8
Debian als Gateway Probleme
Hallo,
ich möchte meinen Server als Gateway für mein Gast-WLAN einsetzen. Dieses läuft über den AP auf VLAN-ID 999. DHCP-Server ist eingerichtet und vergibt ordentlich die IP's. Allerdings komme ich aus dem Gast-WLAN nicht ins Netz. Folgende Einstellungen sind gesetzt:
/etc/network/interfaces
iptables macht im POSTROUTING (NAT) ein MASQUERADE wenn -o vmbr0
/etc/dhcp/dhcpd.conf
ip_forward ist auf 1 gesetzt.
192.168.0.1 ist der Router ins DSL
192.168.0.254 ist mein Server
Auf vmbr0 sind alle benutzten Netzwerk-Eingänge gebridget.
Aus dem VLAN 999 ist ein Ping und Zugriff auf 192.168.254.1 und 192.168.0.254 möglich. Der Rest ist nicht erreichbar.
Hat jemand eine Idee wo der Fehler liegen könnte?
ich möchte meinen Server als Gateway für mein Gast-WLAN einsetzen. Dieses läuft über den AP auf VLAN-ID 999. DHCP-Server ist eingerichtet und vergibt ordentlich die IP's. Allerdings komme ich aus dem Gast-WLAN nicht ins Netz. Folgende Einstellungen sind gesetzt:
/etc/network/interfaces
auto lo
iface lo inet loopback
auto enp2s0
iface enp2s0 inet manual
post-up iptables-restore < /etc/iptables.up.rules
iface enp2s0f0 inet manual
post-up iptables-restore < /etc/iptables.up.rules
iface enp2s0f1 inet manual
post-up iptables-restore < /etc/iptables.up.rules
auto enp3s0f0
iface enp3s0f0 inet manual
network 192.168.0.0
post-up iptables-restore < /etc/iptables.up.rules
iface enp3s0f1 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.0.254
netmask 24
gateway 192.168.0.1
broadcast 192.168.0.255
bridge-ports enp2s0f0 enp2s0f1 enp3s0f0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
network 192.168.0.0
auto vmbr0.999
iface vmbr0.999 inet static
address 192.168.254.1
netmask 24
broadcast 192.168.254.255
vlan-id 999
network 192.168.254.0iptables macht im POSTROUTING (NAT) ein MASQUERADE wenn -o vmbr0
/etc/dhcp/dhcpd.conf
# home
subnet 192.168.0.0 netmask 255.255.255.0 {
authoritative;
option domain-name-servers 192.168.0.254;
option routers 192.168.0.1;
range 192.168.0.20 192.168.0.200;
# flur
host flur {
hardware ethernet 68:57:2d:b6:3b:77;
fixed-address 192.168.0.37;
}
}
# vlan999
subnet 192.168.254.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
option routers 192.168.254.1;
range 192.168.254.20 192.168.254.100;
}ip_forward ist auf 1 gesetzt.
192.168.0.1 ist der Router ins DSL
192.168.0.254 ist mein Server
Auf vmbr0 sind alle benutzten Netzwerk-Eingänge gebridget.
Aus dem VLAN 999 ist ein Ping und Zugriff auf 192.168.254.1 und 192.168.0.254 möglich. Der Rest ist nicht erreichbar.
Hat jemand eine Idee wo der Fehler liegen könnte?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 641913
Url: https://administrator.de/forum/debian-als-gateway-probleme-641913.html
Ausgedruckt am: 20.04.2025 um 17:04 Uhr
8 Kommentare
Neuester Kommentar
ich möchte meinen Server als Gateway für mein Gast-WLAN einsetzen.
Die einfachen Grundlagen dazu findest du hier:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Allerdings komme ich aus dem Gast-WLAN nicht ins Netz.
Welches Netz meinst du ?? Internet ??Häufiger Grund dafür ist das du sehr wahrscheinlich vergessen hast die statischen Routen in deine lokalen Debian IP Netze hast auf deinem Internet Router einzutragen, kann das sein ?! (Siehe o.a. Tutorial !)
