Debian Server als Netzwerkverwaltungsserver

Gemeinsam ins Internet mit Firewall und Proxy.
scretchy
Beiträge: 15
Registriert: 15.10.2009 17:30:23

Debian Server als Netzwerkverwaltungsserver

Beitrag von scretchy » 26.04.2018 20:16:58

Hallo.

Ich habe folgende Netzwerke:

192.150.160.0/24 (Netz soll für interne Zwecke genutzt werden)
192.150.160.1 <= Internetrouter
192.150.160.2 <= eht0 beim Server
192.150.160.3-49 <= diverse andere Netzwerkgeräte
192.150.160.50-100 <= Clients mit DNS Server auf 192.150.160.2 und Gateway auf 192.150.160.1

192.150.170.0/24 (Gästenetz, die Clients werden vom WLAN Accesspoint gegeneinander gesperrt)
192.150.170.1 <= eth1 beim Server
192.150.170.10-100 <= Clients DNS Server wird auf 192.150.170.1 und Gateway auf 192.150.170.1 gesetzt

Im 160er Netz funktioniert alles einwandfrei. Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen. Die dürfen aber nicht mit den anderen Geräte aus dem 160er Netz sprechen dürfen.

Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg. :x

IpForwarding ist eingeschaltet. Wer kann mir mit Befehlen für iptables helfen?

Freundliche Grüße
Daniel

BenutzerGa4gooPh

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von BenutzerGa4gooPh » 26.04.2018 20:50:25

scretchy hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 20:16:58
Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
IpForwarding ist eingeschaltet. Wer kann mir mit Befehlen für iptables helfen?
Da du bis zum Neustart alles "am Laufen hattest" benötigst du offenbar das dauerhafte Speichern, alles andere verrät dir Vorwissen, Notizen dazu und dein Backup: https://www.thomas-krenn.com/de/wiki/Ip ... _speichern
https://debian-blog.org/iptables-dauerhaft-speichern/
usw.
Routen sind was anderes als Paketfilter. Egal ob weg oder da. :wink:
Wer kann mir mit Befehlen für iptables helfen?

https://de.wikibooks.org/wiki/Linux-Pra ... e_Begriffe
Zuletzt geändert von BenutzerGa4gooPh am 26.04.2018 21:07:23, insgesamt 2-mal geändert.

scretchy
Beiträge: 15
Registriert: 15.10.2009 17:30:23

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von scretchy » 26.04.2018 21:00:04

Hallo Jana,

das ist schonmal ein guter Tipp. Werde ich dann so einrichten.

Ja, ich hatte die Sache am laufen. Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.

Freundliche Grüße
Daniel

BenutzerGa4gooPh

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von BenutzerGa4gooPh » 26.04.2018 21:04:55

scretchy hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:00:04
Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.
Weil anderer Leute (Lebens-/Frei-) Zeit weniger wert ist als deine? Steh am Samstag früh auf, dann bist du zum Mittagessen fertig - wenn stimmt, was du sagst. :wink:
Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen.
Wieso über 2 Interfaces des wohl gleichen Routers? 170er Clients -> GW 192.150.170.1 -> Internet und gut!?
Zuletzt geändert von BenutzerGa4gooPh am 26.04.2018 21:14:44, insgesamt 2-mal geändert.

Benutzeravatar
heisenberg
Beiträge: 1572
Registriert: 04.06.2015 01:17:27

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von heisenberg » 26.04.2018 21:10:14

Die Netze 192.150.160.0/24 und 192.150.170.0/24 sind Teil des öffentlichen IP-Bereiches des Internets. Wenn Du die in Deinem LAN verwendest, kannst Du diese (kleinen) Teile des Internets nicht erreichen.

Für lokale Zwecke sind z. B. vorgesehen:

192.168.1.0/24 - 192.168.255.0/24

Siehe: Wikipedia: Private Adressbereiche
Wenn ich ein Problem gelöst habe, bekomme ich zur Belohnung ein neues, größeres Problem.

scretchy
Beiträge: 15
Registriert: 15.10.2009 17:30:23

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von scretchy » 26.04.2018 21:16:51

Jana66 hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:04:55
scretchy hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:00:04
Hab damals nen ganzen Vormittag an der Sache gesessen. Wäre nett, wenn mir einer die entsprechenden Befehle zusammenschreiben könnte.
Weil anderer Leute (Lebens-/Frei-) Zeit weniger wert ist als deine? Steh am Samstag früh auf, dann bist du zum Mittagessen fertig - wenn stimmt, was du sagst. :wink:
So war das auch nicht gemeint. Jeder macht das was er kann. Für einen Profi von euch sind das vermutlich 3 Minuten tippen. Für mich nen halben Tag rumprobieren... Jeder hat seine stärken. Meine liegen woanders. Trotzdem muss ich mich mit dem Thema beschäftigen. Sollte jemand die Antwort vergütet haben wollen, schickt mir ne PM mit einer Preisvorstellung.
heisenberg hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:10:14
Die Netze 192.150.160.0/24 und 192.150.170.0/24 sind Teil des öffentlichen IP-Bereiches des Internets. Wenn Du die in Deinem LAN verwendest, kannst Du diese (kleinen) Teile des Internets nicht erreichen.

