2 Subnetze ein Gateway routen

[Marfi]

Hallo liebe Community!

Leider bin ich nicht so fit in Sachen Linux. Bisher habe ich meine Netzwerke nur unter Windows eingerichtet. Nun möchte ich mich in Linux weiterbilden

Da an meinem Netzwerk mittlerweile allerhand dranhängt und der ganze kram schlecht bis gar nicht geschützt ist, würde ich das gerne mit einem Linux Server ändern.

Zu Testzwecken habe ich mir einen Raspberry Pi 2 gekauft und dort Raspbian Weezy eingerichtet.

Wenn später alles funktioniert möchte ich folgende konstellation haben (Raspberry wird dann wohl ausgetauscht werden müssen^^)

Fritzbox (Internetzugang) -> Linux Server (Paketfilter, Mailcheck, Virencheck, ...) -> Rechner 1 + wlan + TV + NAS

Also hängen alle Geräte hinter dem Linuxserver. Wahrscheinlich wäre dann später IPFire IPCop oder Gatekeeper geeignet.

Um das ganze aber zu verstehen, habe ich mit halt den Pi gekauft und habe dazu folgende Aufstellung:

TP-Link Router (hat Zugang zum Internet) -> Raspberry Pi -> Laptop (zum testen)

/etc/network/interfaces sieht folgendermaßen aus:

Code: Alles auswählen

auto lo

iface lo inet loopback

# onboard interface (Zugang zum Internet über 192.168.0.1 (Fritzbox))
iface eth0 inet static
             address 192.168.0.200
             netmask 255.255.255.0
             gateway 192.168.0.1

# USB interface (hier hängt der Laptop dran)
iface eth1 inet static
             address 10.215.0.1
             netmask 255.255.255.0

Der raspberry wird von mir headless über SSH, RDP und Webmin bedient. Deshalb ist ein Neustart des Netzwerks meistens problematisch^^

Bei auto eth0 und auto eth1 startet mein Netzwerk auf dem Pi nicht mehr. Jedenfalls glaube ich das, weil ich keinen Zugriff mehr habe

Nun möchte ich mit dem Laptop ins Internet, dazu fehlt aber scheinbar das passende routing. Ich kann mit dem Pi ins Internet und kann den Laptop anpingen.

Aber der Laptop weiß noch nicht wie er ins I-Net kommt.

Seine Konfiguration ist
Adresse: 10.215.0.100
Netmask: 255.255.255.0
Gateway 10.215.0.1 (das USB Interface vom Pi)

bei ip route list scheint es so, als ob eth1 falsch reroutet ist.

Code: Alles auswählen

default via 192.168.0.1 dev eth0
10.215.0.0/24 dev eth1 oroto kernel scope link src 20.215.0.1
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.200

ip-forwarding habe ich aktiviert und auch geprüft, ob es aktiv ist.

Hat jemand von euch einen Tip oder link oder eventuell auch einen Buchtip?

Was fehlt mir jetzt noch, damit der Laptop "ungebremst" ins Internet kann?

Wenn das dann funktioniert, würde ich ein wenig mit iptables herumexperimentieren.

Ich freue mich auf eure Antworten.

p.s. eine Fehler in den Einstellungen des Netzwerk bedeutet jedesmal, dass ich das image neu auf die SD Karte schieben muss :/ (Hab mir schon ein Adapterkabel bestellt um einen Monitor anschließen zu können)

[orcape]

Hi Marfi,

Da an meinem Netzwerk mittlerweile allerhand dranhängt und der ganze kram schlecht bis gar nicht geschützt ist, würde ich das gerne mit einem Linux Server ändern.

Wenn Du denn wirklich ein hohes Sicherheitsbedürfnis hast, solltest Du Deine Überlegungen mit dem Server mal überdenken.
Ein Server hat normalerweise andere Funktionen, die Sicherheit sollte eine Firewall übernehmen, die vor dem Server liegt.
Der Raspi zum testen Ok, für alles weiter ist er doch etwas schwachbrünstig.
Als Firewall ist das hier sinnvoller....
http://www.amazon.de/PC-Engines-Nachfol ... B00JR6X0ZK
...und hier die Schritt für Schritt Erklärung...
http://www.administrator.de/wissen/prei ... 49915.html
Was Dein Problem betrifft....
....ist das vielleicht nur ein DNS-Problem.
Gib mal 173.194.112.120 als IP ein. Wenn sich dann Google meldet sollte in der Interfaces noch der Eintrag...

Code: Alles auswählen

dns-nameservers --IP---

erforderlich sein.
Gruß orcape

[dufty2]

* Du sagst Deiner Fritzbox, dass hinter 192.168.0.200 sich noch das Netz 10.215.0.0/24 sich befindet
oder
* Du sagst Deinem server/firewall er soll für das Netz 10.215.0.0 NATen

Die "... src 20.215.0.1" Deiner "ip r"-Ausgabe - so nehme ich mal an - war ein Tippfehler, sollte "... src 10.215.0.1" lauten.

