Telekom-DSL-Router, Netzwerkeinstellungen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 08:31:41

Mir schwante schon die ganze Zeit, dass MSfree da womöglich falsch lag und iptables-Regeln eben doch für Routerbetrieb nötig seien! :wink:

Schau'n mer mal.

Aber bis heute nachmittag bin ich dann erst mal wieder Fliesenleger. :wink:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 16.04.2021 09:04:34

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 08:31:41
Mir schwante schon die ganze Zeit, dass MSfree da womöglich falsch lag und iptables-Regeln eben doch für Routerbetrieb nötig seien! :wink:
Du hast mit iptables aus deiner Linuxkiste einen NAT-Router gemacht. NAT ist aber zu Kommunikation zwischen deinem Linuxrouter und dem Telekomrouter nicht nötig.

Für deine Geräte hinter dem Linuxrouter würde ich erstmal von den festen IPs weggehen. Die haben zwar nicht unmittelbar mit dem Problem zu tun, erschweren aber die Einrichtung generell. Setze auf dem Linuxrouter einen Debiandnsmasq auf, der sich um DHCP für die Rechner hinter dem Linuxrouter kümmert. Dann stellst du alle Geräte in dem LAN hinter dem Linuxrouter ahf DHCP um, und wenn ich sage alle, dann meine ich alle. Die Rechner können danach viel einfacher über ihren Rechnernamen gefunden werden, die lassen sich viel einfacher merken als IP-Adressen. dnsmasq bringt einen DNS mit, der sich um die Namensauflösung (Übersetzgun von IP in Rechnernamen und umgekehrt kümmert).

Warum DHCP? Ganz einfach, DHCP vergibt nicht nur IP-Adressen an die Clients sondern auch die Defaultroute, die Netmask und auf Wunsch noch andere Informationen wie die IP-Adresse des Netzwerkzeitservers oder auch Windows-Domainservers etc, was du sonst bei jedem Client hinter dem Linuxrouter zu Fuß eintragen müßetest.

Dem Linuxrouter selbst gibts du allerdings zwei feste IP-Adressen, einmal die IP-Adresse für das Subnetz, mit dem du mit dem Telekomrouter verbunden bist und zum anderen die IP-Adresse für die Netzwerkkarte, die dein LAN hinter dem Linuxrouter aufspannt.

Das einzige was dann zu tun ist, du mußt eine statische Route im Telekomrouter eintragen, damit der weiß, wohin der die Antwortpakete schicken muß. Das geht irgendwo im Telekomrouter, möglicherweise nur im Expertenmodus. Die Definition dieser Router umfaßt das Subnetz, das hinterdem Linuxrouter aufgespannt ist und die IP-Adresse (Telekomrouterseite) des Linuxrouters.

Quasi statische IP-Adressen kannst du den Rechnern im LAN hinter dem Linuxrouter per Konfiguration in dnsmasq einrichten. Der Client macht dann zwar immer noch DHCP, bekommt aber vom DHCP-Server garantiert immer die selbe IP-Adresse zugewiesen. Wichtig ist eine absolut statische IP aber nur für Server, die per Portforwarding über den Telekomrouter aus dem Internet erreichbar sein sollen.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 09:46:28

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 08:31:41
... iptables-Regeln eben doch für Routerbetrieb nötig seien!
Naja, jetzt geht es erstmal, raus zu finden ob bzw. wie es geht. Wenn es dann mit iptables-Regeln funktioniert, kannst Du dir noch immer zeigen lassen, wie es ohne iptables-Regeln (d. h. mit Routing-Regeln und ohne S-NAT/FORWARD-Regeln) geht.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 19:14:26

Ich bin drihin!!!

