Zwei Netzwerke routen!

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Zwei Netzwerke routen!

Beitrag von fte213 » 26.04.2004 07:16:26

Hallo!

Kann mir jemand ganz genau schreiben, wie ich 2 ganz normale Netzwerke mit unterschiedlicher Netzwerkadresse und dem "route" Befehl und allem drum herum zum routen bringe? Gehts auch mit anderen Befehlen?

MAche schon 3 Tage rum und nichts tut sich. Im Internet ist nichts, aber gar nichts zu finden was mir weiterhilft :-(

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 26.04.2004 08:07:31

Vielleicht solltest Du ein paar detailierte Infos posten, damit man "konkret" helfen kann, aber hier findest Du schon mal einen Einstieg (ab Kapitel 4.4):

http://www.64-bit.de/dokumentationen/ho ... WTO-4.html

Gruss, mistersixt.

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 26.04.2004 11:24:44

Danke! Habs inzwischen auch rausgefunden. Hatte die Route zurück vergessen!

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 26.04.2004 15:09:45

Die Route geht und ich kann pingen!

Leider kann ich aber vom einen Netzwerk über den Ethernetrouter auf das andere Netzwerk, wo der WAN-Router hängt (fli4l) nicht ins WAN (Internet) pingen!

Grosses Fragezeichen????? Ist da auf dem Ethernetrouter noch was "zu"?

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 26.04.2004 15:14:55

Kannst Du denn von Deinem Ethernet-Router Rechner im Internet pingen? Wenn ja, mach doch mal ein traceroute zu einer Internet-Adresse, dann siehst Du doch, wie weit Du kommst und wo es klemmt.

Gruss, mistersixt.

Benutzeravatar
Maikel
Beiträge: 1267
Registriert: 13.04.2004 15:39:25
Wohnort: Gelsenkirchen
Kontaktdaten:

Beitrag von Maikel » 26.04.2004 15:18:58

Wie siehts denn mit den Gateways aus? Wenn ich mich nicht irre muss ja in der 2ten Route die IP selbst als Gateway gesetzt werden um ins das andere Netz (den mit dem Router) zu gelangen. Oder irre ich mich da wirklich?
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it ;)"

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 26.04.2004 15:25:32

Was für eine zweite Route? Was für ein 2ter Rechner?

Du musst mal ganz klar aufschreiben, was genau für IP-Adressen (ifconfig -a) und Routen (netstat -rn) Du auf welchen Rechner hast und wie Dein Netzwerk aussieht!

Ich nehme mal an:


NETZ A <---> Ethernet-Router <---> NETZ B <---> FLIT4L <---> "Böses Internet"

Und Du willst aus Netz A ins Internet. Richtig oder falsch?


mistersixt.

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 26.04.2004 15:41:53

Richtig!

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 26.04.2004 15:43:41

?? Er hatte Dich doch um genauere Daten gebeten? Ein einfaches 'Richtig' ist wohl kaum das Gewünschte, oder?
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 26.04.2004 15:44:15

Super, was ist nun mit den Ausgaben von "ifconfig -a" und "netstat -rn" auf Deinen 2 Rechnern? Was sagt traceroute?

[edit]
Danke Bert...
[/edit]

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 26.04.2004 16:28:25

Liefere alles nach! Mache heute Abend auch eine Grafik, nachdem ich jetzt mal Network Notepad gefunden habe und das sogar Freeware ist :-) Ich freue mich zumindest mal eine tolle Plattform für Debian und drumrum gefunden zu haben.
>> Musste ich mal kurz los werden!

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 28.04.2004 15:40:20

hier schonmal die testumgebung, die ich aber grad noch schnell konfigurieren muss:

Bild

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 28.04.2004 22:01:58

Also als Client PC hab ich nen Windowsrechner!

tracert bringt keine Werte.

Fakt ist, dass ausser Ping nichts durch den Debian-Server geht. Ping funzt!