Für lokale Zwecke sind z. B. vorgesehen:

192.168.1.0/24 - 192.168.255.0/24

Siehe: Wikipedia: Private Adressbereiche
Das ist mir bekannt, und damit kann ich leben. Das Netzwerk ist seit Jahren so aufgebaut und wird im Moment nicht daran geändert.

Freundliche Grüße
Daniel

scretchy
Beiträge: 15
Registriert: 15.10.2009 17:30:23

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von scretchy » 26.04.2018 21:20:03

Jana66 hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:04:55
Ich möchte nun, dass die 170er Clients Internetzugriff über den 192.150.170.1 auf den Internetrouter 192.150.160.1 bekommen.
Wieso über 2 Interfaces des wohl gleichen Routers? 170er Clients -> GW 192.150.170.1 -> Internet und gut!?
192.150.160.1 ist eine FritzBox.

192.150.160.2 ist eth0 von einem Debian Server
192.150.170.1 ist eth1 von dem selben Debian Server.

An eth0 hängt mein Internes Netz inkl. dem Internetrouter.
An eth1 hängt ein kleines Netz für Gäste. Das soll einfach nur zu 192.150.160.1 auf eht0 durchgereicht werden.

Freundliche Grüße
Daniel

BenutzerGa4gooPh

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von BenutzerGa4gooPh » 26.04.2018 21:20:36

heisenberg hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:10:14
Die Netze 192.150.160.0/24 und 192.150.170.0/24 sind Teil des öffentlichen IP-Bereiches des Internets. Wenn Du die in Deinem LAN verwendest, kannst Du diese (kleinen) Teile des Internets nicht erreichen.
Mit NAT/PAT dürfte rein technisch gesehen sogar das in abgehender Richtung klappen - ist aber unsauber. Hast schon Recht! :wink:
192.150.160.1 ist eine FritzBox.
192.150.160.2 ist eth0 von einem Debian Server
192.150.170.1 ist eth1 von dem selben Debian Server.
Gut dass wir nun endlich Wichtiges wissen. :wink:
Zuletzt geändert von BenutzerGa4gooPh am 26.04.2018 21:27:46, insgesamt 1-mal geändert.

Benutzeravatar
heisenberg
Beiträge: 1572
Registriert: 04.06.2015 01:17:27

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von heisenberg » 26.04.2018 21:27:09

Scretchy hat geschrieben:So war das auch nicht gemeint. Jeder macht das was er kann. Für einen Profi von euch sind das vermutlich 3 Minuten tippen.
Kommt mir irgendwie bekannt vor. Hatte ich als Anfrage eines Wirtschaftsinformatikers auf dem Tisch: Kannst Du mir diese Datenbank da mal machen? Das ist doch für Dich nur eine Fingerübung!

Du vergißt dass jeder Mensch egoistisch ist und mit dem, was er tut ein Ziel verfolgt. Vielleicht findest Du ja hier jemanden, der Wertschätzung für diese Fingerübung von Dir als sein Ziel hat. ;-)

Eines meiner Ziele hier ist, Menschen zu unterstützen, die selbst lernen wollen. D. h. bei mir hast Du da schlechte Karten.

Ansonsten spricht aus dieser Aussage, die bei Laien(hier zum Thema Linux/Netzwerk) die Komplexität und der Zeitaufwand zu eigenen Gunsten gerne als gering eingeschätzt wird, eine meist deutliche Fehleinschätzung.
Jana66 hat geschrieben:Mit NAT/PAT dürfte rein technisch gesehen sogar das in abgehender Richtung klappen - ist aber unsauber. Hast schon Recht! :wink:
Eher nicht. Netze die als lokal betrachtet werden, gehen nicht über das IP-Gateway. Höchstens wenn ein HTTP-Proxy im Spiel ist, der die Netze selbst nicht sieht, z. B. weil Sie durch NAT von dem Proxy verborgen sind.
Wenn ich ein Problem gelöst habe, bekomme ich zur Belohnung ein neues, größeres Problem.

BenutzerGa4gooPh

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von BenutzerGa4gooPh » 26.04.2018 21:37:19

heisenberg hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:27:09
Netze die als lokal betrachtet werden, gehen nicht über das IP-Gateway.
Na klar doch. Bretter, Bretter, Bretter vor meinem Kopf. :facepalm: Louis de Funes?

scretchy
Beiträge: 15
Registriert: 15.10.2009 17:30:23

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von scretchy » 26.04.2018 21:43:41

Das ist nicht so, dass ich mir da keine Gedanken zu gemacht habe. Aber alle Versuche und Misserfolge hier aufzulisten wäre vermutlich der falsche Ansatz.

