Routing auf Gatewayserver

[wanne]

Nagut, dass Masquerading aktiviert ist, ist ja klar
Dementsprechend funktioniert das, zumal vor'm GW noch ein ganz normaler DSL-Router hängt.
Aber das war ja ursprünglich garnicht Gegenstand der Diskussion

Doch. Genau deswegen funktioniert das bei dirmit raus ins Internet.

Auch wird es schwierig, aus einem 192.168.0.0/24 ein Gateway 192.168.1.1 zu nehmen

Wiso das? Da sitzt doch gar niemand außer dem Drucker in 192.168.0.0/24

Vgl.
# route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0 gw 192.168.1.1
SIOCADDRT: Das Netzwerk ist nicht erreichbar

mit
# route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0 gw 192.168.0.1
#

Probier's mal so:

Code: Alles auswählen

#ip addr add 192.168.1.42/24 dev eth0
# route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0 gw 192.168.1.1

Genau das ist das was er konfigurieren will. (Der Rechner steht schon im Netz 192.168.1.0/24)
Siehe: https://de.wikipedia.org/wiki/Routing#S ... es_Routing
Das was du vorschlägst will man eben gerade nicht.

[mrserious]

Habe eine ergänzende Frage:

Wie sieht das mit dem DHCP-Server aus? Läuft auch auf dem GW.
Bisher läuft der in einem 16er Netz und ist dementsprechend für alle Rechner erreichbar, aber wie ist das, wenn ich diese 16er IP abschalte?
Wird dann automatisch die IP des GWs im jeweiligen Subnetz bei den Clients eingetragen?
Also ist für den Client aus Netz A der DHCP-Server 192.168.0.1 und für den Client aus Netz B 192.168.1.1? Obwohl es sich physikalisch natürlich um denselben Server handelt?

[wanne]

Die ganze Sache läuft so, dass das GW im internen Netz ("$innen") nur mit einer Netzwerkkarte hängt.

Damit kannst du auch gleich alles in ein netz hängen dufty hat ganz versehentlich bereits den Befehl gepostet, der deine Firewall dann umgeht.

[mrserious]

Öhm nein, warum?
Ich teile die Netzwerkkarte eth0 ja auf in eth0:1, eth0:2 usw. .
Und durch die Unterteilung in Subnetze können sich die Clients ja trotzdem nicht untereinander erreichen, weil iptables das ja nicht zulässt.
Oder konkret: Ich kann zwar nicht nach Interfaces filtern (weil's halt trotzdem immer dasselbe ist), aber zumindest nach IP-Bereichen.

[wanne]

Wie sieht das mit dem DHCP-Server aus? Läuft auch auf dem GW.
Bisher läuft der in einem 16er Netz und ist dementsprechend für alle Rechner erreichbar, aber wie ist das, wenn ich diese 16er IP abschalte?
Wird dann automatisch die IP des GWs im jeweiligen Subnetz bei den Clients eingetragen?

Das GW wird bei DHCP vom DHCP-Server versendet und ist somit da einzustellen.

Also ist für den Client aus Netz A der DHCP-Server 192.168.0.1 und für den Client aus Netz B 192.168.1.1? Obwohl es sich physikalisch natürlich um denselben Server handelt?

Das ist kein Problem du kannst 2 DHCP-Server starten oder einem DHCP-Server sagen, dass er verschiedenen Clients Anhand der MAC-Adresse verschiedene IPs zuordnen.
Nur solange du nur ein IF hast sehe ich den Sinn von DHCP-Nicht.
Ob du jeden Client einzeln konfigurierst oder jeden Client einzeln in den Server eintägst ist doch der gleiche Aufwand.

[wanne]

Öhm nein, warum?
Ich teile die Netzwerkkarte eth0 ja auf in eth0:1, eth0:2 usw. .
Und durch die Unterteilung in Subnetze können sich die Clients ja trotzdem nicht untereinander erreichen, weil iptables das ja nicht zulässt.
Oder konkret: Ich kann zwar nicht nach Interfaces filtern (weil's halt trotzdem immer dasselbe ist), aber zumindest nach IP-Bereichen.

Cient aus Netzwerk A kann aber sein Paket zu Client aus Netzwerk B schicken ohne dass es je am Router vorbei kommt. Da kann der filtern wie er will.

