Netzwerk-Probleme Router / Gateway (Debian) / Arbeitsplatz (Suse 9.3)
Hallo Liste, Architektur: * Internet-Zugang über DSL-Router FritzBox WLAN Version 2 * Angeschlossen an FritzBox (über Netzwerkkabel (nicht WLAN) an eth0) Rechner 1 (für später mal geplant als Gateway ins Internet, Printserver, ISDN/Fax-Dienste, Samba... im Moment gewünscht: Gateway ins Internet für dahinter angeschlossene Arbeitsplatz-Rechner) Betriebssystem: Debian Sarge * Angeschlossen an Rechner 1 (über DLAN an eth1) Rechner 2 (später geplant: Rechner 3, 4, etc.); Betriebssystem: Suse 9.3 Vision: * Rechner 2, 3(...) sollen über Gateway-Rechner 1 ins Internet. Problem: klappt nicht... Gateway-Rechner hängt im Internet (wurde über Router installiert; u.a. funzt auch ping nach www.sonstwohin.de). Bekommt IP-Adresse von DHCP-Server der FritzBox (klappt). DHCP-Server, der auf Rechner 1 läuft, vergibt IP-Adresse an Rechner 2 (klappt: u.a. funzt ssh-login von Rechner 2 nach Gateway-Rechner 1). Firewall-Einrichtung auf Gateway-Rechner: iptables -A POSTROUTING -o eth1 -t net -j MASQUERADE Netzwerkkarte afs Suse-Rechner mit YAST konfiguriert (IP-Forwarding angekreuzelt, etc...) Trotzdem: pingen geht nur bis Gateway-Rechner, nicht darüber hinaus. Keine Verbindung ins Internet. Ach ja, und wenn ich Rechner 2 direkt an den Router anschließe, ist auch alles in Butter... Ideen? Bedankt, Matthias
Hallo Matthias, *, Am Freitag, 11. August 2006 23:42 schrieb Matthias Eberspächer:
Hallo Liste,
(...)
Gateway-Rechner hängt im Internet (wurde über Router installiert; u.a. funzt auch ping nach www.sonstwohin.de). Bekommt IP-Adresse von DHCP-Server der FritzBox (klappt). DHCP-Server, der auf Rechner 1 läuft, vergibt IP-Adresse an Rechner 2 (klappt: u.a. funzt ssh-login von Rechner 2 nach Gateway-Rechner 1).
kann es sein, daß Du zwei DHCP-Server im selben Netz hast? Nach meiner Kenntnis funktioniert das nicht. Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Ansprechpartner Dokumentation ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org
Am Samstag, 12. August 2006 09:50 schrieb Andreas Mantke:
Hallo Matthias, *,
Am Freitag, 11. August 2006 23:42 schrieb Matthias Eberspächer:
Hallo Liste,
(...)
Gateway-Rechner hängt im Internet (wurde über Router installiert; u.a. funzt auch ping nach www.sonstwohin.de). Bekommt IP-Adresse von DHCP-Server der FritzBox (klappt). DHCP-Server, der auf Rechner 1 läuft, vergibt IP-Adresse an Rechner 2 (klappt: u.a. funzt ssh-login von Rechner 2 nach Gateway-Rechner 1).
kann es sein, daß Du zwei DHCP-Server im selben Netz hast? Nach meiner Kenntnis funktioniert das nicht.
Hallo Andreas, na ja, eigentlich sind die beiden doch sauber getrennt und kommen sich nicht in die Wege, oder?! Netz1 besteht aus Router und Gateway-Rechner, verbunden über SST eth0, DHCP-Server läuft auf Router. Netz2 besteht aus Gateway-Rechner und den Arbeitsplatzrechnern, verbunden über eth1, DHCP-Server läuft auf Gateway-Rechner. Beide Netze kommen sich nicht in die Quere. Der Gateway-Server ist übrigens ein DHCP3-Server (falls das einen Unterschied macht). Gruß, Matthias
Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Ansprechpartner Dokumentation ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org
Hallo Matthias, *, Am Samstag, 12. August 2006 11:54 schrieb Matthias Eberspächer:
Am Samstag, 12. August 2006 09:50 schrieb Andreas Mantke:
Hallo Matthias, *,
Am Freitag, 11. August 2006 23:42 schrieb Matthias Eberspächer:
Hallo Liste,
(...)
