Re: "martian source"

On 10/05/14 21:22, Norbert Zawodsky wrote:

Am 10.05.2014 20:59, schrieb Tobias Crefeld:

...

Am Sat, 10 May 2014 16:13:33 +0200 schrieb Günther J. Niederwimmer :

...

...

Und wo gehen die Leitungen von den Ethernet-Ports eigentlich hin, wie sieht Deine sonstige Netzwerk-Topologie aus? Dein eth0 wird wahrscheinlich an einen Switch gehen, wo die anderen Hosts des 192er Netzes hängen. Wo geht eth1 bzw. eth2 hin? auf einen HP-2510-24G Switch? Schön langsam kommt mir der Verdacht darauf ist etwas im argen :) VLan einrichten oder das Teil streikt ;) Wenn Du alle ethX an denselben Layer2-Switch hängst, ohne die betreffenden Ports per VLAN-Konfiguration zu trennen, dann sehen sich die Karten natürlich im selben Netz. Das ist ungefähr so, wie wenn Du mit nem Kabel zwei ethX "kurzschließt".

"martian source" ist erstmal nur eine Warnung, weil der Kram trotzdem funktioniert. Auf einem Interface mit einer public Internet-Adresse ist diese Warnung wichtiger, weil es sich um spoofing-Versuche handeln könnte. In rein privaten Netzen ist es risikoärmer, kann aber auf einen Konfiguration-Fehler hinweisen.

Führt zu der Frage, warum Du das so konfiguriert hast? Entweder man will Netze (nach Layer-2) trennen oder nicht. Getrennte Netze sollten verschiedene Netzwerk-Adressen haben, genauso wie ein gemeinsames Netz nur eine Netzwerk-Adresse haben sollte - obacht, gemeint ist die Adresse des Netzwerks, nicht die eines Host! Typischerweise während Migrationen von IP-Adressbereichen kann es vorkommen, dass in einem (Layer-2-) Netz zwei Netzwerk-Adressen parallel existieren müssen, zu denen der Host gleichermassen Zugang hat. Dann sollte man aber besser mit Alias-Adressen auf einem Interface arbeiten, so wie Carsten das schon angedeutet hat.

Hallo Günther, Carsten, Tobias,

ich habe eine Frage die thematisch hier bestens dazupassen würde. Soll ich einen eigenen Thread aufmachen oder diesen hier kidnapen ??? Hmmm ;-)

Wäre sinnvoll gewesen. :-(

Bei mir geht es darum:

Habe ein "internes LAN", 192.168.1.xxx (wie einfallslos ;-) ), ca. 30 hosts daran (nicht alles PCs. Erstaunich was heute alles schon eine IP Adresse hat). Und 3 WLAN-access points. (Keller, EG, 1. Stock, ...) Auf einer Maschine läuft ein DHCP server, firewall, router, usw... "Natürlich" 192.168.1.1.

Deine APs agieren wohl als WLAN<->Ethernet Bridges.

Verbindet sich nun ein "bekanntes" (= MAC-Adresse ist in dhcpd.conf eingetragen) Gerät mit unserem WLAN, bekommt es eine 192.168.1.xxx Adresse und alle sind glücklich.

Nun möchte ich aber "befreundeten" Geräten (Laptops, Handys von guten Freunden) ebenfalls gestatten, das WLAN zu benützen. Aber bei aller Freundschaft, sie sollten vom DHCP server eine Adresse bekommen, die NICHT im 192.168.1.xxx Netz liegt.

Du willst die Rechte-Vergabe über die Netz-Adresse machen...

Wie beomme ich das am besten hin?

Das interne LAN hängt am - nennen wir ihn "Zentralserver" - an eth1, konfiguriert mit 192.168.1.0/255.255.255.0 Wäre der richtige Weg, zb ein Alias eth1:1 anzulegen, mit z.B. 10.0.0.0/255.255.255.0 und der dhcp-server gibt "unbekannten" MACs Adressen aus einem 10er-pool ?

Kann unsere suse-firewall mit netzwerk-aliasen umgehen? Ich bilde mir ein, da gabs mal irgend eine Einschränkung...

Nun ja, ich stell mir das nicht trivial vor. Können denn Deine WLAN-APs in mehreren Netzen gleichzeitig arbeiten? Die müssten ja - nach Deiner Vorstellung - zum einen die vertrauenswürdigen Hosts im 192.168... Netz als auch die aus den 10.... Netz bedienen können. Mach lieber _ein_ WLAN-Netz und setze einen DNS-Server auf, der die Hosts in unterschiedliche Domains "schickt", ihnen also Namen nach dem Schema hostabc.trusted.mydomain bzw. hostxyz.friend.mydomain gibt. Dann wird einfach unterschieden, ob der sich Host in trusted.mydomain oder in friend.mydomain befindet. Vielleicht fällt jemandem etwas besseres ein. G, C*

Grüße, Norbert

-- "Seit die Mathematiker über die Relativitätstheorie hergefallen sind, verstehe ich sie selbst nicht mehr." (“Since the mathematicians have invaded the theory of relativity I do not understand it myself any more.”) - Albert Einstein