Irgendwann beiß' ich nochmal in den Rechner, weil dieses verfluchte nano nicht orizontal srollen kann und mcedit kein Klemmbrett außerhalb des mc hat! :evil:

Also nach Eingabe von

Code: Alles auswählen

iptables -I FORWARD 1 -o eth1 -i eth0 -s 192.168.3.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD 2 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o eth1 -j MASQUERADE
iptables -t nat -I POSTROUTING 2 -o eth0 -j MASQUERADE
konnte ich vom Klienten aus 192.168.3.1 anpingen, und auch via Browser das Debianforum erreichen.
Ich habe mir deine Kommandos in eine Textdatei kopiert. Dabei musste ich das erste Kommando der Länge wegen mit einem Backslash umbrechen, um es aus nano für den prompt herauskopieren zu können. Für mich war das eine Premiere und ich hoffe, das hat keine Fehler bewirkt.
Ich schreibe gerade auf dem Klienten. :wink:
Also doch iptables!?

Gehe ich recht in der Annahme, dass die zuletzt davor versuchten Kommandos keinen Erkenntnisgewinn brachten? Für mich waren die Ausgaben „böhmische Dörfer“, sprich ich habe 0 verstanden.

Hier die Meldungen für

Code: Alles auswählen

iptables -nvx -L FORWARD
iptables -nvx -L POSTROUTING -t nat
Den Ping am Klienten hatte ich vor diesen Kommandos beendet.

Code: Alles auswählen

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     all  --  eth0   eth1    192.168.3.0/24       0.0.0.0/0            ctstate NEW
      35     2940 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Code: Alles auswählen

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       1       84 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
       0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
dnsmasq werde ich wohl nicht auf dem Linux-Router als DHCP-Server einrichten. 1. Hätte ich dann zwei hier zuhause (dnsmasq auf dem Linux-Router und noch einen auf dem DSL-Router). Von zwei DHCP-Servern im Heimnetz wurde hier im DF immer abgeraten. Den auf dem DSL-Router will ich nicht abschalten, weil ich den für das Gäste-WLAN benötige.
2. komme ich bei meinen fünf bis sechs Klienten im Heimnetz ganz gut mit festen IPs zurecht.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 19:33:23

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 19:14:26
Gehe ich recht in der Annahme, dass die zuletzt davor versuchten Kommandos keinen Erkenntnisgewinn brachten?
Für mich waren die Tests mit tcpdump schon OK.
fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 19:14:26
Hier die Meldungen für

Code: Alles auswählen

iptables -nvx -L FORWARD
iptables -nvx -L POSTROUTING -t nat
Den Ping am Klienten hatte ich vor diesen Kommandos beendet.

Code: Alles auswählen

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     all  --  eth0   eth1    192.168.3.0/24       0.0.0.0/0            ctstate NEW
      35     2940 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Code: Alles auswählen

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       1       84 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
       0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
Lt. den Zählern der iptables-Regeln, sind 2 Regeln (bei denen 0 0 angezeigt werden) bis jetzt zumindest, nicht erforderlich:

Code: Alles auswählen

 0        0 ACCEPT     all  --  eth0   eth1    192.168.3.0/24       0.0.0.0/0            ctstate NEW

Code: Alles auswählen

 0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
Kannst die zwei ja mal kommentieren und weiter testen.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 19:36:48

Mach ich glatt! :wink:

Erst mal ein goßes Dankeschön für deine große Geduld und deine Hilfe! :hail: :hail: :hail:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 16.04.2021 19:43:21

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 19:14:26
1. Hätte ich dann zwei hier zuhause (dnsmasq auf dem Linux-Router und noch einen auf dem DSL-Router).
Zwei DHCP-Server sind in diesem Fall sogar notwendig.
Von zwei DHCP-Servern im Heimnetz wurde hier im DF immer abgeraten.
Jein. Ein DHCP-Server pro Subnetz ist überhaupt keine Problem. Wenn du 5 Subnetze betriebst, brauchst du sogar 5 DHCP-Server. Wenn alle 5 Subnetze vom selben Router ausgehen, kann in diesem Sonderfall auch ein einzelner DHCP-Server alle Subnetze versorgen. Du hast aber zwei Router kaskadiert, folglich brauchst du auch zwei DHCP-Server, auf jedem Router einen.

