netzwerk (temporär) 3 pc mit 2x NAT

[michaa7]

ja, die lösung wäre ein switch, habe ich aber nicht und es ist nur ein temporärer workaround:

Mein home lan mit normalerweise 2 rechnern funktioniert so:

pc2 -> pc1 -> dslmodem -> internet

dazu läuft auf pc1 folgendes script:

Code: Alles auswählen

#!/bin/bash

# löschen der alten einstellungen
# iptables -F INPUT

# Alle Ketten leeren
iptables -F

# Benutzerdefinerte Ketten löschen
iptables -X

# Paketzähler und Bytezähler aller Ketten auf 0 zurücksetzen
iptables -Z

# forewarding ins LAN
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Dies funktioniert seit langer zeit prima.


Um temporär zum zweck der debian etch installation ins netz zu kommen ( und weil ich nur einen tft habe) möchte ich folge verbindung aufbauen:

pc3 -> pc2 -> pc1 -> dslmodem -> internet

In ip_s ausgedrückt schaut das so aus, bitte denkt euch jeweils "192.168." vorangestellt, ist ja immer gleich:

2.5 -> 2.4/1.3 -> 1.2/karte zum modem (mit ip vom provider) -> dslmodem -> internet

Standardgateway für pc3 ist 192.168.2.4, was vom installer auch akzeptiert wird. Als domäne habe ich sowohl die gleiche wie für netzwerk 0.1 als auch eine verschiedene versucht.

Ich muß also auch zwischen netz 2.0 und 1.0 routen. Ich dachte mir, was zwischen internet und netz 0.1 funktioniert, sollte auch zwischen netz 0.1 und 0.2 klappen (also das script kopiert und gestartet), nur tut es das nicht. Wenn ich die lämpchen an meinem modem richtig interpretiere, dann geht das zwar nach draussen (sobald der debian netinstaller versucht eine verbindung zum gewählten mirror aufzubauen blincken reproduzierbar die modemlämpchen) aber es kommt, egal mit welchem mirror, immer die meldung , dass der mirror unerreichbar wäre.

Das ist wie gesagt kein dauerhaftes netzwerk, sondern soll eben ein workaround für diesen spezialfall darstellen, ausserdem interessiert mich das nun. Was ist am routing falsch? Oder wo sonst liegt mein fehler.

[Teddybear]

Moin

Du hast nur das Script Kopiert, und dann gestartet???

Das kann dann auch nicht gehen

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Weil das ppp0 wird auf dem PC2 wohl nicht vorhanden sein..

[michaa7]

Weil das ppp0 wird auf dem PC2 wohl nicht vorhanden sein..

Hatte ich auch zwischenzeitlich bemerkt, jedoch geht es auch nicht wenn ich das so abändere:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o 192.168.1.0 -j MASQUERADE

klappt auch nicht mit 192.168.1.3 oder 192.168.1.2


ich kann auch vom pc1 nicht pc3 anpingen, nichtmal die zweite netzwerkkarte von pc2, ok, das muß auch nicht gehn in diese richtung, bzw kann ja nicht gehn weil pc1 das zweite netz nicht kennt, und aus sicht von pc2 die ankommende verbindung nicht erwartet wird, sagt also nichts aus.

von pc2 aus geht das natürlich.

[DynaBlaster]

brauch nicht der Parameter -o ein Interface - also eth0, ppp0, ippd0 , usw ?

Mach mal auf PC 2 das hier, natürlich an die Netzwerkkarte anpassen, die auf 192.168.1.3 konfiguriert ist, höchstwahrscheinlich also eth0.

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

oder noch besser gleich:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.3

Eigentlich müsste es aber reichen, wenn du eine zusätzliche Route auf dem Rechner mit der DSL-Verbindung ins Netz 192.168.2.0 über 192.168.1.3 setzt. Kaenn die Syntax jetzt nicht genau, aber irgendwas in Richtung "route add -net ....".

ip_forward muss selbstverständlich auf PC2 trotzdem noch aktiviert sein,

[michaa7]

merci, genau das war es, mit eth0 statt ip geht es.

Danke