Netmal mit SSH kann ich vom Windows über Debian auf den fli4l zugreifen :-(

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 29.04.2004 22:10:37

Sieht so aus, als wenn nur ICMP und nicht TCP gerotet werden. Um nochmal auf die Bitte von Mistersixt zurückzukommen? Wie sehen denn die Daten aus? Hast Du IP Forwarding enabled? Firewallregeln? ...
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

Benutzeravatar
linux-tux
Beiträge: 400
Registriert: 07.04.2004 08:09:13
Wohnort: Klagenfurt
Kontaktdaten:

Beitrag von linux-tux » 29.04.2004 22:27:11

hy,

probier mal folgendes:

Code: Alles auswählen

iptables -A FORWARD -j ACCEPT
iptables -F FORWARD
iptables -A FORWARD -s 192.168.0.0/16 -d 0/0 -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to-source 
172.16.1.0

eth0 = 172.16.1.0
eth1 = 192.168.0.0


ps.: groß- und kleinschreibung beachten und tabs ebenfalls!!!

mfg


Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 30.04.2004 14:44:19

@fte213: da Du recht verzweifelt alte Threads rauskramst ;-) :
Gib uns mal bitte die Ausgaben (in code tags gefasst) der folgenden Befehle:

Code: Alles auswählen

route -n

Code: Alles auswählen

ifconfig

Code: Alles auswählen

iptables -L

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward
Wenn Du dann noch Lust hast, kannst Du ja mal auf dem Router ein

Code: Alles auswählen

tcpdump -i <interface_zum_client>
machen. Und wärend das läuft, mal einen tcp - Zugriff auf einen der i4l Oruter (oder das Internet) machen. Dan solltst Du eventuell sehen, ob und warum die tcp Packete nicht zugestellt werden.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 30.04.2004 15:39:37

route -n

Code: Alles auswählen

server:~# 
server:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.22.2    0.0.0.0         UG    0      0        0 eth0
server:~# 
ifconfig

Code: Alles auswählen

server:~# 
server:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:FC:A0:A6:46  
          inet addr:192.168.22.1  Bcast:192.168.22.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1175 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3381 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:112156 (109.5 KiB)  TX bytes:213230 (208.2 KiB)
          Interrupt:11 Base address:0xa000 

eth1      Link encap:Ethernet  HWaddr 00:50:FC:A0:A6:31  
          inet addr:192.168.20.1  Bcast:192.168.20.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:26094 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10730 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:2076047 (1.9 MiB)  TX bytes:1994437 (1.9 MiB)
          Interrupt:9 Base address:0xc000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1154 (1.1 KiB)  TX bytes:1154 (1.1 KiB)

server:~# 
iptables -L

Code: Alles auswählen

server:~# 
server:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh 
DROP       tcp  --  anywhere             anywhere           
DROP       udp  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
DROP       tcp  --  anywhere             anywhere           
DROP       udp  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
server:~# 
ip_forward

Code: Alles auswählen

server:~# 
server:~# cat /proc/sys/net/ipv4/ip_forward
1
server:~# 
server:~# 

Für IP-tables habe ich folgendes Script eingefügt, hatte es auch nur mal mit allem durchlassen reingemacht, hatte aber auch nichts gebracht, war vielleicht auch falsch kA:

Code: Alles auswählen

#! /bin/sh

	IF_LAN="eth1"
	IF_DSL2="eth0"
	IF_LAN_NET="192.168.20.0/24"
	IF_DSL2_NET="192.168.22.0/24"
#	IF_WLAN="wlan0"


#         	  (SMB)    (NFS)     (X11)
	BAD_TCP="135:139 1433 2049 5999:6063"
	BAD_UDP="135:139 1433 2049 5999:6063"



	case "$1" in
  		start)

# Hier alle Befehle einfügen, die ausgeführt werden sollen,
# wenn das Skript mit dem Parameter "start" ausgeführt wird


	echo "Regeln reinigen und löschen..."
        	echo 0 > /proc/sys/net/ipv4/ip_forward
        	iptables -F
        	iptables -t nat -F
        	iptables -t mangle -F



