Bridge unter CentOS funktioniert nicht

Hallo Vogster,

so wie ich das sehe hast Du nur ein Verständnisproblem, nur meine Meinung!

Bild 1:
Zeigt klassisches Routing zwischen zwei Netzwerken oder Broadcast Domains.
Macht man oft mit einem Router oder einem Server mit zwei Netzwerkkarten.
Somit ist CentOS dafür ja bestens geeignet und der aqui hat dafür auch eine Anleitung, die Du ja schon kennst.

Bild 2:
Da hab ich so mein Problem mit, also wenn ich mir das so ansehe wie Du es aufgezeichnet hast,
sind da 2 Rechner (PC_A und PC_B) und beide sind in dem selben Subnetz (CIDR)....
PC_A: 192.168.0.1/24 (255.255.255.0)
PC_B: 192.168.0.3/24 (255.255.255.0)

und die müssten sich doch alle sehen können, ich meine wozu denn noch die 192.168.0.99/24 (255.255.255.0)?
Du müsstest eigentlich nur zwischen den beiden Switchen einen Uplink anlegen und gut ist es, es sei denn die
beiden PCs sind in einem VLAN, dann müsstest Du eben einen Uplink mit VLAN anlegen und der heißt dann Trunk!

Also ich denke in dem Bild zwei brauchst Du gar kein CentOS und in dem Bild 1 irgend etwas was routet, z.B.
einen Router.

Bild 1: Sie müssen eben nicht in einem Netz liegen, es muss eben nur etwas her was zwischen den beiden Netzen routet.
Und wenn Du die IP Adressen eh nicht ändern darfst ist so ein kleiner MikroTik Router für 30 € oder eben
so wie Du es machst ein Linux System (CentOS) genau das richtige.
Bild 2:Wie schon erwähnt, ein Kabel zwischen den beiden Switchen macht es in dem Fall auch.

Daher habe ich auch ganz am Anfang oben gemeint Du hast ein Verständnisproblem!!
Und den guten Ratschalg von aqui...


kann ich nur ergänzen mit:

Friends never let friends bridge their network!
(Freunde lassen Freunde niemals Ihr Netzwerk bridgen)
Also war das doch schon ein freundschaftlicher Rat von Ihm, zumindest so wie ich das sehe.

Ich kenne ja nun die örtlichen Gegebenheiten nicht so bei Dir/Euch, aber so ein Kabel kostet nicht unbedingt viel Geld, also 3 Meter CAT.6a um die 7 €, das sollte doch reichen, wenn die Switche nah bei einander stehen
oder?

Also wie gesagt und kurz geschrieben, wenn Du zu Bild zwei ein Kabel nimmst und die Switche verbindest ist
das Ding gelaufen!

Und zu Bild eins hat aqui Dir ja schon den Link geschrieben.

Schönes WE und Gruß
Dobby

Hallöle

Aber noch nicht auf die richtige, denke ich zumindest.

Am besten ist es immer alles zu erzählen und auch eine oder mehrere Skizzen anzufertigen.
Denn wenn man Dir alles aus der Nase ziehen muss ist das doch auch alles nicht halbes oder ganzes.

So einfach kann man Deine Frage, aufgrund der restlichen fehlenden Informationen nicht beantworten!!!!!!!
- Wer routet denn jetzt alles im Netzwerk?
- Ist da ein Router oder auch eine Firewall die das Routing macht?
- Sind dort Layer 3 Switche die routen?
- Wer routet was von wo nach wo und vor allem anderen für wen?
- Wie sieht die restliche Topologie aus? Core Layer, Distributed Layer, Access Layer
- Was sind das für Geräte und von wem? Als Beispiel: Router = Cisco RV200W & Switch = Cisco SG300-28
- Sind VALANs mit im Spiel?
- Redundant oder nicht?
- Welches WAN Setup hast Du da? und oder Anschlüsse.

Na das ist ja früh dran hier, man man man, ich meinte nicht das einfache Kabel vom Endgerät zum Switch
sondern vom Switch zum Switch, betreffend des Uplinks.

Muss ja auch nicht, nur wop soll der Routing Punkt sein oder besser von wo nach wo? WAN - LAN oder LAN - LAN?

