Telekom-DSL-Router, Netzwerkeinstellungen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 08:31:41

Mir schwante schon die ganze Zeit, dass MSfree da womöglich falsch lag und iptables-Regeln eben doch für Routerbetrieb nötig seien! :wink:

Schau'n mer mal.

Aber bis heute nachmittag bin ich dann erst mal wieder Fliesenleger. :wink:

MSfree
Beiträge: 7209
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 16.04.2021 09:04:34

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 08:31:41
Mir schwante schon die ganze Zeit, dass MSfree da womöglich falsch lag und iptables-Regeln eben doch für Routerbetrieb nötig seien! :wink:
Du hast mit iptables aus deiner Linuxkiste einen NAT-Router gemacht. NAT ist aber zu Kommunikation zwischen deinem Linuxrouter und dem Telekomrouter nicht nötig.

Für deine Geräte hinter dem Linuxrouter würde ich erstmal von den festen IPs weggehen. Die haben zwar nicht unmittelbar mit dem Problem zu tun, erschweren aber die Einrichtung generell. Setze auf dem Linuxrouter einen Debiandnsmasq auf, der sich um DHCP für die Rechner hinter dem Linuxrouter kümmert. Dann stellst du alle Geräte in dem LAN hinter dem Linuxrouter ahf DHCP um, und wenn ich sage alle, dann meine ich alle. Die Rechner können danach viel einfacher über ihren Rechnernamen gefunden werden, die lassen sich viel einfacher merken als IP-Adressen. dnsmasq bringt einen DNS mit, der sich um die Namensauflösung (Übersetzgun von IP in Rechnernamen und umgekehrt kümmert).

Warum DHCP? Ganz einfach, DHCP vergibt nicht nur IP-Adressen an die Clients sondern auch die Defaultroute, die Netmask und auf Wunsch noch andere Informationen wie die IP-Adresse des Netzwerkzeitservers oder auch Windows-Domainservers etc, was du sonst bei jedem Client hinter dem Linuxrouter zu Fuß eintragen müßetest.

Dem Linuxrouter selbst gibts du allerdings zwei feste IP-Adressen, einmal die IP-Adresse für das Subnetz, mit dem du mit dem Telekomrouter verbunden bist und zum anderen die IP-Adresse für die Netzwerkkarte, die dein LAN hinter dem Linuxrouter aufspannt.

Das einzige was dann zu tun ist, du mußt eine statische Route im Telekomrouter eintragen, damit der weiß, wohin der die Antwortpakete schicken muß. Das geht irgendwo im Telekomrouter, möglicherweise nur im Expertenmodus. Die Definition dieser Router umfaßt das Subnetz, das hinterdem Linuxrouter aufgespannt ist und die IP-Adresse (Telekomrouterseite) des Linuxrouters.

Quasi statische IP-Adressen kannst du den Rechnern im LAN hinter dem Linuxrouter per Konfiguration in dnsmasq einrichten. Der Client macht dann zwar immer noch DHCP, bekommt aber vom DHCP-Server garantiert immer die selbe IP-Adresse zugewiesen. Wichtig ist eine absolut statische IP aber nur für Server, die per Portforwarding über den Telekomrouter aus dem Internet erreichbar sein sollen.

mat6937
Beiträge: 1927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 09:46:28

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 08:31:41
... iptables-Regeln eben doch für Routerbetrieb nötig seien!
Naja, jetzt geht es erstmal, raus zu finden ob bzw. wie es geht. Wenn es dann mit iptables-Regeln funktioniert, kannst Du dir noch immer zeigen lassen, wie es ohne iptables-Regeln (d. h. mit Routing-Regeln und ohne S-NAT/FORWARD-Regeln) geht.

fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 19:14:26

Ich bin drihin!!!