# ICMP-Pakete nicht weiter kontrollieren

	iptables -A FORWARD -p icmp -j ACCEPT



echo "  Bestehende und neue Verbindungen erlauben..."
	iptables -A INPUT -m state --state ESTABLISHED,RELATED -i $IF_LAN -j ACCEPT
	iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i $IF_DSL2 -j ACCEPT

	iptables -A INPUT -m state --state ESTABLISHED,RELATED -i $IF_DSL2 -j ACCEPT
	iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i $IF_LAN -j ACCEPT


echo "  Für Loopback-Interface alles erlauben..."
	iptables -A INPUT -i lo -j ACCEPT
	iptables -A OUTPUT -o lo -j ACCEPT


echo "  Aus dem LAN alles erlauben..."
	iptables -A INPUT -i $IF_LAN -j ACCEPT
	iptables -A FORWARD -i $IF_LAN -j ACCEPT

	iptables -A INPUT -i $IF_DSL2 -j ACCEPT
	iptables -A FORWARD -i $IF_DSL2 -j ACCEPT



# Falls erwünscht hier WLAN (DHCP,SSH,HTTP,Internet):
echo "  WLAN-REgeln erstellen..."
  	#iptables -A INPUT -p tcp --dport 53 -i $IF_WLAN -j ACCEPT
	#iptables -A INPUT -p udp --dport 53 -i $IF_WLAN -j ACCEPT
	#iptables -A INPUT -p tcp --dport 67 -i $IF_WLAN -j ACCEPT
	#iptables -A INPUT -p udp --dport 67 -i $IF_WLAN -j ACCEPT



	#iptables -A FORWARD -p tcp --dport 22 -i $IF_WLAN -j ACCEPT
	#iptables -A FORWARD -p tcp --dport 80 -i $IF_WLAN -j ACCEPT
	#iptables -A FORWARD -d ! $IF_LAN_NET -i $IF_WLAN -j ACCEPT



echo "  Lokale Dienste erlauben:"
echo "    SSH..."
	iptables -A INPUT -p tcp --dport 22 -j ACCEPT
	

echo "  Rest verwerfen..."

	iptables -A INPUT -p tcp -j DROP

	iptables -A INPUT -p udp -j DROP

	iptables -A INPUT -j DROP

	iptables -A FORWARD -p tcp -j DROP

	iptables -A FORWARD -p udp -j DROP

	iptables -A FORWARD -j DROP



echo "Paket verwerfen falls nicht zuordenbar..."
	iptables -P INPUT DROP
	iptables -P OUTPUT ACCEPT
	iptables -P FORWARD DROP



echo "Routing starten..."
	echo 1 > /proc/sys/net/ipv4/ip_forward



      ;;
  stop)
      # Hier die Befehle einfügen, die die Aktionen unter "start"
      # rückgängig  machen, also z.B. einen Prozess  beenden oder
      # die IPTABLES-Regeln wieder entfernen


echo "Routing deaktivieren..."
        echo 0 > /proc/sys/net/ipv4/ip_forward
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -F
        iptables -t nat -F
        iptables -t mangle -F
        


      ;;
  *)
      # Das hier wird  ausgeführt, wenn der Benutzer  keinen oder
      # einen unbekannten Parameter übergibt.  Normalerweise wird
      # dann eine Info ausgegeben, wie das Skript zu benutzen ist

echo "Verwendung: ./firewall {start|stop}"
        exit 1

      ;;
esac

exit 0
Quelle: http://www.gubler.cjb.net/elws/iptables.php


Mein Netzwerk (ohne DSL1):

Bild

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 30.04.2004 22:40:31

Sieht ja alles ganz gut aus. Das Firewallscript hab ich mir nicht angeschaut, dazu mach ich das zu selten, um das gleich zu überblicken. Ich würd die Firewall erstmal deaktivieren, bis es soweit geht. (echo 1 > /proc/sys/net/ipv4/ip_forward muß aber aktiv bleiben)

Was mir gerade noch einfällt: Hast Du auf dem DSL2 Router auch eine Route in das 192.168.20.x Netzwerk drin? Sonnst weiß der Kernel dort ja nicht, wohn er Packete an solche Adressen senden soll und schickt sie an seine default route... Also ins Internet.

