On 29/04/14 23:42, Harald Stürmer wrote:
Am Dienstag, 29. April 2014, 20:36:59 schrieb Carsten Neumann:
On 28/04/14 17:52, Harald Stürmer wrote:
Vielleicht geht auch folgendes. Der DHCP-Server des WAN-Routers - Speedport. Easybox oder wer auch immer - wird ausgeschaltet. Der Linux-Router versorgt _alle_ Netze, also auch
Ist wohl die beste Lösung.
192.168.2.0/24 mit DHCP und wählt für _seine_ Default-Route den Speedport. Die Hosts in _allen_ Netzen gehen dann über den Linux-Router als Gateway. Der Speedport bleibt in seinem Netz 192.168.2.0/24. Das ist das Problem. Der Speedport kann die Pakete nur zu den Hosts zurückschicken, wenn die in dem gleichen Netz sind wie er, oder mit NAT die Adresse umgeschrieben wurde, da man keine manuelle Route eintragen kann. D.h. er muss für NAT in einem eigenem Netz hängen. Alternativ böte sich höchstens die möglichkeit an, den Speedport mit z.B. openWRT zu versehen, dann ist da deutlich mehr möglich. Ist aber auch kein einfacher Weg, der im schlimmsten Fall den Speedport unbrauchbar macht. Da der PC1 im selben Netz hängt wie der Speedport, macht in dem Fall der Linux-router kein NAT für den. Es müsste aber funktionieren, wenn der PC
Deswegen meinte ich, dass der Speedport seinen DHCP-Server abgeschaltet haben sollte. Dann kann der DHCP-Server des Linux-Routers sagen, das er als alleiniges Gateway zuständig ist. Dann macht der das NAT (das hatte ich vergessen, zu erwähnen) für _alle_ Netze und reicht sie an sein Default-Gateway, den Speedport, weiter. Wenn der Speedport kein WLAN hat, kann der natürlich alleine - neben dem Linux-Router - in seinem Netz hängen. Ansonsten spielt der Speedport WLAN<->Ethernet Bridge. Auf dem Linux-Router kann man dann auch noch einen Radius-Server unterbringen.
manuell mit den Routen konfiguriert wird, d.h. routing in die Subnetze mit der Adresse vom Linux-router, und Default Gateway der Speedport. Dann bleibt an der Stelle nur das Problem, dass PC1 nicht auf die "internen" PCs zugreifen kann, sondern nur auf die antworten, da das NAT einen Verbindungsaufbau verhindert, wenn kein Port forwarding konfiguriert ist. Des weiteren müssen alle Clients im selben Subnetz die gleiche Netzmaske haben, alles andere führt zu Problemen, da die richtige Route nicht ermittelt werden kann.
Das wäre fast dieselbe Konfiguration wie von Harald weiter unten beschrieben, jedoch muss der Speedport nicht in ein eigenes Netz.
Bei mir war übrigens die Motivation, das "externe" LAN zu nutzen, dass ich so das eingebaute WLAN meiner Easybox nutzen kann. So kann ich meinen RaspberryPi ohne störendes Netzwerkkabel quer durch's Wohnzimmer am Fernseher betreiben. :-) Die Frage war an der Stelle mehr, wozu das interne Netz abtrennen willst in eigene Subnetze, wenn der Zugriff sowieso in alle Richtungen funktionieren soll. Oder habe ich da was übersehen? Proxy macht heutzutage nur noch Sinn, wenn Du den Zugang zu bestimmten Seiten oder zu bestimmten Zeiten beschränken willst.
Nen Proxy habe ich nur für TOR und Squid halte ich auch vor, aber das ist 'ne andere Geschichte. :-) Das mit den unterschiedlichen Netzen ist bei mir evolutionär gewachsen. Eigentlich wollte ich mein internes Gigabit-Netzwerk vom äußeren langsameren mit WLAN aus Geschwindigkeits- und Sicherheitsgründen trennen und habe trotz WPA2 das externe auch in die external zone gelegt. Als ich begann immer mehr Geräte über WLAN anzubinden, die auch auf mein internes Netz Zugriff haben sollten, habe ich dann die Sicherheitsbedenken fallen gelassen und das externe Netz auch in die interne Zone verlagert. Es bleibt der Geschwindigkeitsaspekt: intern habe ich Gigabit und extern nur 100Mbit. Es ist klar für das vorgeschlagene Setup: der Linux-Router muss im Prinzip immer laufen.
gruß Harald
-- "Seit die Mathematiker über die Relativitätstheorie hergefallen sind, verstehe ich sie selbst nicht mehr." (“Since the mathematicians have invaded the theory of relativity I do not understand it myself any more.”) - Albert Einstein