4
SuSE10.3 als Gateway und Proxy
Internet ist aus dem lokalen Netz nicht erreichbar
Folgende Situation:
Ich habe einen Router (Fritz.Box 7170), einen Linux Rechner (SuSE 10.3) und mehrere PC's hinter dem Linux Rechner. Der Linux Rechner soll als Gateway, und später auch als Proxy/Firewall, fungieren. Die Fritz.Box ist angeschlossen, konfiguriert und funktioniert. Der Linux Rechner hat zwei Netzwerkkarten und kommt auch ins Internet. Die PC's kommen leider nur bis zum Linux Rechner.
Hier mal meine Konfiguration:
[Fritz.Box (10.10.20.1)] --- [Linux (eth110.10.20.2 - etho 10.10.10.5)] --- [Windows PC (10.10.10.22)
Wie schon gesagt, der Linux Rechner kommt uns Internet und kann auch den Windows PC anpingen.
Der Windows PC kann beide Adressen des Linux Rechners anpingen, aber nicht die Fritz.Box oder irgendeine andere Adresse aus dem www.
LINUX RECHNER
linux:/ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.20.0 * 255.255.255.0 U 0 0 0 eth1
10.10.10.0 * 255.255.255.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default fritz.box
linux:/ # cat /proc/sys/net/ipv4/ip_forward
1
linux:/ # cat /proc/net/route
Iface Destination Gateway Flags RefCnt Use Metric Mask MTU Window IRTT
eth1 00140A0A 00000000 0001 0 0 0 00FFFFFF 0 0 0
eth0 000A0A0A 00000000 0001 0 0 0 00FFFFFF 0 0 0
eth0 0000FEA9 00000000 0001 0 0 0 0000FFFF 0 0 0
lo 0000007F 00000000 0001 0 0 0 000000FF 0 0 0
eth1 00000000 01140A0A 0003 0 0 0 00000000 0 0 0
WINDOWS PC
IPv4-Adresse - 10.10.10.22(Bevorzugt)
Subnetzmaske - 255.255.255.0
Standardgateway - 10.10.10.5
DNS-Server - 10.10.10.5
NetBIOS über TCP/IP - Aktiviert
ping 10.10.10.5 ( Linux Rechner eth0 ) = ok
ping 10.10.20.2 ( Linix Rechner eth1 ) = ok
ping 10.10.20.1 (fritz.box) = geht nicht
Zur konfiguration stehen YaST, webmin und die Konsole zur verfügung.
Ich habe schon versucht das routing zu ändern, aber leider erfolglos, was daran liegen könnte das ich es total falsch gemacht habe.
Kann mir jemand bei meinem Problem helfen?
Was muß ich ändern, einrichten od. wie konfigurieren damit es endlich funktioniert
Ich habe einen Router (Fritz.Box 7170), einen Linux Rechner (SuSE 10.3) und mehrere PC's hinter dem Linux Rechner. Der Linux Rechner soll als Gateway, und später auch als Proxy/Firewall, fungieren. Die Fritz.Box ist angeschlossen, konfiguriert und funktioniert. Der Linux Rechner hat zwei Netzwerkkarten und kommt auch ins Internet. Die PC's kommen leider nur bis zum Linux Rechner.
Hier mal meine Konfiguration:
[Fritz.Box (10.10.20.1)] --- [Linux (eth110.10.20.2 - etho 10.10.10.5)] --- [Windows PC (10.10.10.22)
Wie schon gesagt, der Linux Rechner kommt uns Internet und kann auch den Windows PC anpingen.
Der Windows PC kann beide Adressen des Linux Rechners anpingen, aber nicht die Fritz.Box oder irgendeine andere Adresse aus dem www.
LINUX RECHNER
linux:/ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.20.0 * 255.255.255.0 U 0 0 0 eth1
10.10.10.0 * 255.255.255.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default fritz.box
linux:/ # cat /proc/sys/net/ipv4/ip_forward
1
linux:/ # cat /proc/net/route
Iface Destination Gateway Flags RefCnt Use Metric Mask MTU Window IRTT
eth1 00140A0A 00000000 0001 0 0 0 00FFFFFF 0 0 0
eth0 000A0A0A 00000000 0001 0 0 0 00FFFFFF 0 0 0
eth0 0000FEA9 00000000 0001 0 0 0 0000FFFF 0 0 0
lo 0000007F 00000000 0001 0 0 0 000000FF 0 0 0
eth1 00000000 01140A0A 0003 0 0 0 00000000 0 0 0
WINDOWS PC
IPv4-Adresse - 10.10.10.22(Bevorzugt)
Subnetzmaske - 255.255.255.0
Standardgateway - 10.10.10.5
DNS-Server - 10.10.10.5
NetBIOS über TCP/IP - Aktiviert
ping 10.10.10.5 ( Linux Rechner eth0 ) = ok
ping 10.10.20.2 ( Linix Rechner eth1 ) = ok
ping 10.10.20.1 (fritz.box) = geht nicht
Zur konfiguration stehen YaST, webmin und die Konsole zur verfügung.
