On 10/05/14 14:10, Günther J. Niederwimmer wrote:

Hallo,

Am Samstag, 10. Mai 2014, 13:37:07 schrieb Carsten Neumann:

...

On 10/05/14 11:51, Günther J. Niederwimmer wrote:

...

Hallo,

Ich hoffe ich kann das richtig formulieren ?

Mein Problem (?) oder auch nicht ;).

Wie kann man eigentlich das Broadcast in einem Netz halten?

Die bleiben sowieso in dem Netz für das sie bestimmt sind.

...

Ich habe 3 Netze,

192.168.XXX.XXX intern eth0 XXX.XXX.XXX.XXX extern eth1 ipv6 extern eth2

die Anfragen aus dem internen Netz schlagen immer auf eth1/2 auf, dadurch

zb. kommen die Anfragen aus 192.xxx.xxx.xxx Netz bei eth1 extern IPv4 oder eth2 IPV6 Netz an, das kann natürlich nicht passen?

Übrigens sind das switches, XEN Installation aber es ist egal auch auf einem

Was sind switches?

anderen rechner habe ich diese Probleme.

...

Welche "Anfragen"? Und was heißt "schlagen immer auf eth1/2 auf"? Woher kommen die denn?

aus einem der 3 Netze halt auf dem falschen Port Eingang.

Bei physikalisch getrennten Netzen ist das ungewöhnlich. Die Pakete müssen dann irgendwo durch die Raumzeit tunneln. ;-) Und was meinst Du mit "Anfragen"?

IPv6 auf dem internen oder IPv4 Netz, halt bunt gemischt immer auf dem falschen Eingang.

Mir fehlt da irgendwie eine saubere Trennung, dass 192.xxx.xxx.xxx im 192.xxx.xxxx. Netz bleibt usw. Ich habe 3 Netzwerkkarten für die Netze.

Und wo gehen die Leitungen von den Ethernet-Ports eigentlich hin, wie sieht Deine sonstige Netzwerk-Topologie aus? Dein eth0 wird wahrscheinlich an einen Switch gehen, wo die anderen Hosts des 192er Netzes hängen. Wo geht eth1 bzw. eth2 hin?

...

...

erzeugen sie immense LOG Einträge (martian source) für meinen "Geschmack" haben die nichts auf eth1/2 zu suchen?

Martian sources bekommt man eigentlich nur, wenn Hosts aus einem fremden Netz an einer Schnittstelle hängen, die für dieses Netz nicht zuständig ist. D.h. an eth1/2 hängt zumindest ein Host (der Übeltäter) aus 192.168.XXX.XXX. Auf der anderen Seite würdest du diesen Host dann nicht mehr ansprechen können, wenn er nicht an eth0 hängt.

Macht für mich erstmal keinen Sinn. Irgendwas verschweigst Du uns.

Nur was ? ;)

Das musst Du uns sagen. :-)

...

...

Nach ewigen suchen habe ich bis jetzt noch nichts gefunden?

Kann mir da jemand auf die Sprünge helfen, oder gibt es dafür keine Lösung?

-- "Seit die Mathematiker über die Relativitätstheorie hergefallen sind, verstehe ich sie selbst nicht mehr." (“Since the mathematicians have invaded the theory of relativity I do not understand it myself any more.”) - Albert Einstein

On 10/05/14 16:13, Günther J. Niederwimmer wrote:

Am Samstag, 10. Mai 2014, 15:50:24 schrieb Carsten Neumann:

...

On 10/05/14 14:10, Günther J. Niederwimmer wrote:

...

Hallo,

Am Samstag, 10. Mai 2014, 13:37:07 schrieb Carsten Neumann:

...

On 10/05/14 11:51, Günther J. Niederwimmer wrote:

...

Hallo,

Ich hoffe ich kann das richtig formulieren ?

Mein Problem (?) oder auch nicht ;).

Wie kann man eigentlich das Broadcast in einem Netz halten?

Die bleiben sowieso in dem Netz für das sie bestimmt sind.

...