Irgendwann beiß' ich nochmal in den Rechner, weil dieses verfluchte nano nicht orizontal srollen kann und mcedit kein Klemmbrett außerhalb des mc hat! :evil:

Also nach Eingabe von

Code: Alles auswählen

iptables -I FORWARD 1 -o eth1 -i eth0 -s 192.168.3.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD 2 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o eth1 -j MASQUERADE
iptables -t nat -I POSTROUTING 2 -o eth0 -j MASQUERADE
konnte ich vom Klienten aus 192.168.3.1 anpingen, und auch via Browser das Debianforum erreichen.
Ich habe mir deine Kommandos in eine Textdatei kopiert. Dabei musste ich das erste Kommando der Länge wegen mit einem Backslash umbrechen, um es aus nano für den prompt herauskopieren zu können. Für mich war das eine Premiere und ich hoffe, das hat keine Fehler bewirkt.
Ich schreibe gerade auf dem Klienten. :wink:
Also doch iptables!?

Gehe ich recht in der Annahme, dass die zuletzt davor versuchten Kommandos keinen Erkenntnisgewinn brachten? Für mich waren die Ausgaben „böhmische Dörfer“, sprich ich habe 0 verstanden.

Hier die Meldungen für

Code: Alles auswählen

iptables -nvx -L FORWARD
iptables -nvx -L POSTROUTING -t nat
Den Ping am Klienten hatte ich vor diesen Kommandos beendet.

Code: Alles auswählen

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     all  --  eth0   eth1    192.168.3.0/24       0.0.0.0/0            ctstate NEW
      35     2940 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Code: Alles auswählen

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       1       84 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
       0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
dnsmasq werde ich wohl nicht auf dem Linux-Router als DHCP-Server einrichten. 1. Hätte ich dann zwei hier zuhause (dnsmasq auf dem Linux-Router und noch einen auf dem DSL-Router). Von zwei DHCP-Servern im Heimnetz wurde hier im DF immer abgeraten. Den auf dem DSL-Router will ich nicht abschalten, weil ich den für das Gäste-WLAN benötige.
2. komme ich bei meinen fünf bis sechs Klienten im Heimnetz ganz gut mit festen IPs zurecht.

mat6937
Beiträge: 1927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 19:33:23

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 19:14:26
Gehe ich recht in der Annahme, dass die zuletzt davor versuchten Kommandos keinen Erkenntnisgewinn brachten?
Für mich waren die Tests mit tcpdump schon OK.
fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 19:14:26
Hier die Meldungen für

Code: Alles auswählen

iptables -nvx -L FORWARD
iptables -nvx -L POSTROUTING -t nat
Den Ping am Klienten hatte ich vor diesen Kommandos beendet.

Code: Alles auswählen

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     all  --  eth0   eth1    192.168.3.0/24       0.0.0.0/0            ctstate NEW
      35     2940 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Code: Alles auswählen

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       1       84 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
       0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
Lt. den Zählern der iptables-Regeln, sind 2 Regeln (bei denen 0 0 angezeigt werden) bis jetzt zumindest, nicht erforderlich:

Code: Alles auswählen

 0        0 ACCEPT     all  --  eth0   eth1    192.168.3.0/24       0.0.0.0/0            ctstate NEW

Code: Alles auswählen

 0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
Kannst die zwei ja mal kommentieren und weiter testen.

fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 19:36:48

Mach ich glatt! :wink:

Erst mal ein goßes Dankeschön für deine große Geduld und deine Hilfe! :hail: :hail: :hail:

MSfree
Beiträge: 7209
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 16.04.2021 19:43:21

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 19:14:26
1. Hätte ich dann zwei hier zuhause (dnsmasq auf dem Linux-Router und noch einen auf dem DSL-Router).
Zwei DHCP-Server sind in diesem Fall sogar notwendig.
Von zwei DHCP-Servern im Heimnetz wurde hier im DF immer abgeraten.
Jein. Ein DHCP-Server pro Subnetz ist überhaupt keine Problem. Wenn du 5 Subnetze betriebst, brauchst du sogar 5 DHCP-Server. Wenn alle 5 Subnetze vom selben Router ausgehen, kann in diesem Sonderfall auch ein einzelner DHCP-Server alle Subnetze versorgen. Du hast aber zwei Router kaskadiert, folglich brauchst du auch zwei DHCP-Server, auf jedem Router einen.