Von was hier im DF immer abgeraten wird ist, zwei DHCP-Server im selben Subnetz zu betreiben. Das geht auf jeden Fall schief. Auch zwei Subnetze auf dem selben Kabel zu betreiben, läßt sich nicht sauber mit DHCP lösen.
Den auf dem DSL-Router will ich nicht abschalten, weil ich den für das Gäste-WLAN benötige
Gäste-WLAN = anderes Subnetz.
2. komme ich bei meinen fünf bis sechs Klienten im Heimnetz ganz gut mit festen IPs zurecht.
Ein DHCP-Server lohnt sich bereits für nur einen einziegen Client.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 20:39:01

Danke für die Klarstellung!

Offtopic:
Ein DHCP-Server lohnt sich bereits für nur einen einzigen Client.
Zugegeben, händische IP-Verwaltung ist etwas aufwendiger zu pflegen. Aber DHCP für ein im Prinzip statisches kleines Heimnetz hat mir nie eingeleuchtet und leuchtet mir auch jetzt nicht ein. Bei meinen Nachforschungen konnte ich mich nie des Eindrucks erwehren: Jeder macht's, weil's halt da ist. Vorteile, die mich beeindruckt hätten, sind mir nie aufgefallen. Etwas anderes ist es natürlich schon, wenn man sich mobil in unterschiedlichen Netzen bewegt. Da wird dann - weil da DHCP-Server werkeln - gar nichts anderes übrig bleiben. Uns so ist der WoMo-Klapprechner auch konfiguriert: zu Hause hat der eine feste IP und unterwegs bezieht er sie halt via DHCP - ganz ohne wicd, Netzwerkmanager, etc. Hat hier immer problemlos funktioniert.
Ist so'n bisschen wie mit grub: jeder nutzt ihn aber keiner braucht ihn wirklich. Sagt man was Abweichendes, kommt das Totschlagargument: „veraltet“.
Zuletzt geändert von fischig am 16.04.2021 20:46:33, insgesamt 1-mal geändert.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von dufty2 » 16.04.2021 20:42:09

Ich vermute mal, man braucht deshalb iptables (NAT), da der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Reine Vermutung von mir.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 20:48:09

Ich vermute mal, man braucht deshalb iptables (NAT), da der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Reine Vermutung von mir.
Aber eine ziemlich plausible, finde ich! :THX: Mal schauen, ob jemand Besseres oder Genaueres weiß.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 21:37:16

dufty2 hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 20:42:09
... der Telekom-router keine "fremden Netze" weiterroutet,
sondern nur solche aus seinem "client-netz".
Wenn ein Client aus dem Subnetz des Telekom-router als gateway fungieren kann (und das kann er i. d. R.), dann routet er hier auch "fremde Netze".
Evtl. kann hier jemand zeigen wie man hier ressourcenschonender, Routing statt source-NAT mit iptables, benutzen kann und auf iptables verzichten kann.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 16.04.2021 21:48:06

Den alten Linux-Router habe ich vor mehr als fünf, wahrscheinlich vor sieben oder acht Jahren mal anhand einer Shorewall-Anleitung der LUG Krefeld eingerichtet. https://www.lug-kr.de/wiki/ShoreWall Vorher hatte ich Ipcop. Vielleicht erhellt das jemanden, der mehr versteht von iptables als ich. :wink:

Die Seite sieht ziemlich anders aus, als ich sie in Erinnerung habe, aber das am Ende sichtbare Datum (2012) scheint mir immer noch zu passen.

edit:
Ich blicke nicht ganz durch, welche womöglich überflüssigen Regeln/Kommandos ich wie auskommentieren soll. Dass das letzte Kommando betroffen ist, vermute ich mal.

