Telekom-DSL-Router, Netzwerkeinstellungen

[fischig]

Naja, es fehlt noch die ressourcenschonendere Lösung (Alternative) _ohne_ iptables-Regeln, dafür aber mit Routing.

Wenn's die denn gibt bei meiner konkreten Kombination! Bisher steht ja nur die (allgemeine) Behauptung im Raum. Und ich vermag mir schon vorzustellen, dass der Telekom-DSL-Router da seine „eigenen“ Vorstellungen hat.

Probleme gibt es m. E. evtl. temporär, wenn der arp-cache des DSL-Routers noch die alte "Kombination" MAC-Adresse<->IP-Adresse (der neighbours) beinhaltet.

Das ließe sich durch einen Neustart des DSL-Routers ausschalten - richtig?

[mat6937]

... ich vermag mir schon vorzustellen, dass der Telekom-DSL-Router da seine „eigenen“ Vorstellungen hat.

Der Telekom-DSL-Router ist hier in diesem Fall (d. h. Kommunikation zwischen Client und Telekom-DSL-Router, via Linux-Router) nicht relevant und könnte auch mit einem anderen Gerät ersetzt werden.

Das ließe sich durch einen Neustart des DSL-Routers ausschalten - richtig?

Ja, Neustart sollte OK sein.

EDIT:

Auf dem Telekom-DSL-Router konnte man kein tcpdump (oder gleichwertig) starten. Mit einem anderen Gerät (Linux als OS, für tcpdump) hätte man evtl. sehen können, dass der Ping vom Client, das Gerät erreichen kann, aber den Weg zurück nicht kennt. Source-NAT sorgt dafür, dass der Weg zurück bekannt ist. Das sollte dann auch nur mit Routing (statt mit iptables) gemacht werden.

[fischig]

Ja, Neustart sollte OK sein.

Hat funktioniert!

[fischig]

Bezüglich der Frage: Geht Router-Betrieb ohne NAT (und damit iptables)

Du hast mit iptables aus deiner Linuxkiste einen NAT-Router gemacht. NAT ist aber zu Kommunikation zwischen deinem Linuxrouter und dem Telekomrouter nicht nötig.

Ich stelle mal folgende Überlegung zur Diskussion:
Der Linux-Router ist das einzige mit dem DSL-Router verbundene Gerät. Ohne NAT auf dem Linux-Router, schickte der DSL-Router alle Internet-Anfragen aus dem LAN zurück an den Linux-Router, der diese dann aber nicht mehr an die anfragenden Maschinen weiterleiten könnte, weil wegen fehlendem NAT nicht mehr bekannt.
Ergo geht bei meiner Kombination Internet-Routing NICHT ohne NAT und damit ohne iptables auf dem Linux-Router. MSfrees These ist zumindest praktisch nicht relevant?

[MSfree]

Um estmal etwas anschaulicher mit Zahlen zu machen:

Ich nutze hier als Beispiel ein LAN hinter dem Linuxrouter mit dem IP-Bereich 10.0.1.0/24
Der DSL-Router spannt ein LAN mit dem IP-Bereich 192.168.1.0/24 auf

Code: Alles auswählen

(LAN  10.0.1.0/24)  -> Linuxrouter -> (LAN 192.168.1.0/24) -> DSL-Router -> Internet

In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Der DSL-Router NATet dann nochmal von 192.168.1.0/24 auf die IP-Adresse deines Inernetproviders. DoppelNAT kann man sich sparen.

Das einzieg, was nötig ist, ist das Setzen einer Statischen Route im DSL-Router. Wo du das in seinem Konfigurationsmenü findest, weiß ich von hier natürlich nicht. Aber, du mußt dem DSL-Router mitteilen, daß das Netz 10.0.1.0/24 über den Linuxrouter mit der IP 192.168.1.??? zu leiten ist. Der Weg von den 10.0.1.0/24-Clients über den Linuxrouter braucht man nicht speziell definieren, denn der Linuxrouter weiß die Route von 10.0.1.0/24-Netz in das 192.168.1.0/24-Netz automatisch.

