(teilweise gelöst) routing und /etc/network/interfaces?

[guennid]

Ich habe mein LAN meinen bisherigen Debian-Router mit einem hostapd versehen. Es gibt (abgesehen vom Netz des DSL-Routers) drei Subnetze, wovon eines (192.168.1.0) nur über einen zweiten Router erreicht werden kann. Hier eine grafische Darstellung (1).
In den beiden anderen Subnetzen (192.168.100.0 und 192.168.101.0) funktioniert alles, auch Internet.
Es gelingt mir aber nicht, eine direkte Verbindung zwischen z.B. der Maschine R2 und R3 herzustellen.
Was mache ich falsch?
Ich vermute, es fehlen Routen, aber ich habe keinen Plan, welche wo gesetzt werden sollten. Meine bisherigen Versuche schlugen fehl.

Hier die /etc/network/interfaces der beiden Router:

Router1

Code: Alles auswählen

# --> DSL
auto eth1
iface eth1 inet static
        address 192.168.3.251
        netmask 255.255.255.0
        broadcast 192.168.3.255
        gateway 192.168.3.1


auto eth0
iface eth0 inet static
        address 192.168.100.251
        netmask 255.255.255.0
        broadcast 192.168.100.255
        pre-down /usr/sbin/ethtool -s eth0 wol g

#  hostapd
auto wlan0
iface wlan0 inet static
        address 192.168.101.251
        netmask 255.255.255.0
        broadcast 192.168.101.255

Router2:

Code: Alles auswählen

auto eth0
iface eth0 inet static
        address 192.168.1.110
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        pre-down /usr/sbin/ethtool -s eth0 wol g
        dns-nameservers 192.168.100.251

auto wlan0
iface wlan0 inet static
        address 192.168.101.110
        netmask 255.255.255.0
        network 192.168.101.0
        broadcast 192.168.101.255
        gateway 192.168.101.251
        dns-nameservers 192.168.100.251
        wpa-driver wext
        wpa-ssid "hostapd1"
        wpa-psk "[PW]"

Ein ping von R1 (192.168.100.100) auf Router2 (192.168.101.110) funktioniert, aber das geht ja aus dem o.A. bereits hervor.


Etwas mulmig ist mir bei diesem Striptease. Wäre nett, wenn mir da jemand Kompetentes Entwarnung geben könnte!

[edit] Neuer Link zu (1) https://picload.org/view/ddlcaipa/guenn ... a.png.html

[eggy]

Die Clients haben jeweils als Defaultrouten die nächsten Router eingetragen?
Dann musst Du bei den Routern noch entsprechende Netzrouten eintragen:

Auf Router 2 für das Netz 192.168.100.x/24 als Nexthop die erreichbare IP von Router 1, ausgehendes Interface noch richtig setzen
und für die andere Richtung ebenfalls
auf Router 1 fuer das Netz 192.168.1.x/24 als Nexthop die erreichbare IP von Router 2, ausgehendes Interface beachten

Kannst ja mal Deine Routen posten (insbesondere die von den Routern),
evtl liegts auch am fehlendem forwarding auf den Routern
(eher unwahrscheinlich, aber versuchen kann mans mal: "cat /proc/sys/net/ipv4/ip_forward" und sollte da ne 0 drin sein, versuchs mal mit 1).

[guennid]

Vielen Dank für die schnelle Rückmeldung!

evtl liegts auch am fehlendem forwarding auf den Routern

Hatte ich geprüft. Mach ich aber nochmal. Man weiß ja nie, was man sich so alles einbildet.

Auf Router 2 für das Netz 192.168.100.x/24 als Nexthop die erreichbare IP von Router 1, ausgehendes Interface noch richtig setzen.

Wo kann ich nachlesen, wie das geht?

