Marcus Glöder, Samstag, 17. April 2004 01:29:
Am Freitag, 16. April 2004 07:11 schrieb Matthias Houdek:
Hallo, Marcus
Hallo Matthias,
Eins kurz vorab, um Missverständnisse zu vermeiden: Meine Konfiguration ist eine Möglichkeit. Ich habe nirgends behauptet, es sei die einzige oder deine ginge nicht.
Das habe ich auch nicht angenommen... ;-)
Naja, sicher ist sicher. ;-)
Marcus Glöder, Freitag, 16. April 2004 01:01:
Ich finde nicht, dass der Wireless-LAN-Router vom PC1 aus konfigurierbar sein muss. Er kann jederzeit vom Laptop aus konfiguriert werden (ich nehme jetzt mal an, dass der Laptop allenfalls im Haus herumgetragen wird und nicht häufig "auf große Reise" geht).
Könnte aber sein. Ein Laptop ist halt mobil uns lt. Murphy garantiert in dem Fall, wo er vor Ort dringend gebraucht wird, woanders ;-)
OK, gebont. Weiter schreibst Du:
RIP gibt es bei mir auch nicht. _Ich_ bestimme, was von wo nach wo darf.
Du machst also ausschließlich statisches Routing. Bei kleinen Netzwerken (wie dem von Andreas) ist das auch ohne weiteres möglich. Bei großen Unternehmensnetzwerken mit tausenden von Client-Rechnern, Servern, Routern, Switches usw. würde wohl jeder Administrator / jede Aministratorin sehr schnell die Übersicht verlieren. D.h., ab einer gewissen Komplexität des Netzwerkes ist der Einsatz eines Routing-Protokolls einfach notwendig.
ACK. Aber um solche Netze geht es hier nicht.
Ich gebe Dir aber sofort zu, dass in einem solchen Falle mit Sicherheit _nicht_ RIP, sondern eher so etwas wie OSPF eingesetzt würde. Ein Netz das klein genug ist, damit RIP ordentlich arbeitet, ist wohl auch klein genug, um mit reinem statischen Routing arbeiten zu können.
Wieder ACK
Ich bin jetzt vielleicht wirklich etwas penetrant, aber nur deshalb, weil ich das mulmige Gefühl habe, irgend etwas ganz Grundlegendes im Bezug auf das Routing in Linux/Unix-Systemen nicht begriffen zu haben.
Hm, was denn?
Also, erst mal tief Luft holen, und dann von vorne, ganz langsam:
Gut, ich bin hier in meinem Gedankengang vielleicht zu sehr mit meinen eigenen Netzen beschäftigt gewesen. Bei mir hat aus Sicherheitsgründen kein Server eine Defaultroute. Ist Bestandteil meiner Sicherheitskonzeption. Damit sind alle Verbindungswege im Netzwerk fest und kontrolliert in der Hand des Netzwerk-Admins.
Ich gehe jetzt mal davon aus, dass Du mit "Server" auch Router meinst. Das heißt dann, Router haben keine Default-Route (kein Standard-Gateway, oder wie immer Du das nennen willst).
Jepp, die hauptsächlich. Clients und einige Server brauchen schon eine Defaultroute, wenn sie nämlich eine Verbindung zum Internet benötigen. Die zeigt dann aber auf das jeweilige direkte Gateway ins Netz der Netze.
Jeder Client hat als Defaultroute (und die brauche ich nur für die Verbindung ins Internet - alle anderen Zielnetze kenne ich beim Namen) den zentralen Internetzugang-Rechner/Proxy/Router.
Richtig, genau dafür brauche ich eine Default-Route: für den Zugang ins Internet. Dass ich nicht mit einem Router im Internet surfen oder meine E-Mails herunterladen möchte, ist schon klar. Aber der Router muss doch Pakete, die für das Internet bestimmt sind, in das richtige nächste Netz auf dem Weg dorthin weiterleiten. Oder bin ich jetzt schon auf dem falschen Dampfer?
Nein, ist schon richtig. Aber die Pakete werden doch zum Routen über ein Gateway verpackt: .______________________. | Header mit Ziel-IP | | des Routers | Das intern verschickte Paket ist |----------------------| um den zusätzlichen Header größer |,--------------------,| als das Origrinal-Paket. || Header mit Ziel-IP || || des Internet-Hosts || Deshalb muss man z.B. den MTU-Wert ||--------------------|| bei DSL über interne Router ent- || Daten des Paketes || sprechend heruntersetzen. || .... || :: :: Damit ist das (verpackte) Paket primär an das Gateway zum Internet (hier der WLAN-Router) adressiert und die Router im lokalen Netz müssen dafür nur die Route zu diesem Ziel-Host kennen.
Sollte der sich nicht im eigenen Netz befinden, müssen die Router dazwischen für die entsprechende Weiterleitung sorgen (in beide Richtungen).