Was mir noch einfällt, angesichts meiner Vorliebe für statische IPs - und damit komme ich auf meinen Eingangsbeitrag zurück: Der alte Linuxrouter hatte die Endnummer 251. Statische IPs kann ich im DSL-Router nicht eintragen, nur einen Namen und die MAC. Die neue MAC hat er jetzt. Würde er automatisch die IP mit der Endnummer 251 akzeptieren, wenn ICH die am neuen Linux-Router eintrüge. Das ersparte mir einige Umstellungen bei den Klienten.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 16.04.2021 23:12:18

fischic hat geschrieben: ↑ zum Beitrag ↑
16.04.2021 21:48:06
edit:
Ich blicke nicht ganz durch, welche womöglich überflüssigen Regeln/Kommandos ich wie auskommentieren soll. Dass das letzte Kommando betroffen ist, vermute ich mal.
Diese:

Code: Alles auswählen

## iptables -I FORWARD 1 -o eth1 -i eth0 -s 192.168.3.0/24 -m conntrack --ctstate NEW -j ACCEPT
## iptables -t nat -I POSTROUTING 2 -o eth0 -j MASQUERADE
EDIT:

BTW: Die Regelnummer bei der verbliebenen (wirksamen) Regel der FORWARD chain, musst Du dann von 2 auf 1 ändern:

Code: Alles auswählen

iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 17.04.2021 11:58:32

Letzte Anregungen umgesetzt. Funktioniert. Nochmals danke!

Damit ist das Thema eigentlich gelöst, aber ich bin noch unschlüssig bei der Frage, ob ich die beiden IPs des neuen Linux-Routers

Code: Alles auswählen

192.168.100.250
192.168.3.250
einfach ändern kann auf

Code: Alles auswählen

192.168.100.251
192.168.3.251
Es versteht sich, dass in diesem Fall der alte Linux-Router nicht mit dem DSL-Router verbunden sein darf.
Der DSL-Router lässt keine händische IP-Eingabe zu, nichtdestotrotz akzeptiert er die 192.168.3.250, obwohl die außerhalb des von mir seinem DHCP-Server zugestandenen IP-Raumes liegt.

Bei einem ersten Versuch hat der IP-Wechsel nicht funktioniert, aber dafür will ich Fehleingaben meinerseits noch nicht ausschließen.

Unabhängig davon:
Meine Rückfrage bezüglich des Erkenntnisgewinns der von mir angesprochenen Kommandos war so gemeint: Ich vermute, ihre Ausgaben konnten auch nicht erklären, warum bis dahin keine Klienten-Verbindung mit dem DSL-Router/Internet möglich war.
Zuletzt geändert von fischig am 17.04.2021 12:27:54, insgesamt 1-mal geändert.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 17.04.2021 12:22:59

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:58:32
Damit ist das Thema eigentlich gelöst,...
Naja, es fehlt noch die ressourcenschonendere Lösung (Alternative) _ohne_ iptables-Regeln, dafür aber mit Routing.
fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 11:58:32
... aber ich bin noch unschlüssig bei der Frage, ob ich die beiden IPs des neuen Linux-Routers

Code: Alles auswählen

192.168.100.250
192.168.3.250
einfach ändern kann auf

Code: Alles auswählen

192.168.100.251
192.168.3.251
Es versteht sich, dass in diesem Fall der alte Linux-Router nicht mit dem DSL-Router verbunden sein darf.
Der DSL-Router lässt keine händische IP-Eingabe zu, nichtdestotrotz akzeptiert er die 192.168.3.250, obwohl die außerhalb des von mir seinem DHCP-Server zugestandenen IP-Raumes liegt.
Wenn Du dem Client die IP-Adressen manuell zuweist, dann sollen bzw. dürfen diese IP-Adressen ja von außerhalb der DHCP-range (DHCP-Pool) des DHCP-Servers beim DSL-Router sein. Probleme gibt es m. E. evtl. temporär, wenn der arp-cache des DSL-Routers noch die alte "Kombination" MAC-Adresse<->IP-Adresse (der neighbours) beinhaltet.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 17.04.2021 12:32:27

