On 30/04/14 08:14, Harald Stürmer wrote:
Am Mittwoch, 30. April 2014, 02:38:25 schrieb Carsten Neumann:
Deswegen meinte ich, dass der Speedport seinen DHCP-Server abgeschaltet haben sollte. Dann kann der DHCP-Server des Linux-Routers sagen, das er als alleiniges Gateway zuständig ist. Dann macht der das NAT (das hatte ich vergessen, zu erwähnen) für _alle_ Netze und reicht sie an sein Default-Gateway, den Speedport, weiter.
Da bin ich mir jetzt nicht sicher, ob das so geht. NAT heißt ja im Endeffekt, eine private IP auf eine öffentliche umzuschreiben. Wenn die IP aus dem gleichen Adressraum kommt wie die öffentliche, wird die nicht umgeschrieben.
Was auch immer jetzt mit "Adressraum" gemeint ist. :-) Dass ich, wie ich schon in einer anderen Mail beschrieb, vom externen Netz in das interne ohne NATing trotz eingeschalteter NAT routen konnte, zeigt, dass in benachbarte Netze anscheinend keine Address-Translation erfolgt. Probier das doch einfach mal aus. Dann kannst Du Dir sicher sein, ob das so geht. :-) Das ganze lief mit - ich glaube - openSUSE 11.2 - noch mit iptables. Durch die Umstellung auf nftables in neueren Kernels haben sich möglicherweise irgendwelche Defaults geändert. Aber dazu kann ich jetzt auch nichts weiter sagen.
Es würde auch die anderen genannten Probleme nicht lösen, sondern den Zugriff weiter erschweren.
Beispiel: PC1 -- Router mit NAT -- PC3 ext. intern
Wie gesagt, das sind benachbarte Netze. Somit sollte das NATing nicht zuschlagen.
PC1 braucht die route in das Netz von PC3. Dann bin ich mir schon nicht sicher, ob der Router das nach innen durchroutet, aufgrund des aktiven NAT. Nehmen wir an, ja. PC3 sendet eine Antwort. Auf dem Router wird die Sourceadresse von PC3 umgeschrieben wegen NAT. PC1 erhält dann zwar die Antwort, kann die aber nicht zuordnen, weil die Sourceadresse nicht übereinstimmt.
NAT dürfte, damit das Szenario funktionieren kann, nur in das Subnetz mit dem Router angeschaltet sein. Alle Hosts in dem selben Netz haben o.g. Problem mit dem NAT. Das betrifft dann auch die WLAN Clients des Speedports.
Wenn der Speedport kein WLAN hat, kann der natürlich alleine - neben dem Linux-Router - in seinem Netz hängen. Ansonsten spielt der Speedport WLAN<->Ethernet Bridge.
Auf dem Linux-Router kann man dann auch noch einen Radius-Server unterbringen.
Nen Proxy habe ich nur für TOR und Squid halte ich auch vor, aber das ist 'ne andere Geschichte. :-) Das mit den unterschiedlichen Netzen ist bei mir evolutionär gewachsen. Eigentlich wollte ich mein internes Gigabit-Netzwerk vom äußeren langsameren mit WLAN aus Geschwindigkeits- und Sicherheitsgründen trennen und habe trotz WPA2 das externe auch in die external zone gelegt. Als ich begann immer mehr Geräte über WLAN anzubinden, die auch auf mein internes Netz Zugriff haben sollten, habe ich dann die Sicherheitsbedenken fallen gelassen und das externe Netz auch in die interne Zone verlagert. Es bleibt der Geschwindigkeitsaspekt: intern habe ich Gigabit und extern nur 100Mbit.
Es ist klar für das vorgeschlagene Setup: der Linux-Router muss im Prinzip immer laufen.
Das genannte Setup bringt für Geschwindigkeit keinen Vorteil. An einem Switch
Doch, selbstverständlich! Es handelt sich um physikalisch völlig getrennte Netze. Wenn ich das interne (Gigabit) Interface mit Kopieraktionen voll auslaste, geht mir von der Performance am externen (100Mbit) nix verloren.
wird jedes Device mit der Geschwindigkeit betrieben, die eben dieses Device kann. Gigbit Devices werden die Daten mit eben dieser Geschwindigkeit austauschen, und wenn von einenm Gigbit auf ein 100MBit device zugegriffen wird, dann läuft ›diese‹ Übertragung mit der langsameren Geschwindigkeit. Wenn das so nur aus den o.g. Gründen gemacht werden soll, solltest Du erwägen, diese Trennung aufzugeben, weil das geplante Setup weder für Sicherheit noch für die Performance etwas bringt. Es ist im Endeffekt "nur" eine zusäzliche Fehlerquelle. Den Radiusserver kannst Du ja trotz allem aufsetzen, und das sogar auf dem Pi, ist wesentlich zuträglicher für den Geldbeutel ;-)
gruß Harald
-- "Seit die Mathematiker über die Relativitätstheorie hergefallen sind, verstehe ich sie selbst nicht mehr." (“Since the mathematicians have invaded the theory of relativity I do not understand it myself any more.”) - Albert Einstein