Gateway-Rechner hängt im Internet (wurde über Router installiert; u.a. funzt auch ping nach www.sonstwohin.de). Bekommt IP-Adresse von DHCP-Server der FritzBox (klappt). DHCP-Server, der auf Rechner 1 läuft, vergibt IP-Adresse an Rechner 2 (klappt: u.a. funzt ssh-login von Rechner 2 nach Gateway-Rechner 1).
kann es sein, daß Du zwei DHCP-Server im selben Netz hast? Nach meiner Kenntnis funktioniert das nicht.
(...)
na ja, eigentlich sind die beiden doch sauber getrennt und kommen sich nicht in die Wege, oder?!
vielleicht schreibst Du mal eine genaue Netzstruktur mit den Adressbereichen auf. So ist das ein wenig schwierig nachvollziehbar. Dann können andere, die sich sicher besser auskennen, auch was dazu sagen. Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Ansprechpartner Dokumentation ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org
Am Samstag, 12. August 2006 14:21 schrieb Andreas Mantke:
Hallo Matthias, *,
Am Samstag, 12. August 2006 11:54 schrieb Matthias Eberspächer:
Am Samstag, 12. August 2006 09:50 schrieb Andreas Mantke:
Hallo Matthias, *,
Am Freitag, 11. August 2006 23:42 schrieb Matthias Eberspächer:
Hallo Liste,
(...)
Gateway-Rechner hängt im Internet (wurde über Router installiert; u.a. funzt auch ping nach www.sonstwohin.de). Bekommt IP-Adresse von DHCP-Server der FritzBox (klappt). DHCP-Server, der auf Rechner 1 läuft, vergibt IP-Adresse an Rechner 2 (klappt: u.a. funzt ssh-login von Rechner 2 nach Gateway-Rechner 1).
kann es sein, daß Du zwei DHCP-Server im selben Netz hast? Nach meiner Kenntnis funktioniert das nicht.
(...)
na ja, eigentlich sind die beiden doch sauber getrennt und kommen sich nicht in die Wege, oder?!
vielleicht schreibst Du mal eine genaue Netzstruktur mit den Adressbereichen auf. So ist das ein wenig schwierig nachvollziehbar. Dann können andere, die sich sicher besser auskennen, auch was dazu sagen.
================================== ! DSL-Router ! ! FritzBox WLAN Version 2 ! ! ========================== ! ! ! . DHCP-Server . ! ! ================================== ! ! (2xNetz) ! (1xUSB) ! (WLAN) ! ------------- unbenutzt --------- ! ! ! ! (Netzwerkkabel) ================================== ! (eth0) Gateway Rechner ! ! IP-Nummer Debian Sarge ! ! von Router ! ! ========================== ! ! ! DHCP-Server ! ! ! ! (eigene IP-Nummer ! ! ! ! (eth1) für lokales Netz) ! ! ================================== ! ! ! ----------- ! ! (...) an weitere Rechner; IP-Nummern von Gateway-DHCP-Server Status: die weiteren Rechner kommen per ssh auf den Gateway-Rechner. Der Gateway-Rechner kommt über Router ins Internet. Die anderen Rechner kommen nicht ins Internet.
Gruß Andreas -- ## Content Developer OpenOffice.org: lang/DE ## Ansprechpartner Dokumentation ## Freie Office-Suite für Linux, Mac, Windows, Solaris ## http://de.openoffice.org
-- Dr. Matthias Eberspächer NEU: Salzburg 1 D-85661 Forstinnning Tel. +49 8124 443502 mailto://matthias@eberspaecher.name
Hallo Matthias Am Samstag, 12. August 2006 15:00 schrieb Matthias Eberspächer:
Status: die weiteren Rechner kommen per ssh auf den Gateway-Rechner. Der Gateway-Rechner kommt über Router ins Internet. Die anderen Rechner kommen nicht ins Internet.
