Routing lokales Subnet zu "Internet"-Subnet

[krueter93]

Hallo,

ich habe ein Problem bei der Konfiguration der einzelnen Netzwerk-Interfaces innerhalb des NAS.
Folgendes Szenario:

LAN 1: (für Internet-Zugriff)
IP-Adresse: 192.168.0.x (vom DHCP des TKom-Speedports zugewiesen)
Subnet: 255.255.255.0
Gateway: 192.168.0.1
DHCP: aus

LAN 2: (für lokales Netz)
IP-Adresse: 10.0.0.1
Subnet: 255.255.255.0
Gateway: -
DHCP: an

Nun sollen hier alle Clients eine IP-Adresse vom LAN 2 DHCP des Servers bekommen, jedoch über das LAN 1-Interface in das Internet gelangen.
Ich habe es bereits mit statischen Routen probiert, wo als Zielnetz das 192.168.0.0 und der Gateway 10.0.0.1 ausgewählt wurde, jedoch ohne Erfolg.

Hätte hier noch jemand eine gewinnbringende Idee?


Schöne Grüße,
Kevin

 

[laserdesign]

Hallo und willkommen hier im Forum,

benutze mal die SuFu hier im Forum.
Suchworte, forwarding ipv4

 

[krueter93]

Über die SuFu bin ich leider nicht zum gewünschten Resultat gekommen, da ich aus dem lokalen Netz in das Internet-Netz und nicht den umgekehrten Weg gehen möchte.
Zudem lassen sich im Speedport, anders als bei bspw. einer Fritzbox, keine statischen Routen eintragen.

 

[jahlives]

Nun sollen hier alle Clients eine IP-Adresse vom LAN 2 DHCP des Servers bekommen, jedoch über das LAN 1-Interface in das Internet gelangen.

dann muss jeder Client als default Gateway die 10-er IP der DS bekommen. Auf der DS muss IPv4 Forward aktiviert sein. Dann schickt der Client seine Anfragen an die 10-er der DS und die schickt sie gemäss ihrer Routing Tabelle an ihren default Gateway. Wahrscheinlich wirst du auf der DS noch eine NAT Regel brauchen, welche die 10-er SRC IP des Clients mit der 192-er IP der DS ersetzt bevor die Pakete Richtung Router gehen. Denn die wenigsten Homerouter kommen mit zwei LANs klar. Ohne NAT brauchst du eine Route auf dem Gateway welche das 10-er Netz an die 192-er IP der DS routet. Sonst kommen die Antworten nicht an

iptables -t nat -A POSTROUTING -o lan1 -s 10.0.0.0/24 -j MASQUERADE

so könnte eine NAT Regel für die DS ausschauen: am Output Interface lan1 wird die Source 10.0.0.0/24 mit der IP Adresse des Interfaces ersetzt. Das bräuchte dann kein Routing auf dem Gateway

 

[krueter93]

Habe den Befehl so schon eingegeben, jedoch ohne Erfolg. Die Regel wird auch in der Postrouting-Chain angezeigt, aber scheinbar nicht berücksichtigt, da ein Client aus dem 10er-Netz immer noch kein Internet bezieht.

 

[jahlives]

ipv4 Forward aktiviert? Hat der Client die 10-er IP der DS als Gateway?

 

[krueter93]

Jep, beides trifft zu.

 

[jahlives]

dann ist jetzt systematische Fehlersuche angesagt
1. kannst du vom Client aus die 10-er IP der DS pingen? Falls ja dann weiter zu 2. sonst Routing auf dem Client und Firewall auf der DS prüfen
2. kannst du vom Client aus die 192-er IP deines Routers pingen? Falls ja dann weiter zu 3. sonst zu 2a
2a auf der DS tcpdump anwerfen während du die Router IP pingst

tcpdump -i LAN2 -n icmp and host IP_DEINES_CLIENTS

kommen Pakete an? Wenn ja weiter zu 2b. Wenn keine Pakete ankommen zurück zu 1 und Routing und Firewall prüfen
2b jetzt prüfst du ob die ping Pakete die DS auch verlassen

tcpdump -i LAN1 -n icmp and host IP_DES_ROUTERS

wenn du hier Pakete siehst, dann werden die Anfragen korrekt durch die DS hindurchgereicht. Weiter zu 3
3. mache auf dem Client einen traceroute resp tracert auf eine externe IP z.B. 8.8.8.8
Bis wohin bekommst du Antworten?

 

[krueter93]

Ok, bis zu 3. ist alles ok, also die Pakete gehen sowohl rein als auch raus.
Aber dann beim Ausführen von tracert 8.8.8.8 kommt er beim ersten Hop zur 10er-IP des DS und ab dann gibt es eine Zeitüberschreitung.