Na dann eben mal einen Server mit Wireshark oder TCPDUMP installiert und alles aufgezeichnet.
Alternativ ginge auch ein Netzwerkmonitor wie PRTG, Nagios,......

Tu Dir mal einen Gefallen, ich bin jetzt auch nicht der super Netzwerk Guru so wie der aqui, aber das mit der
Bridge lassen wir jetzt einfach mal weg, ohne Dir zu nahe treten zu wollen.



Darf ich mal fragen wer das so vorschreibt oder sagt? Und....

Stimmt dann ja auch so nicht, oder?

1. Das OS:
Ich meine klar wenn man ein echter Netzwerk Guru oder Linux Guru ist und das System danach oder besser vorher
noch härtet denn kann das schon gut gehen und funktionieren, aber ich bin mir bei Dir wirklich nicht sicher
ob Du nicht lieber eine schon eine gehärtete Linux oder xBSD basierende Variante nehmen solltest!

2. Die Hardware:
Man hat früher, vor sehr vielen Jahren so etwas gesagt das einige Linux und/oder xBSD Varianten auf einem
PC schön schnell rennen, aber bei den Strompreisen heute ist das auch nicht mehr das was es einmal war.
Und zweitens in einem Betrieb würde ich entweder Server Hardware oder geeignete Hardware dazu verwenden
und keinen PC, nie und nimmer mehr!

Software:

Fierwalls:
BSD:
- mOnOwall
- pfSense

Linux:
- IPCop
- IPFire
- SmoothWall
- ClearOS

Router:
BSD:
- OpenBSD + OpenBGP oder Zebra oder Quagga
- Vyatta

Linux:
- l4li + Eisfair
- MirkoTik RouterOS
- DD-WRT
- OpenWRT
- FreeWRT

Hardware:
- IEI
- LianTec
- Soekris
- PC Engines Alix boards
- SBC embedded boards

CentOS ist schick und auch gut zu handhaben, aber als Firewall würde ich es nicht Einsätzen wollen ohne es zu härten! Dann lieber eine von den weiter o.g. Linux Distributionen, denn die sind schon gehärtet, wohl gemerkt die Linux Distributionen.

Ja, aber es wäre halt schön einmal langsam alles zu erfahren und nicht nur Häppchen weise!

Ich weiß nicht wo Du das mit der Bridge her hast, aber hier sollte doch irgend etwas im Netzwerk routen, oder?
Und so wie Du das hier alles beschreibst tut das eben zur Zeit keiner!
Denn normaler Weise hat man im Netzwerk zwei Punkte an denen das Routing statfindet;
- WAN - LAN = Der Router oder die Firewall
- LAN - LAN = ein Layer3 Switch oder ein Router.
Man kann auch auf Sparflamme kochen und das Routing vorne an der Firewall oder dem Router für das ganze Netzwerk stattfinden lassen, finde ich aber nicht berauschend und meist ist anders herum die gesamte Performance und Reaktionszeit extrem besser gestaltet mit zwei Routing Punkten.


Ich sag es jetzt einmal kurz und schmerzlos und das kannst Du auch über die Suchfunktion hier im Forum
recht schnell überprüfen:

Bild 1: Zwischen zwei Netzwerken muss ein Gerät stehen was routet.
(Außer man hat eine L3 Switch oder man arbeitet mit DHCP Relay Agents)

Bild 2: Wenn die beiden Switche nur Layer 2 Switche sind, und sonst niemand in diesem Netzwerk routet
muss die CentOS "Kiste" das routing übernehmen!!!!!! Sonst macht es ja keiner.

a.) Zwei Netzwerkkarten rein und dann an eine das Modem und die andere an den einen Switch und dann die beiden Switche miteinander verbinden, fertig.

b.) Drei Netzwerkkarten rein und dann an eine das Modem und an jede andere je einen Switch fertig!

Hm, in Bild zwei, auf dem Gerät mit der IP 192.168.0.99 sollte einfach nur ein zweite Netzwerkkarte drin sein
und dann muss das Routing aktiviert werden! Fertig.