Naja, es fehlt noch die ressourcenschonendere Lösung (Alternative) _ohne_ iptables-Regeln, dafür aber mit Routing.
Wenn's die denn gibt bei meiner konkreten Kombination! Bisher steht ja nur die (allgemeine) Behauptung im Raum. Und ich vermag mir schon vorzustellen, dass der Telekom-DSL-Router da seine „eigenen“ Vorstellungen hat.
Probleme gibt es m. E. evtl. temporär, wenn der arp-cache des DSL-Routers noch die alte "Kombination" MAC-Adresse<->IP-Adresse (der neighbours) beinhaltet.
Das ließe sich durch einen Neustart des DSL-Routers ausschalten - richtig?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 17.04.2021 12:40:59

fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 12:32:27
... ich vermag mir schon vorzustellen, dass der Telekom-DSL-Router da seine „eigenen“ Vorstellungen hat.
Der Telekom-DSL-Router ist hier in diesem Fall (d. h. Kommunikation zwischen Client und Telekom-DSL-Router, via Linux-Router) nicht relevant und könnte auch mit einem anderen Gerät ersetzt werden.
fischic hat geschrieben: ↑ zum Beitrag ↑
17.04.2021 12:32:27
Das ließe sich durch einen Neustart des DSL-Routers ausschalten - richtig?
Ja, Neustart sollte OK sein.

EDIT:

Auf dem Telekom-DSL-Router konnte man kein tcpdump (oder gleichwertig) starten. Mit einem anderen Gerät (Linux als OS, für tcpdump) hätte man evtl. sehen können, dass der Ping vom Client, das Gerät erreichen kann, aber den Weg zurück nicht kennt. Source-NAT sorgt dafür, dass der Weg zurück bekannt ist. Das sollte dann auch nur mit Routing (statt mit iptables) gemacht werden.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 17.04.2021 13:53:10

Ja, Neustart sollte OK sein.
Hat funktioniert! :THX:

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 20.04.2021 10:03:44

Bezüglich der Frage: Geht Router-Betrieb ohne NAT (und damit iptables)
MSfree hat geschrieben:Du hast mit iptables aus deiner Linuxkiste einen NAT-Router gemacht. NAT ist aber zu Kommunikation zwischen deinem Linuxrouter und dem Telekomrouter nicht nötig.
Ich stelle mal folgende Überlegung zur Diskussion:
Der Linux-Router ist das einzige mit dem DSL-Router verbundene Gerät. Ohne NAT auf dem Linux-Router, schickte der DSL-Router alle Internet-Anfragen aus dem LAN zurück an den Linux-Router, der diese dann aber nicht mehr an die anfragenden Maschinen weiterleiten könnte, weil wegen fehlendem NAT nicht mehr bekannt.
Ergo geht bei meiner Kombination Internet-Routing NICHT ohne NAT und damit ohne iptables auf dem Linux-Router. MSfrees These ist zumindest praktisch nicht relevant?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 20.04.2021 11:00:17

Um estmal etwas anschaulicher mit Zahlen zu machen:

Ich nutze hier als Beispiel ein LAN hinter dem Linuxrouter mit dem IP-Bereich 10.0.1.0/24
Der DSL-Router spannt ein LAN mit dem IP-Bereich 192.168.1.0/24 auf

Code: Alles auswählen

(LAN  10.0.1.0/24)  -> Linuxrouter -> (LAN 192.168.1.0/24) -> DSL-Router -> Internet
In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Der DSL-Router NATet dann nochmal von 192.168.1.0/24 auf die IP-Adresse deines Inernetproviders. DoppelNAT kann man sich sparen.

Das einzieg, was nötig ist, ist das Setzen einer Statischen Route im DSL-Router. Wo du das in seinem Konfigurationsmenü findest, weiß ich von hier natürlich nicht. Aber, du mußt dem DSL-Router mitteilen, daß das Netz 10.0.1.0/24 über den Linuxrouter mit der IP 192.168.1.??? zu leiten ist. Der Weg von den 10.0.1.0/24-Clients über den Linuxrouter braucht man nicht speziell definieren, denn der Linuxrouter weiß die Route von 10.0.1.0/24-Netz in das 192.168.1.0/24-Netz automatisch.