Ich habe 3 Netze,

192.168.XXX.XXX intern eth0 XXX.XXX.XXX.XXX extern eth1 ipv6 extern eth2

die Anfragen aus dem internen Netz schlagen immer auf eth1/2 auf, dadurch

zb. kommen die Anfragen aus 192.xxx.xxx.xxx Netz bei eth1 extern IPv4 oder eth2 IPV6 Netz an, das kann natürlich nicht passen?

Übrigens sind das switches, XEN Installation aber es ist egal auch auf einem Was sind switches?

Ich meinte Natürlich Bridges ;).

...

...

anderen rechner habe ich diese Probleme.

...

Welche "Anfragen"? Und was heißt "schlagen immer auf eth1/2 auf"? Woher kommen die denn?

aus einem der 3 Netze halt auf dem falschen Port Eingang.

Bei physikalisch getrennten Netzen ist das ungewöhnlich. Die Pakete müssen dann irgendwo durch die Raumzeit tunneln. ;-)

Und was meinst Du mit "Anfragen"?

z.B. sowas martian source 192.168.xxx.255 from 192.168.xxx.xxx, on dev eth2

Wobei eth2 aber das IPv6 Netz ist.

...

...

IPv6 auf dem internen oder IPv4 Netz, halt bunt gemischt immer auf dem falschen Eingang.

Mir fehlt da irgendwie eine saubere Trennung, dass 192.xxx.xxx.xxx im 192.xxx.xxxx. Netz bleibt usw. Ich habe 3 Netzwerkkarten für die Netze.

Und wo gehen die Leitungen von den Ethernet-Ports eigentlich hin, wie sieht Deine sonstige Netzwerk-Topologie aus? Dein eth0 wird wahrscheinlich an einen Switch gehen, wo die anderen Hosts des 192er Netzes hängen. Wo geht eth1 bzw. eth2 hin?

auf einen HP-2510-24G Switch?

Kommen jetzt eth1 und eth2 auf _einen_ switch? Das heißt die Netze sind garnicht getrennt? Oder meinst Du sogar eth0, eth1 und eth2 kommen auf denselben Switch?!?!?!?! Das meinte ich mit "etwas verschweigen". Das mit dem _gemeinsamen_ Switch wäre ein essentieller Hinweis gewesen. Wenn Dir klar ist, dass alle Ethernet-Ports auf denselben Switch gehen, wieso wunderst Du Dich dann überhaupt, dass die Ethernet-Ports auch die Pakete für die anderen Netze sehen?

Schön langsam kommt mir der Verdacht darauf ist etwas im argen :)

VLan einrichten oder das Teil streikt ;)

VLAN oder die Warnings bzgl. der martian sources abschalten. Wieso benutzt Du dann eigentlich überhaupt drei Karten, mach das doch über eine und richte Dir Aliases mit anderen Adressen ein. Brauchst Du denn soviel Bandbreite?

Vor dem Teil habe ich etwas Panik ;)

...

...

...

...

erzeugen sie immense LOG Einträge (martian source) für meinen "Geschmack" haben die nichts auf eth1/2 zu suchen?

Martian sources bekommt man eigentlich nur, wenn Hosts aus einem fremden Netz an einer Schnittstelle hängen, die für dieses Netz nicht zuständig ist. D.h. an eth1/2 hängt zumindest ein Host (der Übeltäter) aus 192.168.XXX.XXX. Auf der anderen Seite würdest du diesen Host dann nicht mehr ansprechen können, wenn er nicht an eth0 hängt.

Macht für mich erstmal keinen Sinn. Irgendwas verschweigst Du uns.

Nur was ? ;)

Das musst Du uns sagen. :-)

Wenn ich es nur wüsste ;)

...

...

...

...

Nach ewigen suchen habe ich bis jetzt noch nichts gefunden?

Kann mir da jemand auf die Sprünge helfen, oder gibt es dafür keine Lösung?