Du kannst das durch den folgenden Befehl auf DSL2 erreichen:

Code: Alles auswählen

route add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.22.1 
Wo Du das genau in fli4l unterbringst kann ich Dir nicht sagen. Ich kenn fli4l nicht nicht.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 01.05.2004 00:08:33

Die ist drin! Pingen geht ja auch von überall überall hin. Nur SSH und Internet und alles geht überhaupt nicht.

Auch als ich nichts mit iptables und Firewall gemacht hatte wars der gleiche Effekt, deshalb versteh ich das ja nicht.

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 01.05.2004 01:16:22

Kannst Du mal

Code: Alles auswählen

route -n
auf dem fli4l ausgeben? So langsamm seh ich es nicht mehr.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 01.05.2004 13:19:28

Echt komisch! Hab jetzt so ziemlich alles an Routen ausprobiert!

Und wie gehabt, alles Pings gehen überall hin. Nur Ping allein ist halt auch keine effektive Verbindung ;-(

Auf dem fli4l siehts so aus:


Code: Alles auswählen

dsl2 2.0.8 # route -n

Kernel routing table
Destination     Gateway         Genmask         Flags MSS    Window Use Iface
10.112.112.113  *               255.255.255.255 UH    0      0        0 ppp0
192.168.22.0    *               255.255.255.0   U     0      0        0 eth0
192.168.20.0    192.168.22.1    255.255.255.0   UG    0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         *               *               U     0      0        0 ppp0
dsl2 2.0.8 # 





dsl2 2.0.8 # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:80:C8:4D:F3:E5  
          inet addr:192.168.22.2  Bcast:192.168.22.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3204 errors:0 dropped:0 overruns:0 frame:0
          TX packets:99 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:234087 (228.6 kb)  TX bytes:7726 (7.5 kb)
          Interrupt:10 Base address:0x6100 

eth1      Link encap:Ethernet  HWaddr 00:50:FC:A0:A6:38  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 b)  TX bytes:1260 (1.2 kb)
          Interrupt:9 Base address:0x6200 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:3924  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:568 (568.0 b)  TX bytes:568 (568.0 b)

ppp0      Link encap:Point-Point Protocol  
          inet addr:10.112.112.112  P-t-P:10.112.112.113  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:171 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:10 
          RX bytes:0 (0.0 b)  TX bytes:10821 (10.5 kb)

dsl2 2.0.8 # 


Olaf Dietsche
Beiträge: 520
Registriert: 12.06.2003 23:18:50
Wohnort: Siegburg

Beitrag von Olaf Dietsche » 01.05.2004 14:42:40

Hast du vielleicht forwarding ausgeschaltet? Was liefert

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward
auf deinem Traffic-Shaper?

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 01.05.2004 15:00:24

Buwe es geht!

Und wieder lag es nicht am Debian-Router, im fli4l musste folgendes hinzugefügt werden:

#------------------------------------------------------------------------
# Maskieren des Netzwerkes:
#------------------------------------------------------------------------
MASQ_NETWORK='192.168.22.0/24 192.168.20.0/24' # zu maskierendes Netzwerk (z.B. dein LAN)


Weiss jemand was das in normaler Konfigurationsspreche, z.B. bei Debian bedeutet?

Olaf Dietsche
Beiträge: 520
Registriert: 12.06.2003 23:18:50
Wohnort: Siegburg

Beitrag von Olaf Dietsche » 02.05.2004 10:09:50

Die 192.168.* sind private Adressen und müssen deshalb vom Router in offizielle Adressen umgesetzt werden (Masquerading).
http://www.fli4l.de/german/howtos/howto ... li4l-2.htm

fte213
Beiträge: 70
Registriert: 11.01.2004 12:31:28
Wohnort: 74889 Sinsheim

Beitrag von fte213 » 02.05.2004 11:42:31

Aja, danke!

Antworten