(Das 10er-Netz ist hier natürlich nicht zwingend notwendig, es erleichtert aber die Lesbarkeit, weil eben völlig andere Bereiche gewählt sind. Genauso gut hätte ich auch 192.168.2.0/24 schreiben können, das wäre aber schwieriger von 192.168.1.0/24 im Lesefluß zu unterscheiden)

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 20.04.2021 12:48:09

MSfree hat geschrieben: ↑ zum Beitrag ↑
20.04.2021 11:00:17
In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Der DSL-Router NATet dann nochmal von 192.168.1.0/24 auf die IP-Adresse deines Inernetproviders. DoppelNAT kann man sich sparen.

Das einzieg, was nötig ist, ist das Setzen einer Statischen Route im DSL-Router. ... Aber, du mußt dem DSL-Router mitteilen, daß das Netz 10.0.1.0/24 über den Linuxrouter mit der IP 192.168.1.??? zu leiten ist.
Aber wenn doch geNATet wird, bekommt der DSL-Router (als "border device") dann überhaupt mit, dass es Datenpakete aus dem Subnetz 10.0.1.0/24 gibt bzw. sind? Wenn der DSL-Router das nicht mitbekommt, dann wird er die in ihm konfigurierte statische Route (die Du beschrieben hast) doch auch nicht anwenden können bzw. nicht benutzen, oder?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 20.04.2021 13:28:55

mat6937 hat geschrieben: ↑ zum Beitrag ↑
20.04.2021 12:48:09
Aber wenn doch geNATet wird, bekommt der DSL-Router (als "border device") dann überhaupt mit, dass es Datenpakete aus dem Subnetz 10.0.1.0/24 gibt bzw. sind?
Mein Vorschlag zielte darauf ab, das erste NAT im Linuxrouter zu vermeiden.

Du kannst entweder DoppelNATen oder im Linuxrouter normal routen. Wenn du zweimal NATest, braucht man die statische Route im DSL-Router natürlich nicht, sie schadet aber auch nicht. Wenn du das erste NAT wegläßt, ist die statische Route im DSL-Router zwingend notwendig.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von mat6937 » 20.04.2021 14:21:41

MSfree hat geschrieben: ↑ zum Beitrag ↑
20.04.2021 13:28:55
Wenn du das erste NAT wegläßt, ist die statische Route im DSL-Router zwingend notwendig.
OK. @fischic, im Linux-Router die z. Zt. vorhandenen iptables-Regeln:

Code: Alles auswählen

## iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
## iptables -t nat -I POSTROUTING 1 -o eth1 -j MASQUERADE
kommentieren (damit sie nicht mehr wirksam sind), im DSL-Router die statische Route konfigurieren, danach Alles (DSL-Router, Linux-Router und Client-PC) rebooten und nach dem reboot, testen.

fischig
Beiträge: 3600
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von fischig » 20.04.2021 17:18:42

MSfree hat geschrieben:In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Also meine bisherige Konfiguration ist das wohl nicht.
mat6937 hat geschrieben: im DSL-Router die statische Route konfigurieren
Ich kann keine solche Einstellung auf dem Speedport Smart 3 finden.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Telekom-DSL-Router, Netzwerkeinstellungen

Beitrag von MSfree » 20.04.2021 22:00:16

fischic hat geschrieben: ↑ zum Beitrag ↑
20.04.2021 17:18:42
Also meine bisherige Konfiguration ist das wohl nicht.
Die Zahlen nicht, das Prinzip aber schon.
Ich kann keine solche Einstellung auf dem Speedport Smart 3 finden.
Ein Router, bei dem man keine Routen definieren kann, echt absurd.
Naja, die Speedports sind halt auch nur Plastikdosen. Dann geht's halt nur mit DoppelNAT.

Antworten