Lokales Netzwerk hat kein Internet

[ChrisRgb]

Hallo zusammen,
ich bin neu in diesem Forum und hoffe, dass dieser Thread hier richtig gelandet ist, wenn nicht möchte ich einen Moderator bitten, ihn zu verschieben

Und jetzt mal gleich zur Sache:

Ich würde mir gerne ein Debian Gateway aufsetzten, jedoch hängt es noch an der Internetverbindung für das lokale Netz.
Ich muss gleich dazu sagen, dass ich (und auch wenn das viele sagen) schon wirklich viel probiert und geändert und zurück geändert habe, jedoch habe ich es leider nicht hin bekommen.

Was schon läuft:

- Debian als System an sich (mit einer onboard Ethernet Karte und einer PCIe Ethernet Karte, eth0 = PCIe = lokales Netzwerk, eth1 = onboard = Internetzugriff)
- Das System bekommt auf der eth1 Schnittstelle eine IP Addresse zugewiesen und hat auch eine Internetverbindung (pingen von google funktioniert, installieren von Software ebenso)
- Ein DHCP Server (ISC-DHCP-Server) läuft auf der eth0 Schnittstelle (lokales Netzwerk) und verteilt auch erfolgreich IP Adressen für das lokale Netzwerk und erkennt ebenso Clients, die ich eingetragen habe.
- Pingen des Servers (eigenes Debian Gateway) von einem Client aus funktioniert und auch verkehrt herum
- Nach der Installation von bind9 funktioniert auch die Namensauflösung auf den Clients, z.B. bei "ping google.com" sehe ich schon die IP Adresse des google Servers (IP Adresse wurde von einem anderen PC im Internet gepingt als Test)
- iptables: Dazu weiß ich schon nicht mehr, was ich alles probiert habe. Standart Policy auf DROP oder ACCEPT, ALLOW ESTABLISHED,RELATED Connections, FORWARD eth0 -> eth1, masquearde eth1,... Die Geschichte geht so weiter, alles kombiniert und vereinzelt^^ gerade eben habe ich alle Regeln gelöscht und auf ACCEPT gestellt, da ich gelesen habe, dass es für erste Versuche bzw. dem ersten Setup die beste Lösung wäre. Wenn es mal läuft, kann man ja die Regel ändern, so dass nur noch das durch gelassen wir, dass auch durch soll.

Das file sysctl.conf im Verzeichnis /etc/ wurde auch bearbeitet und die 1 bei "allow forward" (ipv4 und ipv6) eingetragen.

Ich bin nun wirklich an den Punkt gelangt wo ich nicht mehr weiter weiß und nicht einmal mehr wüsste nach was für einem Problem ich googlen sollte, deswegen eröffne ich hier ein neues Problem^^

Ich bedanke mich im vorhinein für jegliche Hilfe oder Ideen die ich ausprobieren könnte.

Schönen Abend weiterhin

[Cae]

Das file sysctl.conf im Verzeichnis /etc/ wurde auch bearbeitet und die 1 bei "allow forward" (ipv4 und ipv6) eingetragen.

Und auch mit sysctl -p neu geladen bzw. gerebootet? Die Aenderungen dort wirken nicht sofort, im Gegensatz zu Schreiboperationen im virtuellen Dateisystem unter /proc/sys/net/. Was nun gerade aktiv ist, kannst du per

Code: Alles auswählen

# sysctl net.ipv4.ip_forward
## bzw.
# cat /proc/sys/net/ipv4/ip_forward

erfahren.

Ansonsten wirst du an deinen mittlerweile leeren Firewall-Regeln scheitern, da du mindestens Routing (hast du) und NAT (hast du nicht) brauchst, um das Subnetz unter IPv4 durchzulassen. Etwas wie

Code: Alles auswählen

iptables -t nat -A POSTROUTING -j MASQUERADE

und eine auf Durchzug gestellte FORWARD-Tabelle (

Code: Alles auswählen

-P FORWARD ACCEPT

bzw. besser

Code: Alles auswählen

-A FORWARD -i eth0 -j ACCEPT

und Policy auf DROP).

Willkommen im Forum!

Gruss Cae

[ChrisRgb]

Vielen Dank für die schnelle Antwort,
leider muss ich sagen, dass ich diese Einstellungen leider schon ausprobiert habe.
Ich werde es aber natürlich gleich noch ein weiteres mal ausprobieren, nur um sicher zu gehen.
Muss ich beide Schnittstellen maskieren (nat, masquerade) oder nur die Schnittstelle, die im Internet hängt?

[Cae]

Generell musst du auf der Seite bescheissen, wo du den Standardgateway nicht einfach um die entsprechenden Routen erweitern kannst, in der Regel also nach extern. NAT ist ja nur ein Workarround fuer eine gescheite Rueck-Route im Router "eins weiter zum Ziel".

Wenn man zusaetzlich intern NATtet, koennte das zwar auch gehen, ich hab's aber noch nie probiert. Tendenziell eher nicht, weil der Client eine externe IP kontaktieren will, die Antwort aber anstatt von dieser IP dann von der internen IP des Routers kommt (wird ja umgeschrieben). Der Client weiss das aber nicht und sieht da nur Pakete einer unbekannten Verbindung. Im Zweifel wuerde ich tcpdump (ggf. per SSH-Pipe an wireshark gehaengt) laufen lassen und einmal pingen. Dann "sieht" man ja, was falsch laeuft .

Gruss Cae