Routing von einem Netzwerk in ein anderes

Motte · Beitrag von **Motte** » 30.01.2005 21:45:23

HI Leute,

ich möchte auf einem "alten" 400er Pentium 2 einen Router installieren, der jedoch nicht über ein Modem mit dem Internet verbunden ist, sondern über ein Gbit Netzwerk der Uni.

Jetzt habe ich bloß leider überhaupt keine Ahnung, wie man das anstellt, dass der Rechner auf der estenNetzwerkkarte das"lokale" Netz ansteuert, und über die zweite das Internet routet.

Gibt dafür eine (vielleicht ausführliche (mit Hintergrundinfos??)) Anleitung?

Danke für eure Infos

Hier noch kurz die Infos zu meinem Rechner:
2 Netzwerkkarten: 1Gbit Sysconnect, eine 100Mbit Karte Realtek

Thx

pdreker · Beitrag von **pdreker** » 30.01.2005 22:12:18

Das geht grundsaetzlich ganz genau so, nur dass Du halt nicht ppp0 als Internet Interface hast, sondern eth0 (oder eth1, je nachdem wie herum Du es verkabelt hast).

Patrick

DynaBlaster · Beitrag von **DynaBlaster** » 01.02.2005 10:35:40

Wenn du mit deinem Router in beide Netze kommst, also ins lokale und ins Uni-Netz pingen kannst, wirst du wohl dein lokales Netz maskieren müssen, um mit den Clients ins Internet zu kommen. Oder hat das Uni-Rechenzentrum eine Route in dein "lokales" Netz gesetzt ? Ist dies nicht der Fall, schau dir mal das hier an:
http://www.debianforum.de/wiki/?page=in ... bianmanier

Selbstverständlich kannst du in deinem Fall den ganzen ppp und pppoe-Kram weglassen. Dein internes Interface ist dann die Karte, die mit dem internen Netz verbunden ist. Das externe Device entspricht dann der GBit-Karte ins Uni-Netz. Auf dem Router müssen dann noch für die GBit-Karte das Gateway der Uni und ein Nameserver eingetragen werden - die Clients im lokalen Netz bekommen den Router als Standardgateway untergeschoben.

Motte · Beitrag von **Motte** » 01.02.2005 23:49:49

also, so sehen erstmal meine Verbindungen nachdem Hochfahren aus:

ifconfig

eth0 Protokoll:Ethernet Hardware Adresse 00:00:5A:9F:02:F5
inet Adresse:172.20.168.240 Bcast:172.20.168.255 Maske:255.255.255.0
inet6 Adresse: 2001:638:204:39:200:5aff:fe9f:2f5/64 Gültigkeitsbereich:Global
inet6 Adresse: fe80::200:5aff:fe9f:2f5/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:93 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:10975 (10.7 KiB) TX bytes:4294967160 (3.9 GiB)
Interrupt:10 Speicher:febf8000-0

eth1 Protokoll:Ethernet Hardware Adresse 00:40:F4:85:16:0E
inet Adresse:192.168.1.127 Bcast:192.168.1.255 Maske:255.255.255.0
inet6 Adresse: fe80::240:f4ff:fe85:160e/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:248 (248.0 b) TX bytes:378 (378.0 b)
Interrupt:9 Basisadresse:0xe800

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:22 errors:0 dropped:0 overruns:0 frame:0
TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:1404 (1.3 KiB) TX bytes:1404 (1.3 KiB)

Das scheint ja alles so weit in Ordung zu sein.

Das habe ich jetzt als Script eingetragen:

nach http://nopaste.debianforum.de/70 verschoben - blackm

leider wird das Script nicht ausgeführt:

der Kernel sagt beim Booten:

Permission denied - keine Ahnung warum (kleine Frage nebenbei - wo kann man die Kernelmessages nachlesen??)

Thx

Motte · Beitrag von **Motte** » 02.02.2005 00:40:14

Bloß noch ein paar Fragen:

wo muß das Script dann hin?

nach init.d und von dort aus eine symb. Link nach rc5.d oder rcS.d?

oder kann man das Script auch direkt in einen dieser beiden ordner verschieben.

Welche Rechte muß ich dafür setzen?