[TomL]

(1) https://picload.org/view/ddoaodrw/guenn ... 2.png.html

Also ich verstehe die Grafik nicht... überhaupt nicht.... wahrscheinlich bin ich zu blöd dafür.... (ein entliehenes Richard-Wagner-Zitat)

Grafiken sind immer "Krücken". Häufig entheben ihren Autor der Mühe, sich der Notwendigkeit zu unterziehen, einen komplexen Sachverhalt sprachlich verständlich auszudrücken. So ist das nun mal leider in Zeiten, in denen bei Personalentscheidungen die Fähigkeit des Bewerbers, Powerpoint bedienen zu können, ganz oben steht. (Bezieh' das jetzt bitte nicht auf dich, Günther!)

Ich weiß nicht, ob ich eine Copyright auf den folgenden "banalen" Spruch anmelden könnte, aber ich habe immer gute Erfolge gehabt, seine Anwendung zu empfehlen: "So knapp wie möglich und so ausführlich wie nötig." Beim Nachdenken über den zweiten Teil zeigt sich so dann, dass seine Banalität nur eine scheinbare ist.

Mal abgesehen davon, dass komplizierte Sachverhalte in der Regel einer komplizierten Sprache bedürfen, ist das, wenn man selber Autor der Grafik ist, dann in der Regel ein deutliches Zeichen dafür, dass entweder die Grafik dem Sachverhalt nur ungenau entspricht oder aber, dass man den komplizierten Sachverhalt selbst noch nicht recht verstanden hat. Wenn man sich nicht in die eigene Tasche lügen will, bleibt einem dann nur, entweder die Grafik oder das Verständnis oder gegenenfalls beides zu verbessern. Eine Grafik, die du sprachlich nicht erläutern kannst, taugt nicht viel.

s.c.n.r.



ps
Nur für insider.... und ziemlich Offtopic.... *lol*

[mludwig]

Auf Router1 bzw. Router2 die Routingtabelle ausgeben:

Code: Alles auswählen

route -n

fehlende Routen eintragen, z. B. auf Router1:

Code: Alles auswählen

route add -net 192.168.1.0/24 gw 192.168.101.110

Damit weiss Router1, dass das Netz 192.168.1.0/24 über 192.168.101.110 (Router2) erreichbar ist. Umgekehrt genauso anwenden, dass lasse ich als Übung für den Leser mal offen

[guennid]

@TomL, ebenfalls OT:
Na ja, Das Ding ist mal entstanden aufgrund dringlichster Forderungen von geschätzten dfde-Usern - nachdem ich's zuerst mal mit meinen bescheidenen sprachlichen Fähigkeiten versucht hatte - und da hat man mir den Lohengrin gemacht.
Aber was für andere gilt, gilt selbstverständlich auch für mich. Insofern will ich mir da ja nicht selbst widersprechen und hole die Erläuterungen gerne nach, wenn gewünscht - oder korrigiere Fehler . Aber nachdem ich jetzt schon den Vormittag über mein Problem nachgedacht habe, muss ich heute nachmittag dringend mal real life zu seinem Recht kommen lassen. Heute abend mehr.

[TomL]

Mit anderen Worten... egal, wie man's macht, es findet sich immer jemand, dem es nicht genügt, oder für den es falsch ist... und so überträgt man völlig konfliktfrei Empfindungen.... *lachtlautlos*

[eggy]

Also ich fand das Bild gut und hilfreich.

Manchmal ist ja auch der Helfer denkfaul und ... ebenfalls ein Zitat (von keine Ahnung wem, bestimmt ein Maler, der nur mehr verkaufen wollte) "ein Bild sagt mehr als tausend Worte"

Noch etwas besser wärs beim nächsten Mal gleich noch die Addressen mit ihren Subnetzmasken (also statt 192.168.1.2 lieber 192.168.1.2/24) anzugeben. Ich schreib an die Kabel/Switches dann oftmals noch mit dran welche Netze das sind. Grade wenns nicht die klassischen /8 /16 /24 sind, ist es ganz nett gleich zu sehen, was wozu gehört - aber das ist Geschmackssache.