(Das 10er-Netz ist hier natürlich nicht zwingend notwendig, es erleichtert aber die Lesbarkeit, weil eben völlig andere Bereiche gewählt sind. Genauso gut hätte ich auch 192.168.2.0/24 schreiben können, das wäre aber schwieriger von 192.168.1.0/24 im Lesefluß zu unterscheiden)

[mat6937]

In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24
Der DSL-Router NATet dann nochmal von 192.168.1.0/24 auf die IP-Adresse deines Inernetproviders. DoppelNAT kann man sich sparen.

Das einzieg, was nötig ist, ist das Setzen einer Statischen Route im DSL-Router. ... Aber, du mußt dem DSL-Router mitteilen, daß das Netz 10.0.1.0/24 über den Linuxrouter mit der IP 192.168.1.??? zu leiten ist.

Aber wenn doch geNATet wird, bekommt der DSL-Router (als "border device") dann überhaupt mit, dass es Datenpakete aus dem Subnetz 10.0.1.0/24 gibt bzw. sind? Wenn der DSL-Router das nicht mitbekommt, dann wird er die in ihm konfigurierte statische Route (die Du beschrieben hast) doch auch nicht anwenden können bzw. nicht benutzen, oder?

[MSfree]

Aber wenn doch geNATet wird, bekommt der DSL-Router (als "border device") dann überhaupt mit, dass es Datenpakete aus dem Subnetz 10.0.1.0/24 gibt bzw. sind?

Mein Vorschlag zielte darauf ab, das erste NAT im Linuxrouter zu vermeiden.

Du kannst entweder DoppelNATen oder im Linuxrouter normal routen. Wenn du zweimal NATest, braucht man die statische Route im DSL-Router natürlich nicht, sie schadet aber auch nicht. Wenn du das erste NAT wegläßt, ist die statische Route im DSL-Router zwingend notwendig.

[mat6937]

Wenn du das erste NAT wegläßt, ist die statische Route im DSL-Router zwingend notwendig.

OK. @fischic, im Linux-Router die z. Zt. vorhandenen iptables-Regeln:

Code: Alles auswählen

## iptables -I FORWARD 1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
## iptables -t nat -I POSTROUTING 1 -o eth1 -j MASQUERADE

kommentieren (damit sie nicht mehr wirksam sind), im DSL-Router die statische Route konfigurieren, danach Alles (DSL-Router, Linux-Router und Client-PC) rebooten und nach dem reboot, testen.

[fischig]

In deiner bisherigen Konfiguration NATest du 10.0.1.0/24 auf 192.168.1.0/24

Also meine bisherige Konfiguration ist das wohl nicht.

im DSL-Router die statische Route konfigurieren

Ich kann keine solche Einstellung auf dem Speedport Smart 3 finden.

[MSfree]

Also meine bisherige Konfiguration ist das wohl nicht.

Die Zahlen nicht, das Prinzip aber schon.

Ich kann keine solche Einstellung auf dem Speedport Smart 3 finden.

Ein Router, bei dem man keine Routen definieren kann, echt absurd.
Naja, die Speedports sind halt auch nur Plastikdosen. Dann geht's halt nur mit DoppelNAT.

[fischig]

Also meine bisherige Konfiguration ist das wohl nicht.

Die Zahlen nicht, das Prinzip aber schon.

Nicht nachollziehbar. Es gibt hier schlicht kein zweites Netz.

[mat6937]

Es gibt hier schlicht kein zweites Netz.

Aber Du benutzt doch:

Code: Alles auswählen

192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1  # DSL-Router
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0   # Linux-Router

, oder?