Genau. Das ist eben der Punkt, den ich nicht begreife: wie macht der "dazwischenliegende" Router denn das, wenn er keine Information (in Form einer Default-Route) darüber besitzt, wohin er Pakete senden soll, deren Zielnetzwerk er nicht explizit kennt? -- Die Defaultrouten für den "übernächsten" oder "über-übernächsten" Router hast Du ja auf den Client-Rechnern definiert. Du machst auch nur statisches Routing. Die Router haben also keine Möglichkeit etwas über Routen zu erfahren, die auf den Client-Rechnern (oder anderen Routern) definiert sind. Am Beispiel von Andreas Netzwerk:
Doch, siehe oben. Weil eben beim Senden an ein Gateway dieses Gateway die Zieladresse des Pakete ist. Die eigentliche Zieladresse muss das Gateway vor dem Weitersenden erst auspacken.
Der PC-Router ist nach Dir so konfiguriert, dass er nur die beiden Netzwerke 192.168.1.0 /24 und 192.168.2.0 /24 kennt. Irgendeine andere Route ist auf dem PC-Router nicht gesetzt. Nun bekommt der PC-Router vom PC1 ein Paket, das für das Ziel 134.95.100.203 (Das ist die IP-Adresse des Web-Servers der Uni Köln, ermittelt durch ping www.uni-koeln.de) bestimmt ist.
Eben nicht. Der PC-Router erhält ein Paket, das an 192.168.2.1 (WLAN-Router) adressiert ist, welches das eigentliche Paket an 134.95.100.203 enthält.
Der Router kennt nur die beiden Zielnetzwerke 192.168.1.0 /24 und 192.168.2.0 /24. Auf dem PC1 ist zwar eine Default-Route ins Internet definiert, aber von dieser Route weiß der PC-Router absolut nichts. Was also den PC-Router und die Frage, wie der sich verhält, angeht, kann die Default-Route auf PC1 nun definiert sein oder nicht. Dem PC-Router ist das Schnuppe. Er verhält sich -- meiner Meinung nach -- in beiden Fällen gleich: er droppt das Paket, weil er zu dessen Zielnetzwerk keine Route besitzt. Oder liege ich da falsch? Habe ich irgend etwas übersehen? Wie soll das gehen?
s.o.
Ich hoffe, ich habe Dir das Verständnisproblem, das ich mit Deiner Art der Routen-Konfiguration habe, jetzt hinreichend deutlich machen können. Die Frage ist immer: Was passiert auf dem Router? Wie macht er das, was der machen soll? mit welchen Informationen geht er um?
Ein Router macht genau das, was du oben beschreibst: Er nimmt ein Paket an und schickt es an die entsprechende Zieladresse weiter, wenn es nicht für ihn selbst bestimmt ist. Das Weitersenden erfolgt entsprechend der Routing-Tabellen, die genaue Auskunft darüber geben, welches Zielhosts über welchen weiteren Weg erreichbar sind. Alle hier nicht explizit definierten Ziele sind über die Default-Route erreichbar (so diese angegeben ist) oder werden gedroped. Dein Verständnis-Problem liegt vermutlich aus dem Source-Host. Dieser verpackt Pakete, die über ein Gateway laufen sollen, in einen neuen IP-Header, der direkt an das Gateway gerichtet ist. Damit kann dann auch jeder Router, der nur den Weg zu diesem Gateway kennt, das Paket exakt zustellen.
Soweit zu meinen theoretischen Verständnisproblemen. (Nichts für ungut, das letzte was ich will, ist, Dich in irgend einer Weise persönlich anzugreifen. Aber ich denke, das ist klar.)
Schon klar, es ist ja auch nicht ganz einfach.
[...]
Am Donnerstag, 15. April 2004 19:13 schrieb Andreas Schott:
Es ist der T-Sinus 111 WLAN-Router der Telekom - vielleicht hilft das.
Danach gibt es hier keine Möglichkeit, statische Routen einzurichten. [...]
Tja, dann geht es so nicht. Scheiß Billigrouter ;-)
ACK.
Zur Not würde ich vorschlagen, auf dem PC-Router NAT (Network Address Translation) einzurichten. [...] Nach dem, was ich in diesem Thread über Masquerading gelesen habe, könnte es auch sein, dass das einen ähnlichen Zweck erfüllt (und deshalb hier auch eingesetzt werden könnte). Über Masquerading weiß ich allerdings soviel, wie ein Fisch von einem Fahrrad, da müssten dann andere weitermachen.
Genau so läuft es ja im Moment. Masquerading (eigentlich S-NAT) ist ja auch eine Funktion des netfilter. Leider wurde es hier nur gleichzeitig mit Port-Sperren genutzt, wodurch damit andere Netzwerkfunktionen verhindert wurden. Wird dann netfilter (hier über SuSE-Firewall) abgeschaltet, funktioniert der PC-Router wieder als Server im Netz ohne Einschränkung, aber das Masquerading ist auch abgeschaltet.
Ja, gut. In dem Fall wäre es wohl die beste Lösung, netfilter eingeschaltet zu lassen, mittels netfilter S-NAT zu konfigurieren und _alle_ TCP/UDP-Ports zu öffnen (wir wollen ja nur die Adressenumsetzung, nicht die Firewall!). Das ist zwar nicht besonders schön, aber in Anbetracht der fehlenden Möglichkeit, auf dem Wireless-LAN-Router statische Routen einzurichten, wohl die einzige Möglichkeit (soweit ich das sehen kann...).
Ja. Wie man das konkret mit SuSE-Firewall macht - keine Ahnung? Isch 'abe kein SuSi-Feuerwall ;-) -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu