Routing: Host nicht erreichbar
Hallo, nach einem Providerwechsel war ich gezwungen meine Netzadressen neu zu vergeben. Folgende Konfiguration: 1 Server (Router), 2 Netzwerkkarten eth1 Adresse 192.168.0.254 (intern) Netmask 255.255.255.0 eth0 Adresse 10.0.0.140 (extern) Netmask 255.255.255.0 1 WLAN-AP Adresse 192.168.0.100 Netmask 255.255.255.0 haengt an eth1 des Servers 1 ADSL 'Modem'Adresse 10.0.0.138 Netmask 255.255.255.0 haengt an eth0 des Servers diverse Clients Netz 192.168.0.0/24 Netmask 255.255.255.0 Die Clients haben als Gateway die Adresse 192.168.0.254 eingetragen Folgende Routen habe ich am Router eingetragen: route add -net 10.0.0.0/24 dev eth0 route add -net 192.168.0.0/24 dev eth1 route add default gw 10.0.0.138 Ping von 192.168.0.254 auf die Adresse 10.0.0.138 liefert Response < 10ms Traceroute von 192.168.0.254 nach 10.0.0.138 liefert 1 Hop. Ping von einem via WLAN angeschloessenen Client auf 192.168.0.254 < 10ms Ping vom selben Client auf 10.0.0.140 < 10ms Ping vom selben Client auf 10.0.0.138 100% packet loss. Wieso? iptables hat keine Eintraege (alle policies sind auf ACCEPT) Hat jemand einen Tipp? Thanks in advance Greetings Andi -- ---------------------- Geschenkt: 3 Monate GMX ProMail gratis + 3 Ausgaben stern gratis ++ Jetzt anmelden & testen ++ http://www.gmx.net/de/go/promail ++
On Wednesday, June 01, 2005 8:35 AM, Andreas Kollenbach wrote:
Hallo,
nach einem Providerwechsel war ich gezwungen meine Netzadressen neu zu vergeben.
Folgende Konfiguration:
1 Server (Router), 2 Netzwerkkarten eth1 Adresse 192.168.0.254 (intern) Netmask 255.255.255.0 eth0 Adresse 10.0.0.140 (extern) Netmask 255.255.255.0 1 WLAN-AP Adresse 192.168.0.100 Netmask 255.255.255.0 haengt an eth1 des Servers 1 ADSL 'Modem'Adresse 10.0.0.138 Netmask 255.255.255.0 haengt an eth0 des Servers diverse Clients Netz 192.168.0.0/24 Netmask 255.255.255.0
Die Clients haben als Gateway die Adresse 192.168.0.254 eingetragen
Folgende Routen habe ich am Router eingetragen:
route add -net 10.0.0.0/24 dev eth0 route add -net 192.168.0.0/24 dev eth1 route add default gw 10.0.0.138
Ping von 192.168.0.254 auf die Adresse 10.0.0.138 liefert Response < 10ms Traceroute von 192.168.0.254 nach 10.0.0.138 liefert 1 Hop.
Ping von einem via WLAN angeschloessenen Client auf 192.168.0.254 < 10ms Ping vom selben Client auf 10.0.0.140 < 10ms Ping vom selben Client auf 10.0.0.138 100% packet loss.
Wieso?
Forwarding auf der LinuxBox erlaubt? Daniel
Am Mittwoch, 1. Juni 2005 08:35 schrieb Andreas Kollenbach:
Hallo,
nach einem Providerwechsel war ich gezwungen meine Netzadressen neu zu vergeben.
Folgende Konfiguration:
1 Server (Router), 2 Netzwerkkarten eth1 Adresse 192.168.0.254 (intern) Netmask 255.255.255.0 eth0 Adresse 10.0.0.140 (extern) Netmask 255.255.255.0 1 WLAN-AP Adresse 192.168.0.100 Netmask 255.255.255.0 haengt an eth1 des Servers 1 ADSL 'Modem'Adresse 10.0.0.138 Netmask 255.255.255.0 haengt an eth0 des Servers diverse Clients Netz 192.168.0.0/24 Netmask 255.255.255.0
...
Ping von einem via WLAN angeschloessenen Client auf 192.168.0.254 < 10ms Ping vom selben Client auf 10.0.0.140 < 10ms Ping vom selben Client auf 10.0.0.138 100% packet loss.