Da kommt mir noch so in den Sinn: - IP forwarding auf dem Gateway gesetzt? echo 1 > /proc/sys/net/ipv4/ip_forward - Default route auf den anderen Rechnern gesetzt? route add default gw <Adresse des Gateways> Gruss Jürg
Am Samstag, 12. August 2006 23:16 schrieb Juerg Schneider:
Hallo Matthias
Am Samstag, 12. August 2006 15:00 schrieb Matthias Eberspächer:
Status: die weiteren Rechner kommen per ssh auf den Gateway-Rechner. Der Gateway-Rechner kommt über Router ins Internet. Die anderen Rechner kommen nicht ins Internet.
Da kommt mir noch so in den Sinn:
- IP forwarding auf dem Gateway gesetzt? echo 1 > /proc/sys/net/ipv4/ip_forward
Ja! Das wars! Vielen Dank!
- Default route auf den anderen Rechnern gesetzt? route add default gw <Adresse des Gateways>
Gruss
Jürg
Hallo. * Freitag, 11. August 2006 um 23:42 (+0200) schrieb Matthias Eberspächer:
Architektur:
* Internet-Zugang über DSL-Router FritzBox WLAN Version 2 * Angeschlossen an FritzBox (über Netzwerkkabel (nicht WLAN) an eth0) Rechner 1 (für später mal geplant als Gateway ins Internet, Printserver, ISDN/Fax-Dienste, Samba... im Moment gewünscht: Gateway ins Internet für dahinter angeschlossene Arbeitsplatz-Rechner) Betriebssystem: Debian Sarge * Angeschlossen an Rechner 1 (über DLAN an eth1) Rechner 2 (später geplant: Rechner 3, 4, etc.); Betriebssystem: Suse 9.3
Vision: * Rechner 2, 3(...) sollen über Gateway-Rechner 1 ins Internet.
Problem: klappt nicht... [ ... ]
Firewall-Einrichtung auf Gateway-Rechner:
iptables -A POSTROUTING -o eth1 -t net -j MASQUERADE
'iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j MASQUERADE' Alternativ gäbe es auch die Möglichkeit eine statische Netzwerk-Route in der FritzBox zu setzen. Gruß Andreas
* Samstag, 12. August 2006 um 16:20 (+0200) schrieb Andreas Koenecke:
'iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j MASQUERADE'
Blödsinn! Es sollte heissen: 'iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE' Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Hallo Andreas, Am Samstag, 12. August 2006 16:37 schrieb Andreas Koenecke:
* Samstag, 12. August 2006 um 16:20 (+0200) schrieb Andreas Koenecke:
'iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j MASQUERADE'
Blödsinn! Es sollte heissen: 'iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE'
ok, Fehlermeldung: "iptables v1.2.11: Can't use -i with POSTROUTING" ?! Und gleich noch Frage 2: Die Server-seitige manuelle Konfiguration der SST mit "ifconfig eth1 ..." und eben obiges iptables-Kommando habe ich aus einem Howto gezogen. Wo muss ich das reinschreiben, damit das bei jedem Systemstart automatisch ausgeführt wird? Vielen Dank soweit! Gruß, Matthias
Gruß
Andreas
-- XMMS spielt gerade nichts...
PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Hallo. * Samstag, 12. August 2006 um 21:20 (+0200) schrieb Matthias Eberspächer:
Am Samstag, 12. August 2006 16:37 schrieb Andreas Koenecke:
'iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE'
ok, Fehlermeldung: "iptables v1.2.11: Can't use -i with POSTROUTING"
Ja, das mache ich immer wieder falsch... Das ist die "FORWARD"-Regel. Lasse das "-i eth1" weg.