[BenutzerGa4gooPh]

OT:

Grafiken sind immer "Krücken". Häufig entheben ihren Autor der Mühe, sich der Notwendigkeit zu unterziehen, einen komplexen Sachverhalt sprachlich verständlich auszudrücken.

Grafiken oder besser Pläne sind Modelle, Abbildungen wesentlicher Eigenschaften der (geplanten) Wirklichkeit. Aber du kannst gern Maschinenbauer, Scaltungstechniker, Architekten und Gebaeudetechnik-Planer Romane schreiben lassen, deren Leser (Fraeser, Dreher, Maurer, Elektriker, Klempner etc.) am Romanende den -anfang vergessen haben.
Spätestens wenn sich Threads etwas ziehen oder der TO etwas unglücklich beschreibt, ist eine Netzwerkskizze sehr hilfreich für schnellen und wiederholten Überblick.

Mal abgesehen davon, dass komplizierte Sachverhalte in der Regel einer komplizierten Sprache bedürfen, ist das, wenn man selber Autor der Grafik ist, dann in der Regel ein deutliches Zeichen dafür, dass entweder die Grafik dem Sachverhalt nur ungenau entspricht oder aber, dass man den komplizierten Sachverhalt selbst noch nicht recht verstanden hat.

Dafür gibt es in vielen Fachgebieten Standards und Regeln für Pläne und technische Zeichnungen.
Lob an guennid: Die Zeichnung ist nicht standardgerecht aber ich könnte mit ihr den Routern Routen verpassen!
Schönes Beispiel, passend zum Thema (und eggys Hinweis) hier: https://www.administrator.de/wissen/kop ... html#toc-2

on topic:
Zum Routing wurde m. E. alles gesagt. Bis auf eine kleine Denkaufgabe (mludwig).

Etwas mulmig ist mir bei diesem Striptease. Wäre nett, wenn mir da jemand [Kompetentes] Entwarnung geben könnte!

Die Veröffentlichung eines Netzwerkplanes mit privaten IPs wäre hilfreich, wenn einer in dein Netz eingedrungen ist und was Bestimmtes sucht. Und wenn es weitere Schwachstellen sind. Das Eindringen an sich wird m. E. nicht erleichtert. Die WLAN-PSKs hast du leider rausgenommen, keine öffentlichen IPs angegeben, Zuordnung zu deinem Standort kaum möglich. Obwohl - Lesen/Analyse all deiner 11.223 Beiträge? Aluhut wieder ab.

[guennid]

Hmm ... Ist halt schon Jahre her, seit ich den Vorgängerrouter (ohne hostapd) eingerichtet hatte und da funktionierte das mit

Code: Alles auswählen

up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.101.110 wlan0

Wenn ich das jetzt einmal oder auf allen drei Abschnitten (eth0,1,wlan0) eintrage, zeigt route -n auf Router1 jedesmal nur:

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0

Ich hab's jetzt mal frech einfach als Konsolenkommando in der Form

Code: Alles auswählen

route add -net 192.168.1.0/24 gw 192.168.101.110

eingegeben, und siehe da, route -n:

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth1
192.168.1.0     192.168.101.110 255.255.255.0   UG    0      0        0 wlan0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0

ping von 192.168.100.100 auf 192.168.1.159 geht plötzlich.

Aber das kann's doch nicht sein: jedesmal beim Routerstart dieses Kommando eingeben? Und /etc/rc.local? Das glaub' ich einfach (noch) nicht!

[BenutzerGa4gooPh]

Suche dir eine Möglichkeit aus: https://unix.stackexchange.com/question ... nent-route
Am einfachsten:

Code: Alles auswählen

echo "up route add -net X.X.X.X/24 gw X.X.X.X dev ethX" >> /etc/network/interfaces

Oder "reineditieren" und neu starten. (Weiss nicht, welcher Service "forwardet".)

Anmerkung: g(ate)w(ay) oder dev(ice / interface) - also wie hier: http://www.prontosystems.org/tux/persistant_route

[guennid]

(Weiss nicht, welcher Service "forwardet".)