-- "Seit die Mathematiker über die Relativitätstheorie hergefallen sind, verstehe ich sie selbst nicht mehr." (“Since the mathematicians have invaded the theory of relativity I do not understand it myself any more.”) - Albert Einstein

Am 10.05.2014 20:59, schrieb Tobias Crefeld:

Am Sat, 10 May 2014 16:13:33 +0200 schrieb Günther J. Niederwimmer :

...

...

Und wo gehen die Leitungen von den Ethernet-Ports eigentlich hin, wie sieht Deine sonstige Netzwerk-Topologie aus? Dein eth0 wird wahrscheinlich an einen Switch gehen, wo die anderen Hosts des 192er Netzes hängen. Wo geht eth1 bzw. eth2 hin? auf einen HP-2510-24G Switch? Schön langsam kommt mir der Verdacht darauf ist etwas im argen :) VLan einrichten oder das Teil streikt ;) Wenn Du alle ethX an denselben Layer2-Switch hängst, ohne die betreffenden Ports per VLAN-Konfiguration zu trennen, dann sehen sich die Karten natürlich im selben Netz. Das ist ungefähr so, wie wenn Du mit nem Kabel zwei ethX "kurzschließt".

"martian source" ist erstmal nur eine Warnung, weil der Kram trotzdem funktioniert. Auf einem Interface mit einer public Internet-Adresse ist diese Warnung wichtiger, weil es sich um spoofing-Versuche handeln könnte. In rein privaten Netzen ist es risikoärmer, kann aber auf einen Konfiguration-Fehler hinweisen.

Führt zu der Frage, warum Du das so konfiguriert hast? Entweder man will Netze (nach Layer-2) trennen oder nicht. Getrennte Netze sollten verschiedene Netzwerk-Adressen haben, genauso wie ein gemeinsames Netz nur eine Netzwerk-Adresse haben sollte - obacht, gemeint ist die Adresse des Netzwerks, nicht die eines Host!

Typischerweise während Migrationen von IP-Adressbereichen kann es vorkommen, dass in einem (Layer-2-) Netz zwei Netzwerk-Adressen parallel existieren müssen, zu denen der Host gleichermassen Zugang hat. Dann sollte man aber besser mit Alias-Adressen auf einem Interface arbeiten, so wie Carsten das schon angedeutet hat.

Hallo Günther, Carsten, Tobias, ich habe eine Frage die thematisch hier bestens dazupassen würde. Soll ich einen eigenen Thread aufmachen oder diesen hier kidnapen ??? Hmmm ;-) Bei mir geht es darum: Habe ein "internes LAN", 192.168.1.xxx (wie einfallslos ;-) ), ca. 30 hosts daran (nicht alles PCs. Erstaunich was heute alles schon eine IP Adresse hat). Und 3 WLAN-access points. (Keller, EG, 1. Stock, ...) Auf einer Maschine läuft ein DHCP server, firewall, router, usw... "Natürlich" 192.168.1.1. Verbindet sich nun ein "bekanntes" (= MAC-Adresse ist in dhcpd.conf eingetragen) Gerät mit unserem WLAN, bekommt es eine 192.168.1.xxx Adresse und alle sind glücklich. Nun möchte ich aber "befreundeten" Geräten (Laptops, Handys von guten Freunden) ebenfalls gestatten, das WLAN zu benützen. Aber bei aller Freundschaft, sie sollten vom DHCP server eine Adresse bekommen, die NICHT im 192.168.1.xxx Netz liegt. Wie beomme ich das am besten hin? Das interne LAN hängt am - nennen wir ihn "Zentralserver" - an eth1, konfiguriert mit 192.168.1.0/255.255.255.0 Wäre der richtige Weg, zb ein Alias eth1:1 anzulegen, mit z.B. 10.0.0.0/255.255.255.0 und der dhcp-server gibt "unbekannten" MACs Adressen aus einem 10er-pool ? Kann unsere suse-firewall mit netzwerk-aliasen umgehen? Ich bilde mir ein, da gabs mal irgend eine Einschränkung... Grüße, Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 2014-05-10 21:22, schrieb Norbert Zawodsky:

Am 10.05.2014 20:59, schrieb Tobias Crefeld:

...