Von was hier im DF immer abgeraten wird ist, zwei DHCP-Server im selben Subnetz zu betreiben. Das geht auf jeden Fall schief. Auch zwei Subnetze auf dem selben Kabel zu betreiben, läßt sich nicht sauber mit DHCP lösen.
Den auf dem DSL-Router will ich nicht abschalten, weil ich den für das Gäste-WLAN benötige
Gäste-WLAN = anderes Subnetz.
2. komme ich bei meinen fünf bis sechs Klienten im Heimnetz ganz gut mit festen IPs zurecht.
Ein DHCP-Server lohnt sich bereits für nur einen einziegen Client.

fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 20:39:01

Danke für die Klarstellung!

Offtopic:
Ein DHCP-Server lohnt sich bereits für nur einen einzigen Client.
Zugegeben, händische IP-Verwaltung ist etwas aufwendiger zu pflegen. Aber DHCP für ein im Prinzip statisches kleines Heimnetz hat mir nie eingeleuchtet und leuchtet mir auch jetzt nicht ein. Bei meinen Nachforschungen konnte ich mich nie des Eindrucks erwehren: Jeder macht's, weil's halt da ist. Vorteile, die mich beeindruckt hätten, sind mir nie aufgefallen. Etwas anderes ist es natürlich schon, wenn man sich mobil in unterschiedlichen Netzen bewegt. Da wird dann - weil da DHCP-Server werkeln - gar nichts anderes übrig bleiben. Uns so ist der WoMo-Klapprechner auch konfiguriert: zu Hause hat der eine feste IP und unterwegs bezieht er sie halt via DHCP - ganz ohne wicd, Netzwerkmanager, etc. Hat hier immer problemlos funktioniert.
Ist so'n bisschen wie mit grub: jeder nutzt ihn aber keiner braucht ihn wirklich. Sagt man was Abweichendes, kommt das Totschlagargument: „veraltet“.
Zuletzt geändert von fischig am 16.04.2021 20:46:33, insgesamt 1-mal geändert.

dufty2
Beiträge: 1652
Registriert: 22.12.2013 16:41:16

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von dufty2 » 16.04.2021 20:42:09

Ich vermute mal, man braucht deshalb iptables (NAT), da der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Reine Vermutung von mir.

fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 20:48:09

Ich vermute mal, man braucht deshalb iptables (NAT), da der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Reine Vermutung von mir.
Aber eine ziemlich plausible, finde ich! :THX: Mal schauen, ob jemand Besseres oder Genaueres weiß.

mat6937
Beiträge: 1927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 21:37:16

dufty2 hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 20:42:09
... der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Wenn ein Client aus dem Subnetz des Telekom-router als gateway fungieren kann (und das kann er i. d. R.), dann routet er hier auch "fremde Netze".
Evtl. kann hier jemand zeigen wie man hier ressourcenschonender, Routing statt source-NAT mit iptables, benutzen kann und auf iptables verzichten kann.

fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 21:48:06

Den alten Linux-Router habe ich vor mehr als fünf, wahrscheinlich vor sieben oder acht Jahren mal anhand einer Shorewall-Anleitung der LUG Krefeld eingerichtet. https://www.lug-kr.de/wiki/ShoreWall Vorher hatte ich Ipcop. Vielleicht erhellt das jemanden, der mehr versteht von iptables als ich. :wink:

Die Seite sieht ziemlich anders aus, als ich sie in Erinnerung habe, aber das am Ende sichtbare Datum (2012) scheint mir immer noch zu passen.

edit:
Ich blicke nicht ganz durch, welche womöglich überflüssigen Regeln/Kommandos ich wie auskommentieren soll. Dass das letzte Kommando betroffen ist, vermute ich mal.