Versteh ich nicht. Das forwarding habe ich in /etc/sysctl.conf eingetragen.

Also: in /etc/network/interfaces kriege ich die Zeile

Code: Alles auswählen

up route add -net 192.168.1.0/24 gw 192.168.101.110 dev wlan0

nicht unter, will sagen: sie zeigt keine Wirkung, mit route -n lässt sich die Route nicht entdecken und kein ping funktioniert.

Wenn ich in /etc/network/if-up.d/ die Datei "route-1" ausführbar kreiere und folgendes eintrage (2.Link):

Code: Alles auswählen

route add -net 192.168.1.0/24 gw 192.168.101.110 dev wlan0

eintrage, wird das beim Rechnerstart nicht ausgeführt. Bedarf es an diesem Ort eines besonderen Dateinamens, damit die beim Booten ausgeführt wird? Falls nicht - muss ich doch das doch wieder anderswo (z.B. rc.loal) anstoßen?
Dann könnte ich mir die Anlage dieser Datei auch sparen.

Was der Mensch in deinem 1. Link mit

Code: Alles auswählen

echo '200 mgmt' >> /etc/iproute2/rt_tables

eigentlich macht, versteh' ich nicht.

In deinem letzten Link wird das hier für /etc/network/interfaces vorgeschlagen:

Code: Alles auswählen

up route add -net 192.168.110.0 netmask 255.255.255.0 gw 192.168.109.151

Der lässt also die Gerätedatei für gw weg, wenn ich recht sehe, das habe ich noch nicht probiert bringt auch nichts, Alles sehr disparat, was man an Informationen findet.

[BenutzerGa4gooPh]

Jana66 hat geschrieben:
(Weiss nicht, welcher Service "forwardet".)
Versteh ich nicht. Das forwarding habe ich in /etc/sysctl.conf eingetragen.

Nun, damit meinte ich, dass du den "Netzwerkservice Forwarding" neu starten musst, wenn du nur die /etc/network/interfaces editierst, Route nachtraegst. Da mir dazu kein Kommando eingefallen war, schlug ich rebooten vor. Hattest du das getan???
Kommando ohne systemd wäre wohl

Code: Alles auswählen

$ /etc/init.d/networking restart
Reconfiguring network interfaces...done.

laut http://www.prontosystems.org/tux/persistant_route
Im Tut wurde die Route manuell aktiviert und dann zusätzlich eingetragen, also Neustart von Diensten nicht erforderlich.

Code: Alles auswählen

$ route add -net 192.168.110.0 netmask 255.255.255.0 gw 192.168.109.151

und Eintrag in /etc/network/interfaces

Code: Alles auswählen

up route add -net 192.168.110.0 netmask 255.255.255.0 gw 192.168.109.15
down route delete -net 192.168.110.0 netmask 255.255.255.0 gw 192.168.109.151

Um die Konfiguration zu testen können Sie das Netzwerk Subsystem neu starten. Im Prinzip ist dies jedoch nicht notwendig, weil die Route bereits in die Routingtable eingetragen wurde.

Leider hast du nicht geschrieben, wie/ob du Netzwerk neu gestartet (oder rebootet) hast, so dass ich davon ausgehe, die Nichtaktivierung der statischen Route bei dir liegt daran, dass du nur Konfigs editiert hast.

Hier noch ein supereinfaches Tut von 2017 für Jessie: http://kohnlehome.de/linux/debian-router.pdf
Dort werden nach Editieren einfach Interfaces neu gestartet (ifupdown). Weitere Erklärungen (down-Anweisung) sind im ersten Tut besser:

Die »down« Anweisung stellt sicher, dass wenn das Interface mal heruntergefahren wird oder eben das Netzwerk Subsystem mit einem Restart neu gestartet wird, dass die gesetzte Route wieder entfernt wird; andernfalls würde das System versuchen die Route erneut hinzuzufügen, was einen Fehler erzeugt.