Und deshalb lass es Dir bitte noch einmal erzählen, bitte nimm eine Firewall oder Router Lösung
von den oben genannten und dann hast Du auch gleich verschieden farbige Zonen drin und SPI und NAT noch oben
drauf plus Firewallregeln und VLAN und was weiß ich nicht noch alles.


Bitte.

Gruß
Dobby

Moin,

willst Du nur sniffen oder auch mit iptables filtern?

Wenn Du nur sniffen willst, solltest Du einfach eine passenden Switch dafür nehmen.

Da meine Domäne eher debian/ubuntu ist, kann ich Dir bei centOS jetzt keine konkreten Tipps geben, aber hast Du mal versucht es direkt nach den howtos im Netz zu machen, z.B. der hetzner-Anleitung oder einer beliebigen anderen Anleitung?

lks

ja, einfach analog "extrapolieren". Oder google anwerfen und schauen, was da rausgefallen kommt.

Was sagt denn tcpdump, wenn Du auf den Interfaces (eth0, eth1, br0) mitsniffst? Kommen da Pakete durch?

Sind die MAC-Adressen disjunkt?

lks

Schon klar, nur es kommen eben immer neue Details hinzu, da darfst Du mich halt auch nicht falsch verstehen!
Wenn man Dir sagt das Du routen sollst und da sind noch ein Layer3 Switch und eine Firewall im oder ein anderer Router im Netzwerk kann das auch schnell nach hinten losgehen. Also ist das schon wichtig alle oder
zumindest die meisten Sachen zu kennen.

Ich würde jetzt sogar schon so weit gehen das ich Dir rate packe bitte die 7 Rechner in ein VLAN und gut ist es! Der Server wird dann mit der Netzwerkkarte zu "Euch", also Deinen Rechnern auch in das VLAN aufgenommen
und gut ist es. Dann können Deine "Leute" oder Rechner alle unangetastet bleiben und an der Konfiguration
brauch auch nichts verändert werden.

Mit der einen Netzwerkkarte wird der Server Mitglied in einem VLAN und das gehört zu Deinem VLAN mit Deinen
PCs und gut ist es, da kann dann keiner ran, rein und rum.

Da habe ich schon das nächste Problem mit, sorry tut mir leid, aber normaler weise Packt man alle PCs in ein
oder mehrere VLANs und die Server auch und die Server werden je nach Zugriff dann eben Mitglieder (Member)
von mehreren VLANs und fertig ist der Lack. Das bekomme ich hier in meinem Heimnetzwerk zu Hause mit zwei
Switchen ja auch hin!
VLAN1 = Management mit allen Geräten für den Admin oder die Admins
VLAN2 = Deine Rechner
VLAN3 = Server
VLAN4 = andere PCs


VLANs + ACLs + Port Security Einstellungen der Switche
Fertig.


VLANs + ACLs + Port Security Einstellungen der Switche
Fertig.

Sniffen oder Monitoring mach man am Monitor Port (Mirrored Port) des Switches und gut ist es.

Wenn ich zwei Äpfel und zwei Birnen und ein Packet Taschentücher kaufen möchte, muss ich nicht mit einem
Sattelschlepper der 22 t (Tonnen) laden kann vor den Supermarkt fahren, für das geschätzte 1 KG Ware.

Und das weiterleiten nennt man Routing.


Und wie glaubst Du werden die Daten durchgereicht dahin, zum Server oder zu den PCs?

So ich klinke mich dann mal gepflegt aus, viel Erfolg noch.


Gruß
Dobby

könnte natürlich auch davon abhängen, wie Du die virtuellen Switche konfiguriert hast.

Hast Du denn einfach mal vesucht, das auf einer realen Kiste auszuprobieren?

lks

PS:

• Mit welcher virtualisierungssoftware arbeitest Du üebrhaupt?
• hast Du mal einfach eine andere Distribution versucht, z.B einfach mal knoppix von einer liveCD booten udn dann bridging aktivieren?
• hast Du mal versucht an den nics zu sniffen?
• Macht centOS eventuell automatische Firewallregeln für die Interfaces? Schau mal mit iptables nach, oder flush mal alle regeln und mach dein default-accept.

lks