Am Sat, 10 May 2014 16:13:33 +0200 schrieb Günther J. Niederwimmer :

...

...

Und wo gehen die Leitungen von den Ethernet-Ports eigentlich hin, wie sieht Deine sonstige Netzwerk-Topologie aus? Dein eth0 wird wahrscheinlich an einen Switch gehen, wo die anderen Hosts des 192er Netzes hängen. Wo geht eth1 bzw. eth2 hin? auf einen HP-2510-24G Switch? Schön langsam kommt mir der Verdacht darauf ist etwas im argen :) VLan einrichten oder das Teil streikt ;) Wenn Du alle ethX an denselben Layer2-Switch hängst, ohne die betreffenden Ports per VLAN-Konfiguration zu trennen, dann sehen sich die Karten natürlich im selben Netz. Das ist ungefähr so, wie wenn Du mit nem Kabel zwei ethX "kurzschließt".

"martian source" ist erstmal nur eine Warnung, weil der Kram trotzdem funktioniert. Auf einem Interface mit einer public Internet-Adresse ist diese Warnung wichtiger, weil es sich um spoofing-Versuche handeln könnte. In rein privaten Netzen ist es risikoärmer, kann aber auf einen Konfiguration-Fehler hinweisen.

Führt zu der Frage, warum Du das so konfiguriert hast? Entweder man will Netze (nach Layer-2) trennen oder nicht. Getrennte Netze sollten verschiedene Netzwerk-Adressen haben, genauso wie ein gemeinsames Netz nur eine Netzwerk-Adresse haben sollte - obacht, gemeint ist die Adresse des Netzwerks, nicht die eines Host! Typischerweise während Migrationen von IP-Adressbereichen kann es vorkommen, dass in einem (Layer-2-) Netz zwei Netzwerk-Adressen parallel existieren müssen, zu denen der Host gleichermassen Zugang hat. Dann sollte man aber besser mit Alias-Adressen auf einem Interface arbeiten, so wie Carsten das schon angedeutet hat.

Hallo Günther, Carsten, Tobias,

ich habe eine Frage die thematisch hier bestens dazupassen würde. Soll ich einen eigenen Thread aufmachen oder diesen hier kidnapen ??? Hmmm ;-)

Bei mir geht es darum:

Habe ein "internes LAN", 192.168.1.xxx (wie einfallslos ;-) ), ca. 30 hosts daran (nicht alles PCs. Erstaunich was heute alles schon eine IP Adresse hat). Und 3 WLAN-access points. (Keller, EG, 1. Stock, ...) Auf einer Maschine läuft ein DHCP server, firewall, router, usw... "Natürlich" 192.168.1.1.

Verbindet sich nun ein "bekanntes" (= MAC-Adresse ist in dhcpd.conf eingetragen) Gerät mit unserem WLAN, bekommt es eine 192.168.1.xxx Adresse und alle sind glücklich.

Nun möchte ich aber "befreundeten" Geräten (Laptops, Handys von guten Freunden) ebenfalls gestatten, das WLAN zu benützen. Aber bei aller Freundschaft, sie sollten vom DHCP server eine Adresse bekommen, die NICHT im 192.168.1.xxx Netz liegt.

Wie beomme ich das am besten hin?

Das interne LAN hängt am - nennen wir ihn "Zentralserver" - an eth1, konfiguriert mit 192.168.1.0/255.255.255.0 Wäre der richtige Weg, zb ein Alias eth1:1 anzulegen, mit z.B. 10.0.0.0/255.255.255.0 und der dhcp-server gibt "unbekannten" MACs Adressen aus einem 10er-pool ?

Ja das ist der richtige Ansatz in meinen Augen. 2 Subnetze definieren einen mit allow unknown-clients (für wlan) und einen mit deny unknown-clients (für die bekannten macs)

Kann unsere suse-firewall mit netzwerk-aliasen umgehen? Ich bilde mir ein, da gabs mal irgend eine Einschränkung...

Grüße, Norbert

lg max -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org