[mrserious]

Hm moment, glaube, du hast es falschherum verstanden

Wenn mein Client beispielsweise ein Windows-System ist, dann kann ich mir ja anzeigen lassen, welcher der für mich zuständige DHCP-Server ist.
Und ich möchte einfach nur wissen, ob dann automatisch die jeweilige IP des Servers aus dem zugehörigen Subnetz dort eingetragen wird.
Ob der DHCP im einen Subnet also die 192.168.0.1 und im anderen die 192.168.1.1 ist.
War missverständlich formuliert, da GW und DHCP in dem Fall dieselbe IP haben

Naja, die statische Konfiguration ist insofern praktisch, als das Gebäude relativ groß ist und da ist es dann einfacher, das kurz zentral ändern zu können.
Außerdem muss ich dann keine Buchführung über die IPs machen, sondern kann im Bedarfsfall mal gerade im Server nachschlagen

Öhm Moment, das musst du mir bitte nochmal erklären.
Also die Clients hängen ja generell (genau wie der Server) alle an einem Switch.
Werden durch den Server also quasi nicht physikalisch getrennt.
Dass man auf einem Client jetzt theoretisch die Netzmaske ändern könnte, um alle Clients erreichen zu können ist klar, ist ja auch kein VLAN oder ähnliches im Spiel.
Aber das ist mir erstmal insofern egal, als ich damit keine wirkliche Sicherheit zu erreichen versuche, sondern lediglich die Sicherheit ein bisschen erhöhen, bzw. den Broadcasttraffic reduzieren will
Außerdem kann ich später mehrere Netzwerkkarten in den Server einsetzen, sodass ich die Last besser verteilen kann etc. .

[wanne]

Naja, die statische Konfiguration ist insofern praktisch, als das Gebäude relativ groß ist und da ist es dann einfacher, das kurz zentral ändern zu können.
Außerdem muss ich dann keine Buchführung über die IPs machen, sondern kann im Bedarfsfall mal gerade im Server nachschlagen

Klingt nach gleich zwei schlagenden Argumenten.

Öhm Moment, das musst du mir bitte nochmal erklären.
Also die Clients hängen ja generell (genau wie der Server) alle an einem Switch.
Werden durch den Server also quasi nicht physikalisch getrennt.
Dass man auf einem Client jetzt theoretisch die Netzmaske ändern könnte, um alle Clients erreichen zu können ist klar, ist ja auch kein VLAN oder ähnliches im Spiel.

Im oberen Fall hätte er einfach ne 2. IP auf das IF hinzugefügt aber ja. Er muss an seiner Netzwerk-Konfiguration rumpfuschen, oder selbst Pakete raw auf die leitung schreiben.

bzw. den Broadcasttraffic reduzieren will

Hilft jetzt nichts mehr. Switches leiten Broadcasttraffic immer an alle Ports weiter.

[mrserious]

Ok, schade, dann ist das Broadcast-Argument hinüber, aber zumindest habe ich "mehr Sicherheit" gewonnen, das genügt mir auch schonmal.
Außerdem kann ich so besser koordinieren, welcher Traffic von welchem Netz in welches andere fließt.

Sehe es nun aber richtig, dass meine iptables-Konfiguration dann ja ausreicht? Klar: Der Traffic läuft nur über ein Interface, aber ich kann ja zumindest nach IP-Bereichen filtern und die Subnetze so immernoch voneinander "trennen"?

Wie steht das nun mit dem DHCP-Server?

[dufty]

Probier's mal so:

Code: Alles auswählen

#ip addr add 192.168.1.42/24 dev eth0
# route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0 gw 192.168.1.1

Genau das ist das was er konfigurieren will. (Der Rechner steht schon im Netz 192.168.1.0/24)

Ja, Du hast recht, wir sind ja jetzt wieder auf dem Gateway selbst und nicht auf einem der Clients

Also letztendlich ein
# ip addr add 192.168.0.1/24 dev eth0
# ip addr add 192.168.1.1/24 dev eth0 label eth0:1
# route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0 gw 192.168.1.1
# route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0:1 gw 192.168.0.1

Ob das gut geht

[mod3]

Versehentlicher Doppelpost...

[wanne]

# route add -net 192.168.1.0 netmask 255.255.255.0 dev eth0 gw 192.168.1.1
# route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0:1 gw 192.168.0.1

Ich war schon auf den Clients. Auf dem Server brauchst du die unteren beiden nicht.
# ip addr add 192.168.0.1/24 dev eth0
Heißt dass er alle Clients in 192.168.0.0/24 auf eth0 findet. Da brauchts kein gw mehr.