlan0-Abschnitt. Das empfinde ich zumindest als unschön. Ändern?

Es genuegt, wenn du ein Default-Gateway fuer wlan0 setzt. Fuer eth0 solltest du kein Gateway setzen.

Code: Alles auswählen

R4: 192.168.1.3, Default-GW: 192.168.1.2

War die 2 im Default-GW ein Tippfehler oder habe ich das nicht verstanden? Ich dächte, in deinem Beispiel sollte eine 1 da stehen.

Ups, klar! Das ist ein boeser Tippfehler. Alle Geraete im 1er Netzwerk sollten den Druckserver als Gateway nutzen (192.168.1.1).

[guennid]

Ich krieg's nicht gebacken.

Ich fang mal von "oben" an. Router und "Druckserver" wie vorgeschlagen eingerichtet. Ich kann vom router und auch von einem client im 0er-Netz aus nur 192.168.0.110 anpingen, 192.168.1.1 nicht. Hängt das vielleicht mit shorewall auf dem Router zusammen?

Grüße, Günther

[syssi]

Fuer einen Ping vom Router (0.251) -> Druckserver (1.1) muss folgendes gewaehrleistet sein:

• 192.168.1.0er Route auf dem Router vorhanden (bitte die Ausgabe von "route -n" posten)
• Interface eth0 auf dem Druckserver aktiv (bitte die Ausgabe von "/sbin/ifconfig" posten)
• ip_forwarding auf dem Druckserver aktiv (bitte die Ausgabe von "cat /proc/sys/net/ipv4/ip_forward" posten)

Dann waeren noch deine gewaehlten Netz-Masken wichtig. Sie muessen so aussiehen: 255.255.255.0

Natuerlich kann auch die Firewall stoeren. Ich weiss nicht, wie die Standard-Firewall einer Shorewall aussieht. Ggf. lohnt sich also ein Blick ins Regelwerk der Firewall. Wenn die Shorewall nur 192.168.0er Traffic auf dem LAN-Port erlaubt, dann sollte die Firewall aufgebohrt werden.

[guennid]

Ich bin eben beim Posten rausgeflogen Nachddem ich alle Antworten parat hatte. Ich habe für heute die Nase ziemlich voll. Deswegen jetzt nicht nochmal. Aber vielleicht genügt dir auch das: eine Route auf
/etc/shorewall/masq:

Code: Alles auswählen

#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC  $
ppp0                    192.168.1.0/16

Mit dem Eintrag 192.168.100.0/16 ändert sich nichts an der Ausgabe von route -n

eth0 ist das "nach innen" gerichtete device

Router:

Code: Alles auswählen

# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
217.0.117.50    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

Druckserver

Code: Alles auswählen

# /sbin/ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:03:47:84:e7:80  
          inet Adresse:192.168.1.1  Bcast:192.168.1.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:1254 errors:0 dropped:0 overruns:0 frame:0
          TX packets:705 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:190157 (185.7 KiB)  TX bytes:148248 (144.7 KiB)

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:77 errors:0 dropped:0 overruns:0 frame:0
          TX packets:77 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:6780 (6.6 KiB)  TX bytes:6780 (6.6 KiB)

wlan0     Link encap:Ethernet  Hardware Adresse 00:16:0a:21:1e:c9  
          inet Adresse:192.168.100.110  Bcast:192.168.100.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2926 errors:0 dropped:854 overruns:0 frame:0
          TX packets:1575 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:346763 (338.6 KiB)  TX bytes:313014 (305.6 KiB)

Code: Alles auswählen

# cat /proc/sys/net/ipv4/ip_forward
1

[syssi]

Auf dem Router fehlt die Route zum 1er Netz. Ein "route -n" muesste folgende Zeile enthalten:

Code: Alles auswählen

192.168.1.0    192.168.100.110   255.255.255.0  U  0 0 0 eth0

So lange das nicht der Fall ist kann ein ping einer IP aus dem 1er Netz nicht funktionieren. Vielleicht ist dir nicht klar, dass ein:

Code: Alles auswählen

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.100.110

keinen Reboot des Routers ueberlebt. Dafuer musst du den Route-Eintrag in die /etc/network/interfaces schreiben. So sieht ein solcher Block aus:

Code: Alles auswählen

iface eth0 inet static
address 192.168.100.251
netmask 255.255.255.0
...
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.100.110 dev eth0

Nicht wundern, dass sich so viele IPs geaendert haben. Ich dachte bisher, dass du ein 0er Netz betreibst. Deshalb ist aus den ganzen Nullen nun eine 100 geworden.

Die /etc/shorewall/masq hat ausserdem nichts mit Routen zu tun. Die Datei beschreibt welche IPs zum Internet hin (ppp0) per Masquerading maskiert werden. Versucht also eine IP aus dem 100er Netz ins Internet zu gelangen, dann weiss dein Router an Hand dieser Konfiguration das er alle 100er IPs gegen deine WAN-IP ersetzen muss. Mit der aktuellen Konfiguration deiner Shorewall koennen also nur 100er IPs surfen, da sie korrekt maskiert werden. Spaeter wirst du noch einen Eintrag fuer die 1er IPs anlegen muessen, damit auch diese sauber ins Internet kommen. Fuers Erste sollte aber erstmal die interne Kommunikation zwischen den beiden kleinen Netzen funktionieren. Danach kann man sich um das Verhalten zwischen den beiden Netzen und dem Internet kuemmern.

[guennid]

Dafuer musst du den Route-Eintrag in die /etc/network/interfaces schreiben.

Dass war eh klar. Aber dass er so lauten musste:

up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.100.110 dev eth0

, das hast du unterschlagen!!!

Pingen funktioniert jetzt! Danke!

Die /etc/shorewall/masq hat ausserdem nichts mit Routen zu tun.

Es war die einzige shorewall-config, in der ich einen Bezug zu den IPs gefunden hatte.

Grüße Günther