Masquerade ist eigentlich Blödsinn im internen Umfeld und solltest du bessernicht machen, da das immer und immer wieder Probleme mit der NAT Firewall macht. Ein transparentes Routing ist damit nicht möglich.
Großer Security Nachteil ist das der gesamte Traffic des Gastnetzes immer durch dein lokales LAN durchmuss zum Internet. Securitytechnisch in Albtraum da so ohne ein Customizen der Linux Firewall alle deine lokalen Endgeräte den Gästen zu Füßen liegen.
Viel sinnvoller ist die Netzsegmente an einen VLAN fähigen Router zu führen um die Segmente strikt zu trennen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Ich komme aus dem Netz 192.168.254.0/24 nur auf 192.168.0.254 (Server). Selbst 192.168.0.1 (Router) ist nicht erreichbar.
Meine Routing-Tabelle sieht so aus:
Meine Routing-Tabelle sieht so aus:
root@server:~# route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 vmbr0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0
192.168.254.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0.999Selbst 192.168.0.1 (Router) ist nicht erreichbar.
Zeigt das dort im Router die statische Route fehlt ! Siehe o.a. Grundlagen Tutorial !Auch ein tcpdump Trace wäre hilfreich.
Moin,
also hier ist das ja wie im Bilderbuch beschrieben worden:
https://gridscale.io/community/tutorials/tutorial-debian-routergateway-1 ...
Hast du ip-Forwarding auch in der /etc/sysctl.conf aktiviert?
Edit:
Gruß
em-pie
also hier ist das ja wie im Bilderbuch beschrieben worden:
https://gridscale.io/community/tutorials/tutorial-debian-routergateway-1 ...
Hast du ip-Forwarding auch in der /etc/sysctl.conf aktiviert?
Edit:
ip_forward ist auf 1 gesetzt.
Ja hast du. Hab ich überlesenGruß
em-pie
Im Router kann ich leider keine statischen Routen anlegen. Habe so einen formschönen Vodafone-Kabel-Router. Es muss doch aber möglich sein dem Server zu erklären, dass er alles was auf vmbr0.999 rein kommt NAT'en soll damit ein Internetzugriff möglich ist.
Zitat von @aqui:
Nicht ,wenn er NAT aktiv hat. Dann ist der Anfragende (hier der Gast hinter der Debian-Büchse), wie jeder Netzwerker weiß (:-P, konnte ich mir nicht verkneifen), für den Router ein Teilnehmer im selben Subnetz. Folglich ist eine statische Route nicht erforderlich.Selbst 192.168.0.1 (Router) ist nicht erreichbar.
Zeigt das dort im Router die statische Route fehlt ! Siehe o.a. Grundlagen Tutorial !Im Router kann ich leider keine statischen Routen anlegen. Habe so einen formschönen Vodafone-Kabel-Router.
Oha...ein billiger Schrottrouter als Dreingabe vom Provider. Normal nutzt man sowas niemals freiwillig, aber egal... Dann hast du natürlich ein Problem und musst dann leider zwingend NAT machen, keine Frage. Das bedeutet dann aber auch Routing Einbahnstrasse. Gut, von außen ins Gastnetz will ja auch keiner.Checke doch dann überhaupt erstmal mit tcpdump oder Wireshark ob die vmbr0.999 Absenderpakete im Router LAN überhaupt geNATet ankommen mit der Absender IP 192.168.0.254 !
Das wäre ja erstmal der erste Step um ganz sicher zu gehen das wenigstens das klappt !
Grundsätzlich muss man sich ja fragen warum du für ein simples Gastnetz unbedingt einen ganzen Debian Server glühen lassen musst. Mit einen kleinen 20_Euro_WLAN_Router kann man das doch viel einfacher und eleganter haben und das sogar noch mit einem schicken Captive Portal für die Gäste. Vom Stromverbrauch mal gar nicht zu reden.
Der Server läuft sowieso Aufgrund verschiedener Dienste. Habe jetzt pfSense als VM aufgesetzt und siehe da; es funktioniert.....