Dann hier mal mein Gedankengang.

Ich aktiviere IP-Forwarding, damit eingehende Pakete nicht verworfen sind, sondern weitergeleitet werden:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
Ich verwende bei iptables die NAT-Tabelle

Ich fange mit iptables im Prerouting an eth1 alle eingehenden Pakete ab und ändere die Zieladresse auf die FritzBox. Hier war mein Problem, dass ich dann immer die Seite der Fritzbox angezeigt bekomme. Ist ja auch logisch. Ich will die Pakete weiterleiten und nicht die Zieladresse ändern. Hier komme ich nicht weiter. Welcher Parameter ist hier der richtige?

Ich ändere mit iptables im Postrouting an eth0 alle pakete mit Masquerade damit die Fritzbox denkt, die kommen vom Verwaltungsserver. Antworten werden dann dahin zurückgesendet.

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Benutzeravatar
heisenberg
Beiträge: 1572
Registriert: 04.06.2015 01:17:27

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von heisenberg » 26.04.2018 21:46:28

Scretchy hat geschrieben:Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
Wenn Du Sie wieder hinmachst, dann geht's doch wieder, oder?

Ansonsten habe ich noch nicht ganz verstanden, wie dein Setup ist. Ist es so?

Code: Alles auswählen

[Fritzbox]------(wlan)------[Eigene-WLAN-Geräte]
192.168.160.1
  |
  |
eth0:192.168.160.2
[Debianserver]
eth1:192.168.170.1
  |
  |
[WLAN-Accesspoint]
  |
  [WLAN-Gäste-Geräte]
Wenn ich ein Problem gelöst habe, bekomme ich zur Belohnung ein neues, größeres Problem.

scretchy
Beiträge: 15
Registriert: 15.10.2009 17:30:23

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von scretchy » 26.04.2018 21:49:56

heisenberg hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:46:28
Scretchy hat geschrieben:Ich habe das ganze vor einigen Monaten am Laufen gehabt. Nach dem Neustart waren aber die routen weg.
Wenn Du Sie wieder hinmachst, dann geht's doch wieder, oder?
Na klar gehts dann wieder. Wenn ich mir die man aufgeschrieben hätte...
heisenberg hat geschrieben: ↑ zum Beitrag ↑
26.04.2018 21:46:28

Code: Alles auswählen

[Fritzbox]------(wlan)------[Eigene-WLAN-Geräte]
192.168.160.1
  |
  |
eth0:192.168.160.2
[Debianserver]
eth1:192.168.170.1
  |
  |
[WLAN-Accesspoint]
  |
  [WLAN-Gäste-Geräte]
Ja die Netzwerkstruktur ist korrekt.

Benutzeravatar
heisenberg
Beiträge: 1572
Registriert: 04.06.2015 01:17:27

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von heisenberg » 26.04.2018 21:56:09

Folgende Informationen wären hilfreich:
  • Ausgabe vom Debianserver: iptables-save (iptables -t nat -L -v -n bzw. iptables -L -v -n sind übersichtlicher)
  • Ausgabe vom Debianserver: netstat -nr
  • Ausgabe vom Debianserver: ip a
  • Ausgabe vom Debianserver: cat /proc/sys/net/ipv4/ip_forward
  • Ausgabe vom Debianserver: traceroute -n 8.8.8.8
  • Ausgabe vom Gäste-WLAN-Gerät: traceroute -n 8.8.8.8
  • IP-Adresse des WLAN-Gäste-Gerätes?
Ansonsten:
  • Antwortet die Fritzbox auf einen ping vom Debian-Server?
  • Antwortet der Debianserver auf einen ping vom Gäste-WLAN-Gerät?
  • Antwortet die Fritzbox auf einen ping vom Gäste-WLAN-Gerät?
Danach wäre der DNS-Teil dran.
Zuletzt geändert von heisenberg am 26.04.2018 22:00:38, insgesamt 2-mal geändert.
Wenn ich ein Problem gelöst habe, bekomme ich zur Belohnung ein neues, größeres Problem.

BenutzerGa4gooPh

Re: Debian Server als Netzwerkverwaltungsserver

Beitrag von BenutzerGa4gooPh » 26.04.2018 21:59:06

Ehe "normale Clients" vergessen werden:
192.150.160.50-100 <= Clients mit DNS Server auf 192.150.160.2 und Gateway auf 192.150.160.1
DNS auf Debian-Server, Gateway = Fritzbox?! DNS auf Debian-Server ist Forwarder auf Fritzbox? Oder Resolver?

Antworten