Das externe Device entspricht dann der GBit-Karte ins Uni-Netz. Auf dem Router müssen dann noch für die GBit-Karte das Gateway der Uni und ein Nameserver eingetragen werden - die Clients im lokalen Netz bekommen den Router als Standardgateway untergeschoben.

Wen ich mir eine IP dyamisch vegeben lasse, sollte das dann nicht schon geschen sein? Mit dem Router kann ich ja ins Netz

Motte · Beitrag von **Motte** » 03.02.2005 11:45:54

Kann sich bitte mal jemand meine Config ansehen (und sorry für den Post, der mich in der Liste wieder nach oben bringt

)

DynaBlaster · Beitrag von **DynaBlaster** » 03.02.2005 14:43:35

Ich habe mein Firewall/NAT-Script in /etc/init.d/ abgelegt. Die Datei muss ausführbar sein, also "chmod 700 deinscriptname". Dann die Symlinks in /etc/rc2.d/ und /etc/rc3.d/ setzen und fertig. Es gibt auch einen Befehl zum automatischen Erzeugen derSymlinks. Ich glaube der war "rc-update add deinscriptname default" - bin mir aber nicht sicher. Dann sollte er das Script beim Booten starten.

Korrektur:
Hab das gerade noch einmal getestet, die richtige Syntax ist "update-rc deinscriptname defaults"

DynaBlaster · Beitrag von **DynaBlaster** » 03.02.2005 17:04:20

Hab jetzt grad ein bisschen Zeit auf der Arbeit.

Nimm erst einmal ein einfacheres Script:

Code: Alles auswählen

#!/bin/sh

# alte Einträge löschen

iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

# erst einmal alles verbieten

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Einschalten von ip-Forwarding 
 echo "1" > /proc/sys/net/ipv4/ip_forward

# alles auf dem Loopback-Device erlauben

iptables -A INPUT -i lo ACCEPT
iptables -A OUTPUT -i lo ACCEPT

# eingehende Pakete auf eth0 zulassen, die zu einer bestehenden Verbindung gehören

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# eingehende Pakete für das lokale Netz erlauben, die zu einer bestehenden Verbindung ehören

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Pakete aus dem LAN (eth1) erlauben

iptables -A INPUT -i eth1 -j ACCEPT

# Pakete von eth1 nach eth0 erlauben

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Traffic, den der Router selbst initiiert erlauben

iptables -A OUTPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -i eth0 -j ACCEPT

# Masquerading aktivieren

iptables -A POSTROUTING -o eth0 -t nat -j MASQUERADE

Hoffe ist kein Fehler drin

Motte · Beitrag von **Motte** » 04.02.2005 02:39:04

Thx, Leute - ich werde das heute gleich mal ausprobieren - sobald ich etwas geschlafen habe

Motte · Beitrag von **Motte** » 07.02.2005 03:00:20

Also, scheinbar läuft das Script (habe das erste aus meinen Posts genutzt) jetzt - leider nur für meinen Linux-Rechner - mein Windows-Rechner will noch nicht so recht - was muß ich jetzt noch einstellen?

Ich nehme mal an, den Gateway - was ich auch gemacht habe: entsprechend für eth0 auf 192.168.1.127

muß ich noch einen DNS-Server einstellen? der einen WINS?

Motte · Beitrag von **Motte** » 07.02.2005 16:15:34

hm, ich kann zwar andere Rechner, und auch das Internet anpingen, jedoch bekomme ich keinen Response - die Daten gehen einfach im Nirvana verloren - warum auch immer - warum es dann aber für den Router ohne Probleme funktioniert ist mir schleierhaft

Motte · Beitrag von **Motte** » 07.02.2005 17:14:06

ja manchmal hat man ein Brett vor dem Kopf - ich habe den Fehler gefunden:

diese kleine Zeile hat den Ausschlag gegeben:

INTLAN=192.168.1.0/24

leider hatte ich das mißverstanden - ich hatte angenommen, das dies der Bereich (0-24) ist, in dem IP-Adressen erlaubt sind - und habe einfach mal frisch fröhlich:

INTLAN=192.168.1.0/128 eingetragen - was natürlich zu einem Fehler führte

wie soll man auch wissen, dass das eine andere Schreibweise für die Netzmaske 255.255.255.0 ist

Erstmal Thx an alle, die mir geholfen haben