[fischig]

Das muss ich jetzt est mal verdauen. Ich benutze zwar:
iface eth1 inet static
address 192.168.3.251
gateway 192.168.3.1

Aber dass das via
netmask 255.255.255.0
broadcast 192.168.3.255
Ein zweites Netz aufspannen soll, ist mir noch nie in den Sinn gekommen. Wie hätte man sich also eine Hin- und Rückroute (ohne iptables) vorzustellen, wenn, sagen wir, ein client mit der internen IP 192.168.100.151 über sein gateway 192.168.100.251 eine Anfrage ans Debianforum (IP habe ich gerade nicht zur Hand) richtete?

[mat6937]

Ein zweites Netz aufspannen soll, ist mir noch nie in den Sinn gekommen.

Aber das hast Du doch schon gemacht. Der DSL-Router hat das Subnetz 192.168.3.0/24 und der Linux-Router (mit seinen Clients) hat das Subnetz 192.168.100.0/24.

Wie hätte man sich also eine Hin- und Rückroute (ohne iptables) vorzustellen, wenn, sagen wir, ein client mit der internen IP 192.168.100.151 über sein gateway 192.168.100.251 eine Anfrage ans Debianforum (IP habe ich gerade nicht zur Hand) richtete?

Na das hat MSfree doch geschrieben: Mit der statischen Route im DSL-Router (border device).

Der Linux-Router mit seiner WAN-IP-Adresse aus dem Subnetz 192.168.3.0/24, ist das gateway.

[fischig]

Die Rückroute leuchtet mir noch nicht ein.

[mat6937]

Die Rückroute leuchtet mir noch nicht ein.

Mir auch noch nicht, aber gerade deswegen war ich an einem Test deinerseits, so interessiert. Leider ist es nicht möglich, mit deinem DSL-Router.

[fischig]

Mir auch noch nicht, aber gerade deswegen war ich an einem Test deinerseits, so interessiert. Leider ist es nicht möglich, mit deinem DSL-Router.

Das ist noch nicht raus. Nach meinen zwischenzeitlichen Recherchen, hat da jemand mit statischen Routen beim smart 3 im einem Telekomforum angefragt. Habe ich aber erst mal beiseite gelegt, weil da noch ein anderes Gerät im Spiel war, das ich gar nicht kenne.

Wenn ich morgegen abend Zeit finde, versuche ich mal meine bisherigen Nachvollzugsüberlegungen zur Diskussion zu stellen. Ich glaube aber jetzt schon sagen zu können, dass mir ein doppeltes NAT wesentlich sympathischer ist als MSfrees Konstruktion. Ich werde wohl nicht drauf verzichten, selbst wenn der smart 3 das hergäbe, allenfalls um dir einen Gefallen zu tun. Für Hilfe mag man sich ja bedanken!

[mat6937]

... jetzt schon sagen zu können, dass mir ein doppeltes NAT wesentlich sympathischer ist als MSfrees Konstruktion.

Ja, aber darum geht es nicht. Lt. MSfree soll das Routing wesentlich ressourcenschonender sein, als das NATen. Klar kann/darf/soll jeder das verwenden, was ihm sympathischer ist. Ich benutze auch NAT (wo man evtl. auch Routing benutzen könnte), aber in anderen Konstellationen, im Vergleich zu deiner hier.

[MSfree]

Lt. MSfree soll das Routing wesentlich ressourcenschonender sein, als das NATen.

In dem Umfeld, in dem fischic das nutzen will, wird man keinen wesentlichen Geschwindigkeitsunterschied zwischen Routing und NAT feststellen. Der Engpaß ist in diesem Fall das DSL, das wesentlich langsamer ist als die CPU im Router NATen kann. Schlimmstenfalls hat man einen etwas höhren Stromverbrauch im Router, weil die CPU stärker belastet wird. Es wird auch etwas mehr Hauptspeicher benötigt, wobei ich in der Vergangenheit selbst mit NAT-Routern, die nur 128MB RAM hatten, nie an die RAM-Grenze gestoßen bin.

Dazu kommt, daß man diesen Telekom Plastikteilen wahrscheinlich keine statischen Routen setzen kann, zumindest hat das meine Recherche ergeben, so daß man sowieso nicht um NAT herumkommt.