Und gleich noch Frage 2:
Die Server-seitige manuelle Konfiguration der SST mit "ifconfig eth1 ..."
Was ist "SST"?
und eben obiges iptables-Kommando habe ich aus einem Howto gezogen. Wo muss ich das reinschreiben, damit das bei jedem Systemstart automatisch ausgeführt wird?
Keine Ahnung, welchen Mechanismus Debian für solche Fälle vorsieht, aber unter SUSE würde sich evtl. "/etc/init.d/boot.local" anbieten. Oder aber natürlich ein init-Skript. Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Hallo Andreas, Problem gelöst (s. meine Antwort-Mail an Jürg Schneider) Am Sonntag, 13. August 2006 00:09 schrieb Andreas Koenecke:
Hallo.
* Samstag, 12. August 2006 um 21:20 (+0200) schrieb Matthias Eberspächer:
Am Samstag, 12. August 2006 16:37 schrieb Andreas Koenecke:
'iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE'
ok, Fehlermeldung: "iptables v1.2.11: Can't use -i with POSTROUTING"
Ja, das mache ich immer wieder falsch... Das ist die "FORWARD"-Regel. Lasse das "-i eth1" weg.
Und gleich noch Frage 2:
Die Server-seitige manuelle Konfiguration der SST mit "ifconfig eth1 ..."
Was ist "SST"?
Meine eigene private Abkürzung für SchnittSTelle ;-)
und eben obiges iptables-Kommando habe ich aus einem Howto gezogen. Wo muss ich das reinschreiben, damit das bei jedem Systemstart automatisch ausgeführt wird?
Keine Ahnung, welchen Mechanismus Debian für solche Fälle vorsieht, aber unter SUSE würde sich evtl. "/etc/init.d/boot.local" anbieten. Oder aber natürlich ein init-Skript.
Danke für den Hinweis, sagt mir so noch nichts, aber damit kann ich weitersuchen. Na gut, ich frag doch grad nochmal: Folgende Kommandos muss ich auf dem Gateway ausführen um das Durchreichen ins Internet zu erreichen: ifconfig eth1 <IP-Gateway> netmask <netmask-Gateway> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward /etc/init.d/dhcp3-server restart Reicht es, das in eine Datei boot.local unter /etc/init.d/ abzulegen? Wird die dann jedesmal beim hochfahren ausgeführt? Nochmals Danke, Matthias
Gruß
Andreas
-- XMMS spielt gerade nichts...
PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Am Sonntag, 13. August 2006 21:18 schrieb Matthias Eberspächer:
Na gut, ich frag doch grad nochmal: Folgende Kommandos muss ich auf dem Gateway ausführen um das Durchreichen ins Internet zu erreichen:
ifconfig eth1 <IP-Gateway> netmask <netmask-Gateway>
Nicht in dieser Form, die ist für on the fly. Aber die Daten in /etc/network/interfaces eintragen. 'man 5 interfaces'
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
In deinem Firewall Script.
echo 1 > /proc/sys/net/ipv4/ip_forward
Dito. _Nach_ den Regeln.
/etc/init.d/dhcp3-server restart
Warum willst Du den neu starten?
Reicht es, das in eine Datei boot.local unter /etc/init.d/ abzulegen? Wird die dann jedesmal beim hochfahren ausgeführt?