 

[jahlives]

dann häng den tcpdump nochmals auf das LAN1 Interface (wieder mit icmp) diesmal aber mit host 8.8.8.8 und pinge vonm Client aus die IP nochmals
Siehst du neben den Anfragen (von der DS raus) auch Antworten (also Pakete die an die DS hereinkommen)? Falls ja dann müssten die an die LAN1 IP Adresse der DS adressiert sein. Sind sie es nicht oder kommen gar keine Antworten, dann würde mich deine iptables NAT Regel wundernehmen

 

[krueter93]

Nun werden zwar Pakete an den Host 8.8.8.8 gesendet, es kommen aber keine Antworten zurück.

 

[jahlives]

jetzt wäre es sehr hilfreich wenn du tcpdump auch auf dem Router hättest. Das würde helfen zu sehen ob das NAT der DS die Pakete auch korrekt umgeschrieben hat. Bei einem Speedport sehe ich hier allerdings schwarz ;-) Vorschlag: nenn mir deine aktuelle externe IP (oder schick sie mir per PN) und pinge 5.148.182.84 (ist mein Server). Ich guck dann per tcpdump ob ich Pakete von deiner IP Adresse sehen kann

 

[krueter93]

Hab dir eine PN mit der externen IP geschickt und pinge dann jetzt den Server an.

 

[jahlives]

zum aktuellen Zeitpunkt 18:18:10 kein Paket von deiner IP

 

[krueter93]

Bei deiner Server-IP wird bei mir im tcpdump auch angezeigt, dass nicht mal mehr was gesendet wird, zu 8.8.8.8 gehts.
EDIT: Ok sorry, Tippfehler. Gesendet wird scheinbar.

 

[jahlives]

sehr supekt. Für mich gibt es dann eigentlich nur noch zwei mögliche Fehlerquellen: einerseits dass das NAT nicht klappt, wobei dagegen spricht, dass du vom Router Antworten bekommst oder ein Problem mit der FORWARD Tabelle. Dort spräche eher dagegen, dass du Pakete auf LAN1 mit tcpdump sehen kannst.
Ich würde mir mal die FORWARD und die NAT Tabelle angucken

iptables -L FORWARD -nv
iptables -t nat -L POSTROUTING -nv

Wenn ich das Problem bei mir hätte würde ich mir zudem Mal einen Client ins 192-er Netz hängen und tcpdump drauf laufen lassen (oder wireshark bei Windows). Dann vom 10-er Client her pingen und gucken wie die Pakete genau auschauen wenn sie ankommen beim Testclient. Interessant wäre die SRC IP dieser Pakete
Nur zur Sicherheit: dein Client im 10-er Netz hängt nicht noch irgendwie im 192-er?

 

[krueter93]

Hallo,

ich habe nun das Routing mit den NAT-Befehlen hinbekommen, jedoch tauchen hier noch 2 weitere Probleme auf:

1. Über VoIP gibt es nur "One Way Audio", also kann mich der Gegenüber zwar hören, ich ihn jedoch nicht. (Problem mit der NAT-Regel?)
2. Ich kann aus der 10er-Range alle Geräte mit einer 192er-Range ansprechen. Dies sollte allerdings unterbunden werden.

Nochmals danke für die Unterstützung.

 

[jahlives]

1. VOIP und NAT beissen sich sehr oft. Typische Symptome: One Way Audio
2. dann erstell entsprechende Regeln in der FORWARD Tabelle

 

[krueter93]

Zu 1.: Irgendeine Idee, wie man dieses Problem beheben könnte?
Zu 2.: Wie könnte ein solcher Befehl aussehen?

 

[jahlives]

1) am "einfachsten" indem alle VOIP Devices über eine eigene öffentliche IP verfügen (avoid NAT at all). Wo das nicht geht kann man u.U. Abhilfe schaffen (solange man nur ein Device hinter dem NAT hat) indem man entsprechende Forwardregeln am Router erstellt

SIP signaling: Ports 5060 to 5070
RTP audio: Ports 8766 to 35000

wobei man damit sehr viele Ports öffnet. Diese Ports werden an die statische LAN IP des VOIP Gerätes durchgereicht.
Oder man schafft sich einen SIP fähigen Router an, der H.323 forwarden kann (können viele Enterprisegeräte, aber leider die wenigsten Homerouter)

2) das kommt sehr darauf an was du erlauben willst und was nicht. Im einfachsten Fall (keinerlei (Neu)Verbindungen der beiden Netze untereinander)

iptables -A FORWARD -m state --state NEW -s 10.0.0.0/24 -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -m state --state NEW -s 192.168.0.0/24 -d 10.0.0.0/24 -j DROP

wenn bestimmte Verbindungen aber doch erlaubt sein sollen, dann musst du diese VOR diesen obigen Regeln erst explizit erlauben