[Marfi]

Vielen Dank für die Antworten.

@orcape
Vielen dank für die links. Das sieht sehr interessant aus. Ich könnte mir vorstellen, dass es genau dss ist, was ich brauche. Abef ich muss erst noch lesen.

Ein dns problem habe ich im moment ehr nicht, denn dan anpingen geht ja schon nicht. Die Namensauflösung würde im moment dann auch nicht funktionieren.

@dufty2
Danke für die Infos. Ich denke das ist genau die Lösung. Ich werde es später testen und berichten. Und die 20 war ein Tippfehler

[orcape]

@Marfi

Ich könnte mir vorstellen, dass es genau dss ist, was ich brauche.

...kann ich nur empfehlen. funktioniert super und preislich auch nicht höher wie eine Fritte 7490.
Kann man so aber auch nicht wirklich vergleichen.
Einmal Firewall mit jeder Menge Futures, das andere mehr TK-Anlage mit Modem und Router-Funktion.
Je nach Einsatzgebiet, hat das alles wohl seine Berechtigung.

Abef ich muss erst noch lesen.

...davon gehe ich mal aus.
Ist aber sehr schön geschrieben und auch für einen Laien machbar, der nicht gleich bei jedem Problem die berühmte...
Flinte ins Korn wirft
Gruß orcape

[Marfi]

So, jetzt geht es dank eurer Hilfe.

Ich habe in iptables ein postrouting für den Output von eth0 maskiert.

Code: Alles auswählen

-A POSTROUTING -o eth0 -j MASQUERADE

Nachdem ich dann auf dem Laptop noch die 192.168.0.1 als nameserver eingetragen habe, werden die Namen auch aufgelöst. Also normales surfen möglich.

Hab gerade mal geguckt was der Pi so kann Bei 33 mBit ist Schluß, mehr Durchsatz bekomme ich nicht hin. (Das liegt an der bescheidenen Netzwerkarchitektur des Pi über USB)

Jetzt werde ich mich mal weiter damit befassen, das ganze noch zu reglementieren und etwas damit herum zu spielen.

Von außen kann ich ja nun nicht mehr auf das Netzwerk 10.215.0.0 zugreifen, ist das in jedem Fall so?

Was könnte ich denn jetzt noch ausprobieren?

[dufty2]

Von außen kann ich ja nun nicht mehr auf das Netzwerk 10.215.0.0 zugreifen, ist das in jedem Fall so?

Nö, man könnte z. B. "doppeltes Port-Forwarding" einrichten:
<internet> => externe_Fritzbox_IP:443 => 192.168.0.200:443 => 10.215.0.23:443

Die Ports müssten dabei nicht immer die gleichen sein, z. B. ginge auch

<internet> => externe_Fritzbox_IP:44444 => 192.168.0.200:1803 => 10.215.0.23:443

[Marfi]

Ah, ok.

Das mit dem Zugriff von außen funktioniert bei mir allerdings irgendwie nicht. Ich habe einen Unitymedia Anschluß mit einem emulierten IPV4 Anschluß. Irgendwie bekomme ich es damit nicht hin.

Habe mich aber noch nicht allzu lange damit beschäftigt.

[balou1974]

Du bekommst bei neuen Anschlüssen vo UM IPv6 Dual Stack lite ... damit ist Zugriff von außen nur über externe Dienstleister eingeschränkt möglich. Es gibt aber Geschäftskundentarife da bekommst IPv4.

[heisenberg]

So bzgl. Sicherheit würde ich sagen, mit 'nem normalen NAT kommt da schon 'mal nicht so viel rein.

Aber...

• Die Router wie auch die FritzBox sind im letzten Jahr ganz heftig mit Sicherheitslücken aufgefallen. Deswegen ist eine Firewall dahinter doch vielleicht ganz nett.
• UPnP mit Funktionen wie "Hallo FritzBox, hier ist der Fernseher, leite mir doch mal bitte alle Ports von 10000-20000 TCP vom Internet auf mich weiter" würde ich auf jeden Fall mal ausschalten(weiss nicht wie das geht). Ich war mal ganz überrascht, als ich ein Windows 7 am Alice-Anschluss eingerichtet hatte. Das hat sich dann ohne jegliche Konfiguration den Router so zurechtgebogen, wie es den haben wollte(und alle anderen PCs kamen nicht mehr ins Internet. Das war auch UPnP - Routerkonfiguration per API aus dem LAN ohne Authentifizierung.).
• Remotezugriffsmöglichkeiten der FritzBox würde ich wegen erwähnter Sicherslücken grundsätzlich mal ausschalten.

Eine Alternative wäre, dass Du Dir einen Router mit Linux drauf anstelle der FritzBox hinstellst. Also z. B. mit OpenWRT. Dann hast Du nur ein Gerät laufen und nicht zwei und hast fast so etwas wie ein vollwertiges Debian