Das ist zu früh, da ist das Netzwerk noch nicht da. Schon mal http://www.shorewall.net/ http://firehol.sourceforge.net/ angeschaut? Sind beide in Sarge. Oder auch http://firewall-jay.sourceforge.net/ Kein Anspruch auf Vollständigkeit. Wie startest Du eigentlich Dein Script? Gruss Jürg
Hallo Matthias. * Sonntag, 13. August 2006 um 21:18 (+0200) schrieb Matthias Eberspächer:
Na gut, ich frag doch grad nochmal: Folgende Kommandos muss ich auf dem Gateway ausführen um das Durchreichen ins Internet zu erreichen:
ifconfig eth1 <IP-Gateway> netmask <netmask-Gateway> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward /etc/init.d/dhcp3-server restart
"Das kommt darauf an..." Ich weiss jetzt nicht, welche default-Policy iptables/netfilter verwendet ('iptables -L FORWARD'), aber so wird es nur funktionieren, wenn die FORWARD-Policy "ACCEPT" ist (und das will kein Paranoiker...;-)). Ist die FORWARD-Policy "DROP", dann brauchst du noch FORWARD-Regeln, die zwischen den beiden SST (;-)) vermittelt, im einfachsten Fall 'iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT' und `iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT', was aber die gleiche Wirkung wie eine ACCEPT-Policy hätte... Ein einfacher Regelsatz mit zumindest rudimentärem Schutz des lokalen Netzes ist z.B. 'iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT' und 'iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT'
Reicht es, das in eine Datei boot.local unter /etc/init.d/ abzulegen? Wird die dann jedesmal beim hochfahren ausgeführt?
Dazu wurde dir ja schon an anderer Stelle geantwortet. Gruß Andreas -- XMMS spielt gerade "Classical Gas"... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
Am Samstag, 12. August 2006 16:20 schrieb Andreas Koenecke:
Hallo.
* Freitag, 11. August 2006 um 23:42 (+0200) schrieb Matthias Eberspächer:
Architektur:
* Internet-Zugang über DSL-Router FritzBox WLAN Version 2 * Angeschlossen an FritzBox (über Netzwerkkabel (nicht WLAN) an eth0) Rechner 1 (für später mal geplant als Gateway ins Internet, Printserver, ISDN/Fax-Dienste, Samba... im Moment gewünscht: Gateway ins Internet für dahinter angeschlossene Arbeitsplatz-Rechner) Betriebssystem: Debian Sarge * Angeschlossen an Rechner 1 (über DLAN an eth1) Rechner 2 (später geplant: Rechner 3, 4, etc.); Betriebssystem: Suse 9.3
Vision: * Rechner 2, 3(...) sollen über Gateway-Rechner 1 ins Internet.
Problem: klappt nicht... [ ... ]
Firewall-Einrichtung auf Gateway-Rechner:
iptables -A POSTROUTING -o eth1 -t net -j MASQUERADE
'iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j MASQUERADE'
Alternativ gäbe es auch die Möglichkeit eine statische Netzwerk-Route in der FritzBox zu setzen.
Dann "weiß" der Router aber was über das hinter der Firewall liegende lokale Netzwerk, oder?! Ist es sehr paranoid, wenn man das eher nicht möchte?
Gruß
Andreas
Hallo. * Samstag, 12. August 2006 um 21:37 (+0200) schrieb Matthias Eberspächer:
Am Samstag, 12. August 2006 16:20 schrieb Andreas Koenecke:
Alternativ gäbe es auch die Möglichkeit eine statische Netzwerk-Route in der FritzBox zu setzen.
Dann "weiß" der Router aber was über das hinter der Firewall liegende lokale Netzwerk, oder?!
Ist es sehr paranoid, wenn man das eher nicht möchte?
Ich kann mir kein Szenario vorstellen, wo das Verstecken des lokalen Netzes einen Sicherheitsgewinn bringt. Ob die eingehenden Pakete auf dem Router de-"masqueraded" werden und über den Gateway-Rechner an das lokale Netz ausgeliefert werden oder ob sie auf dem Gateway-Rechner noch einmal de-"masqueraded" werden und dann an das lokale Netzwerk gehen, ist IMO egal: Der Schutz des lokalen Netzes muss auf dem Gateway-Rechner stattfinden. Gruß Andreas -- XMMS spielt gerade nichts... PGP-ID/Fingerprint: BD7C2E59/3E 11 E5 29 0C A8 2F 49 40 6C 2D 5F 12 9D E1 E3 PGP-Key on request or on public keyservers --
participants (4)
-
Andreas Koenecke -
Andreas Mantke -
Juerg Schneider -
Matthias Eberspächer