Hallo Anke Boernig, hallo auch an alle anderen Am Mittwoch, 1. Juni 2005 09:39 schrieb Anke Boernig:
Am Mittwoch, 1. Juni 2005 08:35 schrieb Andreas Kollenbach:
Hallo,
nach einem Providerwechsel war ich gezwungen meine Netzadressen neu zu vergeben.
Folgende Konfiguration:
1 Server (Router), 2 Netzwerkkarten eth1 Adresse 192.168.0.254 (intern) Netmask 255.255.255.0 eth0 Adresse 10.0.0.140 (extern) Netmask 255.255.255.0 1 WLAN-AP Adresse 192.168.0.100 Netmask 255.255.255.0 haengt an eth1 des Servers 1 ADSL 'Modem'Adresse 10.0.0.138 Netmask 255.255.255.0 haengt an eth0 des Servers diverse Clients Netz 192.168.0.0/24 Netmask 255.255.255.0
...
iptables hat keine Eintraege (alle policies sind auf ACCEPT)
Das ist schlecht, denn ein Router muss Masquerading machen.
Nein, ein Router muss nur routen. ;-) Er kann auch Maskieren (also die IP umschreiben), aber das hängt vom konkreten Fall ab.
Wenn Du einen Ping von einem Client mit einer 192.168... Absenderadresse an das Modem mit der 10er Adresse schickst, so "weiß" das Modem nicht, wie es dieses Netz erreichen soll.
Jetzt kommt es drauf an, was das für ein Modem ist. Ist es ein "normales" DSL-Modem, so braucht es keine IP-Adresse nach innen (und auch eth0 braucht keine IP), da zwischen beiden Geräten zwar Ethernet, aber kein IP gesprochen wird (sondern PPPoE). Und das Modem schickt alles, was vom DSL reinkommt, unverändert an das lokale Ethernet weiter. Dann ist der Router die IP-Schnittstelle zwischen "privaten" IPs und dem Internet und muss mit der vom Provider zugewiesenen IP (IP der ppp-Schnittstelle) maskieren. Die IP 10.0.0.138 ist garantiert keine solche Adresse. Ist das Modem alldings eher ein DSL-Hardware-Modem/Router (also mit echter LAN-Schnittstelle und eigener IP), dann maskiert dieser bereits (muss er auch, weil er die Schnittstelle zwischen lokalen IPs und öffentlichen IPs ist). Um nun mit dem LAN hinter dem PC-Router kommunizieren zu können, muss diese Route vom DSL-Hardware-Router gelernt werden: Ziel: 192.168.0.0/24 Gateway: 10.0.0.140 (also die IP des PC-Routers, die direkt erreicht werden kann -> Next Hop). Ein doppeltes Maskieren ist hier überflüssig.
Der Router muss das Paket "maskieren", d.h. die Absenderadresse auf seine eigene 10er Adresse umschreiben. Dazu startest Du am einfachsten die YaST-Firewall-Konfiguration und konfigurierst dort das "Masquerading".
Aber nur, wenn ... (Siehe oben)
Dann sollte alles funktionieren :-)
Ja, auch doppeltes Masquerading funktioniert. Aber wozu? -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen. Auch sehr interessant: http://www.suse-etikette.de.vu