[wanne]

Na ja, Das Ding ist mal entstanden aufgrund dringlichster Forderungen von geschätzten dfde-Usern

Ich finde die Skizze auch super hilfreich.

Um das nochmal zusammenzufassen:
wlan0 auf Router 1 müsste wie folgt angepasst werden.:

Code: Alles auswählen

#  hostapd
auto wlan0
iface wlan0 inet static
        address 192.168.101.251
        netmask 255.255.255.0
        broadcast 192.168.101.255
        up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.101.110
        down route delete -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.101.110

Alles andere darf bleiben wie es ist. Dann müsste das auch tun.

Daneben brauchst du noch folgendes in der /etc/sysctl.conf auf beiden Routern. Damit sie Router sind.

Code: Alles auswählen

net.ipv4.ip_forward = 1

Danach tut das (auch) nach einem Reboot.

PS: Mach das gleiche doch nochmal mit IPv6. Da geht das ganze auch viel einfacher automatisch über DHCPv6.

[guennid]

ich (gehe) davon aus, (dass) die Nichtaktivierung der statischen Route bei dir liegt daran, dass du nur Konfigs editiert hast.

Ich habe nach jeder Konfig-Änderung den Rechner neu gestartet (weil ich dieser merkwürdigen Warnmeldung von /etc/init.d/networking restart noch nie getraut habe.

Aber sei's drum, neuer Versuch:
/etc/network/interfaces (Router1)

Code: Alles auswählen

auto wlan0
iface wlan0 inet static
        address 192.168.101.251
        netmask 255.255.255.0
        broadcast 192.168.101.255
        up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.101.110

/etc/sysctl.conf auf beiden Routern (nie geändert)

Code: Alles auswählen

net.ipv4.ip_forward = 1

Neustart Router1:

Code: Alles auswählen

root@router:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0

Code: Alles auswählen

root@router1:~# ping 192.168.1.159
PING 192.168.1.159 (192.168.1.159) 56(84) bytes of data.
From 62.155.246.111 icmp_seq=1 Destination Host Unreachable

client im Netz 192.168.100.100

Code: Alles auswählen

$ ping 192.168.1.110
PING 192.168.1.110 (192.168.1.110) 56(84) bytes of data.
From 62.155.246.111 icmp_seq=1 Destination Host Unreachable

Er schickt den ping ins Internet, wie's ja auch die Routing-Tabelle erwarten lässt.

So glaubt's mir doch: Es funktioniert nicht! Es funktioniert dauerhaft nur, wenn ich die Route außerhalb von /etc/network/interfaces einrichte.

Grüße, Günther

[Tintom]

gw Router
Alle IP-Pakete für das Zielnetzwerk / -System werden zum angegebenen Router weitergeleitet.

ANMERKUNG: Das angegebene Ziel muß zuerst erreichbar sein.

Vermutung: Das Ziel ist noch nicht erreichbar, weil hostapd zum Zeitpunkt der "up route..."-Anweisung noch nicht soweit ist ?!

[guennid]

Code: Alles auswählen

ANMERKUNG: Das angegebene Ziel muß zuerst erreichbar sein. Üblicherweise bedeutet das, das zuerst eine  statische  Route  zum Router  eingetragen  werden.  Wird die Adresse einer lokalen Schnittstelle angegeben, so wird sie benutzt um zu entscheiden zu welcher Schnittstelle die Pakete weitergeleitet werden. Dieses Merkmal dient der Kompatibilität mit BSD.

Der volle Text der Anmerkung ist in unklarem Deutsch verfasst. Ich nehme an, das "zuerst" interpretierst du so, dass gemeint ist: Bevor das Kommando "up route ..." ausgeführt werden kann, muss der angegebene Router erreichbar sein. Wenn diese Lesart zutrifft, müsste man wohl ein "sleep" oder Ähnliches vor dem Kommando "up route ..." in der /etc/network/interfaces ausführen. Geht das überhaupt? Ansonsten versteh' ich's nicht.