Wieso?
Du musst auf dem Router auch das Routing einschalten - das geht im YaST bei der Netzwerkkonfiguration, wenn Du ein Device auswählst, unter dem Punkt Routing: "IP-Weiterleitung aktivieren"
iptables hat keine Eintraege (alle policies sind auf ACCEPT)
Das ist schlecht, denn ein Router muss Masquerading machen. Wenn Du einen Ping von einem Client mit einer 192.168... Absenderadresse an das Modem mit der 10er Adresse schickst, so "weiß" das Modem nicht, wie es dieses Netz erreichen soll. Der Router muss das Paket "maskieren", d.h. die Absenderadresse auf seine eigene 10er Adresse umschreiben. Dazu startest Du am einfachsten die YaST-Firewall-Konfiguration und konfigurierst dort das "Masquerading". Dann sollte alles funktionieren :-) HTH, Anke -- Think before you ...
Hallo Anke Boernig, hallo auch an alle anderen Am Mittwoch, 1. Juni 2005 09:39 schrieb Anke Boernig:
Am Mittwoch, 1. Juni 2005 08:35 schrieb Andreas Kollenbach:
Hallo,
nach einem Providerwechsel war ich gezwungen meine Netzadressen neu zu vergeben.
Folgende Konfiguration:
1 Server (Router), 2 Netzwerkkarten eth1 Adresse 192.168.0.254 (intern) Netmask 255.255.255.0 eth0 Adresse 10.0.0.140 (extern) Netmask 255.255.255.0 1 WLAN-AP Adresse 192.168.0.100 Netmask 255.255.255.0 haengt an eth1 des Servers 1 ADSL 'Modem'Adresse 10.0.0.138 Netmask 255.255.255.0 haengt an eth0 des Servers diverse Clients Netz 192.168.0.0/24 Netmask 255.255.255.0
...
iptables hat keine Eintraege (alle policies sind auf ACCEPT)
Das ist schlecht, denn ein Router muss Masquerading machen.
Nein, ein Router muss nur routen. ;-) Er kann auch Maskieren (also die IP umschreiben), aber das hängt vom konkreten Fall ab.
Wenn Du einen Ping von einem Client mit einer 192.168... Absenderadresse an das Modem mit der 10er Adresse schickst, so "weiß" das Modem nicht, wie es dieses Netz erreichen soll.
Jetzt kommt es drauf an, was das für ein Modem ist. Ist es ein "normales" DSL-Modem, so braucht es keine IP-Adresse nach innen (und auch eth0 braucht keine IP), da zwischen beiden Geräten zwar Ethernet, aber kein IP gesprochen wird (sondern PPPoE). Und das Modem schickt alles, was vom DSL reinkommt, unverändert an das lokale Ethernet weiter. Dann ist der Router die IP-Schnittstelle zwischen "privaten" IPs und dem Internet und muss mit der vom Provider zugewiesenen IP (IP der ppp-Schnittstelle) maskieren. Die IP 10.0.0.138 ist garantiert keine solche Adresse. Ist das Modem alldings eher ein DSL-Hardware-Modem/Router (also mit echter LAN-Schnittstelle und eigener IP), dann maskiert dieser bereits (muss er auch, weil er die Schnittstelle zwischen lokalen IPs und öffentlichen IPs ist). Um nun mit dem LAN hinter dem PC-Router kommunizieren zu können, muss diese Route vom DSL-Hardware-Router gelernt werden: Ziel: 192.168.0.0/24 Gateway: 10.0.0.140 (also die IP des PC-Routers, die direkt erreicht werden kann -> Next Hop). Ein doppeltes Maskieren ist hier überflüssig.
Der Router muss das Paket "maskieren", d.h. die Absenderadresse auf seine eigene 10er Adresse umschreiben. Dazu startest Du am einfachsten die YaST-Firewall-Konfiguration und konfigurierst dort das "Masquerading".
Aber nur, wenn ... (Siehe oben)
Dann sollte alles funktionieren :-)
Ja, auch doppeltes Masquerading funktioniert. Aber wozu? -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen. Auch sehr interessant: http://www.suse-etikette.de.vu
participants (4)
-
Andreas Kollenbach -
Anke Boernig -
Daniel Bauer -
Matthias Houdek