Ich habe schon versucht das routing zu ändern, aber leider erfolglos, was daran liegen könnte das ich es total falsch gemacht habe.
Kann mir jemand bei meinem Problem helfen?
Was muß ich ändern, einrichten od. wie konfigurieren damit es endlich funktioniert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82078
Url: https://administrator.de/contentid/82078
Printed on: April 25, 2024 at 14:04 o'clock
4 Comments
Latest comment
Dieses Tutorial sollte alle deine Probleme lösen:
Vermutlich hast du schlicht und einfach vergessen das IP Forwarding in den Systemeinstellungen mit YAST zu aktivieren, denn sonst routet der Linux Rechner nicht !
Obwohl du ja die 10.10.20.2 also das LAN Interface an eth 1 pingen kannst...also vermutlich doch IP Forwarding aktiviert...
Wenn du die FB nicht pingen kannst hast du dort mit an Sicherheit grenzender Wahrscheinlichkeit die statische Route ins 10.10.10.0er Netz vergessen !
Ist dem so wie soll die FB denn auf das Packet antworten, wenn sie nicht weiss das das Antwortpacket zu 10.10.10.0/24 an den Linux Rechner gehen soll !!! Wenn das fehlt schickt die FB das packet ins Internet und dann ins Nirwanan denn dein 10er Netz ist ein RFC 1918 Netz !!
Das Tutorial beschreibt einen Packet Walk, damit kannst du ganz genau sehen wie Packete aus dem PC Netz durch den Linux Rechner zum Router gehen und zurück !
Fazit: Ohne statische Route auf der FB kein Ping aus dem PC Netz.
Vermutlich hast du schlicht und einfach vergessen das IP Forwarding in den Systemeinstellungen mit YAST zu aktivieren, denn sonst routet der Linux Rechner nicht !
Obwohl du ja die 10.10.20.2 also das LAN Interface an eth 1 pingen kannst...also vermutlich doch IP Forwarding aktiviert...
Wenn du die FB nicht pingen kannst hast du dort mit an Sicherheit grenzender Wahrscheinlichkeit die statische Route ins 10.10.10.0er Netz vergessen !
Ist dem so wie soll die FB denn auf das Packet antworten, wenn sie nicht weiss das das Antwortpacket zu 10.10.10.0/24 an den Linux Rechner gehen soll !!! Wenn das fehlt schickt die FB das packet ins Internet und dann ins Nirwanan denn dein 10er Netz ist ein RFC 1918 Netz !!
Das Tutorial beschreibt einen Packet Walk, damit kannst du ganz genau sehen wie Packete aus dem PC Netz durch den Linux Rechner zum Router gehen und zurück !
Fazit: Ohne statische Route auf der FB kein Ping aus dem PC Netz.
@rkujadt
Hi,
dass die PC's "leider nur den Linux-Server erreichen", und nicht die
Fritz-Box, ist bei dieser Konfiguration ja eigentlich auch erwünscht.
Ansonsten könnten die User an den PC's einfach im Browser ihr
Gateway auf den Router(Fritz-Box) ändern und den Proxy-Server umgehen.
Somit wäre ein Proxy-Server überflüssig bzw. Zugriffsregeln in
der Konfiguration des Proxy-Servers können so umgangen werden.
Heißt, wenn der Proxy erstmal läuft und konfiguriert ist, ist ein Routing überflüssig,
zumindest zum Surfen im Internet.
Um dennoch die Fritz-Box zu erreichen, muß beim Linux-Server
zum Routing noch Masquerading aktiviert werden, was mit
einem kleinen Script beim Systemstart erledigt werden kann.
Gruß
Günni
P.S.: Statische Routen
Eine statische Route auf dem Linux-Rechner ist nicht erforderlich. Das beweist
deine Ausgabe des Befehls route. Der Rechner "weiß" aufgrund der Konfiguration,
welche Netze er wie erreichen kann. Deshalb funktioniert auch der Ping vom Windows-PC
auf beide NW's des Linux. Eine statische Route auf der Fritz-Box ist ebenfalls unnötig
(falls es überhaupt möglich ist, eine solche dort anzulegen
), dein Linux-Rechner kommt
ja ins Internet und es ist seine Aufgabe, und nicht die der Fritz-Box, Daten weiter zu
leiten. Auch wenn ein Datenpaket aus dem PC-Netz über den Linux-Rechner zum Router
kommt, so kommt aus Sicht des Routers das Paket vom Linux-Rechner und nicht
von einem PC hinter dem Rechner.