[BenutzerGa4gooPh]

Es funktioniert nicht! Es funktioniert dauerhaft nur, wenn ich die Route außerhalb von /etc/network/interfaces einrichte.

Tintom schrieb:

Vermutung: Das Ziel ist noch nicht erreichbar, weil hostapd zum Zeitpunkt der "up route..."-Anweisung noch nicht soweit ist ?!

Mal in /etc/network/interface ersetzen:

Code: Alles auswählen

up route add -net 192.168.1.0 netmask 255.255.255.0 dev wlan0
down route del -net 192.168.1.0 netmask 255.255.255.0 dev wlan0

Mal in /etc/network/interfaces hinzufügen (unten/zuletzt):

Code: Alles auswählen

up service hostapd restart
evtl.
up service networking restart

funktioniert wohl noch mit und ohne systemd:

Code: Alles auswählen

up /etc/init.d/hostapd restart
evtl. 
up /etc/init.d/networking restart

Ohne "up" kann man im Terminal testen. Änderungen Schritt für Schritt, dass man weiß, woran es liegt.

[guennid]

Danke für die weitere Hilfe!

Ich kann erst heute abend weitermachen. Den Netzplan habe ich etwas korrrigiert.(1) Aus dem Netz 192.168.1.0 habe ich aus mehr oder weniger ästhetischen Gründen 192.168.102.0 gemacht. R3 hängt jetzt direkt am AP. Bei der Vergabe hoher IP-Zahlen für die Router (251) möchte ich bleiben. (Find ich eigentlich gar nicht so dumm, weil ich denke, dass es hilft, mögliche Konflikte zu vermeiden: Bisher gekaufte Plastikrouter nahmen defaultmäßig immer die kleinen Zahlen). Die Änderungen haben meiner Meinung nach keinen Einfluss auf das Routing-Problem. Wenn doch, sagt es mir.

(1) https://picload.org/view/ddlcaipa/guenn ... a.png.html

OT: Ich habe überhaupt nichts gegen "Krücken" - wenn sie hilfreich sind. Und nach meinen Erfahrungen waren die Skizzen, die ihr Urheber seinem Publikum nicht zu dessen Zufriedenheit erläutern konnte, eigentlich immer entweder fehlerhaft oder der Urheber hatte sie selbst nicht restlos verstanden (Nach meinem Dafürhalten: Powerpoint-Hype ).

Grüße, Günther

[guennid]

Vorschlag Jana, /etc/network/interfaces:

Code: Alles auswählen

up route add -net 192.168.1.0 netmask 255.255.255.0 dev wlan0

Routen:

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0

ping 192.168.100.151 auf 192.168.102.159 wird ins Internet geschickt und scheitert erwartungsgemäß

Janas Kommando im Terminal ohne "up"
Routen

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0
192.168.102.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0

ping 192.168.100.151 auf 192.168.102.159

Code: Alles auswählen

~$ ping 192.168.102.159
PING 192.168.102.159 (192.168.102.159) 56(84) bytes of data.
From 192.168.100.251 icmp_seq=1 Destination Host Unreachable

Ich geb' s auf. Fehlermeldungen sehe ich keine und ich finde einfach keine Möglichkeit, die Route in /etc/network/interfaces unterzubringen und ich verliere auch bei diesem Hin und Her den Überblick. Mit (up) /etc/init.d/hostapd restart habe ich ebenfalls blind und erfolglos rumgespielt.
Außerhalb der /etc/network/interfaces funktioniert das routing ja mit den eingangs geposteten Eintragungen. Und dabei belasse ich es jetzt.

Grüße, Günther

[BenutzerGa4gooPh]

Janas Kommando im Terminal ohne "up"
Routen

Code: Alles auswählen

192.168.102.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0

Warum/wie ist diese Route hinzugekommen?