Was mir noch einfällt, angesichts meiner Vorliebe für statische IPs - und damit komme ich auf meinen Eingangsbeitrag zurück: Der alte Linuxrouter hatte die Endnummer 251. Statische IPs kann ich im DSL-Router nicht eintragen, nur einen Namen und die MAC. Die neue MAC hat er jetzt. Würde er automatisch die IP mit der Endnummer 251 akzeptieren, wenn ICH die am neuen Linux-Router eintrüge. Das ersparte mir einige Umstellungen bei den Klienten.

mat6937
Beiträge: 1927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 23:12:18

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 21:48:06
edit:
Ich blicke nicht ganz durch, welche womöglich überflüssigen Regeln/Kommandos ich wie auskommentieren soll. Dass das letzte Kommando betroffen ist, vermute ich mal.
Diese:

Code: Alles auswählen

## iptables -I FORWARD 1 -o eth1 -i eth0 -s 192.168.3.0/24 -m conntrack --ctstate NEW -j ACCEPT
## iptables -t nat -I POSTROUTING 2 -o eth0 -j MASQUERADE
EDIT:

BTW: Die Regelnummer bei der verbliebenen (wirksamen) Regel der FORWARD chain, musst Du dann von 2 auf 1 ändern:

Code: Alles auswählen

iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

fischig
Beiträge: 1458
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 17.04.2021 11:58:32

Letzte Anregungen umgesetzt. Funktioniert. Nochmals danke!

Damit ist das Thema eigentlich gelöst, aber ich bin noch unschlüssig bei der Frage, ob ich die beiden IPs des neuen Linux-Routers

Code: Alles auswählen

192.168.100.250
192.168.3.250
einfach ändern kann auf

Code: Alles auswählen

192.168.100.251
192.168.3.251
Es versteht sich, dass in diesem Fall der alte Linux-Router nicht mit dem DSL-Router verbunden sein darf.
Der DSL-Router lässt keine händische IP-Eingabe zu, nichtdestotrotz akzeptiert er die 192.168.3.250, obwohl die außerhalb des von mir seinem DHCP-Server zugestandenen IP-Raumes liegt.

Bei einem ersten Versuch hat der IP-Wechsel nicht funktioniert, aber dafür will ich Fehleingaben meinerseits noch nicht ausschließen.

Unabhängig davon:
Meine Rückfrage bezüglich des Erkenntnisgewinns der von mir angesprochenen Kommandos war so gemeint: Ich vermute, ihre Ausgaben konnten auch nicht erklären, warum bis dahin keine Klienten-Verbindung mit dem DSL-Router/Internet möglich war.
Zuletzt geändert von fischig am 17.04.2021 12:27:54, insgesamt 1-mal geändert.

mat6937
Beiträge: 1927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 17.04.2021 12:22:59

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:58:32
Damit ist das Thema eigentlich gelöst,...
Naja, es fehlt noch die ressourcenschonendere Lösung (Alternative) _ohne_ iptables-Regeln, dafür aber mit Routing.
fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:58:32
... aber ich bin noch unschlüssig bei der Frage, ob ich die beiden IPs des neuen Linux-Routers

Code: Alles auswählen

192.168.100.250
192.168.3.250
einfach ändern kann auf

Code: Alles auswählen

192.168.100.251
192.168.3.251
Es versteht sich, dass in diesem Fall der alte Linux-Router nicht mit dem DSL-Router verbunden sein darf.
Der DSL-Router lässt keine händische IP-Eingabe zu, nichtdestotrotz akzeptiert er die 192.168.3.250, obwohl die außerhalb des von mir seinem DHCP-Server zugestandenen IP-Raumes liegt.
Wenn Du dem Client die IP-Adressen manuell zuweist, dann sollen bzw. dürfen diese IP-Adressen ja von außerhalb der DHCP-range (DHCP-Pool) des DHCP-Servers beim DSL-Router sein. Probleme gibt es m. E. evtl. temporär, wenn der arp-cache des DSL-Routers noch die alte "Kombination" MAC-Adresse<->IP-Adresse (der neighbours) beinhaltet.

Antworten