Weil ein Gateway, und das ist ja dein Linux, unterschiedliche Umgebungen miteinander
verbindet, in dem es die Information der Protokollschicht vom einkommenden Paket entfernt
und durch die für die andere Umgebung erforderliche Paketinformation ersetzt
(ist jedenfalls so, vereinfacht ausgedrückt, in Fachbüchern zu lesen). Und somit kommen
alle Anfragen der PC's aus dem 10.10.10.0 Netz zum Router immer aus "seiner Sicht" vom
Linux. Und die Verbindung steht ja
Hi,
dass die PC's "leider nur den Linux-Server erreichen", und nicht die
Fritz-Box, ist bei dieser Konfiguration ja eigentlich auch erwünscht.
Ansonsten könnten die User an den PC's einfach im Browser ihr
Gateway auf den Router(Fritz-Box) ändern und den Proxy-Server umgehen.
Somit wäre ein Proxy-Server überflüssig bzw. Zugriffsregeln in
der Konfiguration des Proxy-Servers können so umgangen werden.
Heißt, wenn der Proxy erstmal läuft und konfiguriert ist, ist ein Routing überflüssig,
zumindest zum Surfen im Internet.
Um dennoch die Fritz-Box zu erreichen, muß beim Linux-Server
zum Routing noch Masquerading aktiviert werden, was mit
einem kleinen Script beim Systemstart erledigt werden kann.
#!/bin/bash
#Routing aktivieren
echo 1 > /proc/sys/net/ipv4/ip_forward
#Masquerading aktivieren
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADEGruß
Günni
P.S.: Statische Routen
Eine statische Route auf dem Linux-Rechner ist nicht erforderlich. Das beweist
deine Ausgabe des Befehls route. Der Rechner "weiß" aufgrund der Konfiguration,
welche Netze er wie erreichen kann. Deshalb funktioniert auch der Ping vom Windows-PC
auf beide NW's des Linux. Eine statische Route auf der Fritz-Box ist ebenfalls unnötig
(falls es überhaupt möglich ist, eine solche dort anzulegen
), dein Linux-Rechner kommtja ins Internet und es ist seine Aufgabe, und nicht die der Fritz-Box, Daten weiter zu
leiten. Auch wenn ein Datenpaket aus dem PC-Netz über den Linux-Rechner zum Router
kommt, so kommt aus Sicht des Routers das Paket vom Linux-Rechner und nicht
von einem PC hinter dem Rechner.
Weil ein Gateway, und das ist ja dein Linux, unterschiedliche Umgebungen miteinander
verbindet, in dem es die Information der Protokollschicht vom einkommenden Paket entfernt
und durch die für die andere Umgebung erforderliche Paketinformation ersetzt
(ist jedenfalls so, vereinfacht ausgedrückt, in Fachbüchern zu lesen). Und somit kommen
alle Anfragen der PC's aus dem 10.10.10.0 Netz zum Router immer aus "seiner Sicht" vom
Linux. Und die Verbindung steht ja
So, nach einer kleinen abstinez werde ich mich heute mal wieder mit dem Problem beschäftigen.
Damit ich wieder halbwegs vernünftig surfen und mails abrufen konnte habe ich kurzfristig alles wieder auf ein Netz umkonfiguriert.
Bin mal gespannt ob das ganze mit Günni's hilfe und dem "MASQUERADE" funktioniert.
Melde mich wieder wenn ich das getestet habe ...
Damit ich wieder halbwegs vernünftig surfen und mails abrufen konnte habe ich kurzfristig alles wieder auf ein Netz umkonfiguriert.
Bin mal gespannt ob das ganze mit Günni's hilfe und dem "MASQUERADE" funktioniert.
Melde mich wieder wenn ich das getestet habe ...
@günni
Deine Ausführungen am Ende sind aber nur dann gültig wenn der Linux Rechner NAT macht (Masquerading). Eigentlich ist das IP technischer Unsinn, denn die FB macht ja nochmals NAT und 2mal NAT geht zwar technisch kann aber in manchen Konstellationen Probleme bereiten, so das man es dann doch mit einem NUR Routing der Linux Maschine bewenden lassen sollte und den Router das finale NAT ins öffentliche Netz machen zu lassen.
Damit ist dann aber wieder die statische Route auf der FB zwingend notwendig. (Die FB kann sowas..)
Nur wenn die FB das nicht könnte, dann würde ein Masquerading Sinn machen, bzw. ist dann die einzige Möglichkeit dieses Design technisch umzusetzen !
Deine Ausführungen am Ende sind aber nur dann gültig wenn der Linux Rechner NAT macht (Masquerading). Eigentlich ist das IP technischer Unsinn, denn die FB macht ja nochmals NAT und 2mal NAT geht zwar technisch kann aber in manchen Konstellationen Probleme bereiten, so das man es dann doch mit einem NUR Routing der Linux Maschine bewenden lassen sollte und den Router das finale NAT ins öffentliche Netz machen zu lassen.
Damit ist dann aber wieder die statische Route auf der FB zwingend notwendig. (Die FB kann sowas..)
Nur wenn die FB das nicht könnte, dann würde ein Masquerading Sinn machen, bzw. ist dann die einzige Möglichkeit dieses Design technisch umzusetzen !