[TomL]

@Jana
Um von R2 die Maschine R3 zu erreichen ist auf dem Router 192.168.3.251 keine Route notwendig. Was definitiv funktionieren würde, ist ein Eintrag in der Fordward-Chain des Paketfilters und das Masquerading in der NAT-Tabelle. Aber das wird speziell hier nicht funktionieren, weil er hinter einem Router mit integriertem Paketfilter einen zweiten Router mit einem zusätzlichen und m.E. LAN-Technisch überflüssigen zweiten Paketfilter konfiguriert hat, der ihm hier den Traffic blockt bzw. nicht korrekt maskiert. Ich hatte von Anfang an den Verdacht, auch schon im anderen Thread, dass das fehlschlagen wird. Hostapd ist auf einem Standard-Debian eigentlich ne Fingerübung, die einfach funktioniert. Ich halte das hier nicht für (einfach) lösbar.... wenn überhaupt.

[guennid]

Aber das wird speziell hier nicht funktionieren, weil er hinter einem Router mit integriertem Paketfilter einen zweiten Router mit einem zusätzlichen und m.E. LAN-Technisch überflüssigen zweiten Paketfilter konfiguriert hat, der ihm hier den Traffic blockt bzw. nicht korrekt maskiert.

Ich vermute mit "Paketfilter meinst du meine "shorewall"? Die gibt's auf Router2 (192.168.101.110/192.168.102.110) nicht. Oder meinst du mit dem implizierten 1. Router den DSL-Router?
192.168.3.251 ist das gw zum DSL-Router.

Im übrigen weiß ich nicht, was du mit "nicht funktionieren" meinst. Das System funktioniert - was nicht funktioniert, ist routing mit /etc/network/interfaces. Sollte dich eigentlich freuen.

Warum/wie ist diese Route hinzugekommen?

Im meinem Laienverstand vermute ich mal, weil das routing via konsole funktioniert, nur nicht mit /etc/network/interfaces.

Grüße, Günther

[BenutzerGa4gooPh]

m von R2 die Maschine R3 zu erreichen ist auf dem Router 192.168.3.251 keine Route notwendig.

Das ist richtig, direct connected, also dem Router bekannt. Um's Routing haben sich im Thread Leute vor mir schon einen Kopf gemacht, ich bin erst bei der Persistenz der Routen eingestiegen.

Ich vermute mit "Paketfilter meinst du meine "shorewall"?

Laut Skizze Router1 mit hostapd und shorewall. Letztere könntest du mal abschalten. Zumindest nehme ich stark an, dass das neue WLAN-Interface in eine Zone integriert werden muss. Entweder in eine vorhandene oder in eine neue Zone, deren erlaubter Traffic zu den anderen Zonen konfiguriert werden muss. Kann es sein, dass shorewall die (alleinige) Verwaltung der etc/network/interfaces übernimmt?

Eine Firewall nimmt man in Betrieb, wenn alle Dienste funktionieren. Zumindest im privaten LAN, dass durch NAT-Plastikrouter geschützt ist.

[guennid]

Laut Skizze Router1 mit hostapd und shorewall. Letztere könntest du mal abschalten.

Letzteres führt zu neuer Baustelle,schon erfolglos probiert, siehe Thread "hostapd einrichten".
Das device wlan0 war und ist für die Zone loc zusätzlich zu eth0 in /etc/shorewall/interfaces eingetragen, siehe a.a.O.

Code: Alles auswählen

net     eth1            detect          tcpflags,nosmurfs,routefilter,logmartians
loc     eth0            detect          routeback,tcpflags,nosmurfs,routefilter,logmartians
loc     wlan0           detect          routeback,tcpflags,nosmurfs,routefilter,logmartians

Eine Firewall nimmt man in Betrieb, wenn alle Dienste funktionieren. Zumindest im privaten LAN, dass durch NAT-Plastikrouter geschützt ist.

Für eine Neueinrichtung stimmt das wohl so, aber hier ging's um die Änderung eines seit Jahren laufenden Systems. Und dass die Firewall ein Störfaktor sein könnte, hatte ich bedacht, deswegen auch der (fehlgeschlagene) Versuch, sie abzuschalten.