[fischig]

Also: wenn der Linux-Router nicht natet/den Absender maskiert, dann stelle ich mir das mögliche Procedere so vor:
der Rechner mit der IP 192.168.100.167 sendet eine Anfrage ans Debian-Forum (Paket1) über sein Gatway im Linux-Router (192.168.100.251). Der Linux-Router reicht das weiter (mit allen Kennungen, insbesondere: Anfage kommt von 192.168.100.167) über an seine zweite NIC (192.168.3.251) an das gateway/interne NIC des DSL-Routers (192.168.3.1) Der DSL-Router merkt sich die Kennungen und gibt das Paket1 (ohne die ursprünglichen Kennungen) aber mit seiner externen IP als Absender (Maskierung/NAT) ans Debianforum. Das DF schickt eine Antwort an die externe IP des anfragenden DSL-Routers. Diese NIC schickt die Anwort an ihre interne IP(192.68.3.1). Dort oder vorher schon, werden der Antwort die ursprüglichen Kennungen wieder hinzugefügt und an 192.168.3.251 geschickt, der sie dann via 192.168.100.251 an 192.168.100.167 zurückschickt.

Wenn das soweit richtig ist, warum benötigt der DSL-Router dafür eine statische Route zum Linux-Router? Was ist überhaupt eine statische Route im Unterschied zu einer nichtstatischen? Oder so herum: wieso ist meine Route nicht statisch?

Ich gestehe ja gern, dass sich das Paar 10.0.1 und 192.168.100 leichter unterscheiden lässt als das Paar 192.168.3 und 192.168.100, aber ich könnte die Argumentation für den Anfang leichter mit meinen real existierenden IPs verstehen.

[mat6937]

Dort oder vorher schon, werden der Antwort die ursprüglichen Kennungen wieder hinzugefügt und an 192.168.3.251 geschickt, ...

Nein. Warum sollte der DSL-Router, Datenpakete die für eine IP-Adresse aus dem Subnetz 192.168.100.0/24 bestimmt sind, an die IP-Adresse 192.168.3.251 senden? Im DSL-Router ist doch noch keine statische Route (mit der IP 192.168.3.251 als gateway) konfiguriert ... und source-NAT ist im Linux-Router auch nicht (mehr) konfiguriert.

[fischig]

Warum sollte der DSL-Router, Datenpakete die für eine IP-Adresse aus dem Subnetz 192.168.100.0/24 bestimmt sind, an die IP-Adresse 192.168.3.251 senden?

Das Subnetz 192.168.100.0/24 kennt der DSL-Router doch gar nicht/dazu hat er doch gar keinen direkten Zugang - oder? Die einzige interne IP, die er kennt, ist 192.168.3.251 auf dem Linux-Router. Wie gesagt der Begriff statische Route ist mir sehr rätselhaft. Was ist statischer als eine einzige feste IP?

[mat6937]

Das Subnetz 192.168.100.0/24 kennt der DSL-Router doch gar nicht/dazu hat er doch gar keinen direkten Zugang - oder? Die einzige interne IP, die er kennt, ist 192.168.3.251 auf dem Linux-Router.

Ja, der DSL-Router kennt die 192.168.3.251, aber er weiß nicht, dass diese IP-Adresse 192.168.3.251 das gateway für das Routing ins Subnetz 192.168.100.0/24 sein soll (... wenn Du es ihm nicht mit Hilfe einer statischen Route auch gesagt hast).

[fischig]

Und wie sähe jetzt diese „statische" Route aus (wenn man anstelle des smart3 eine sicher dazu fähige andere Maschine benutzte)?

[mat6937]

... eine sicher dazu fähige andere Maschine benutzte)?

Na z. B. für die aktuelle FritzBox, siehe z. B. die Seite 162 (AVM-Handbuch als pdf-Datei) mit dem Link: https://s2.vodafone.de/dl/media/handbuc ... x-7590.pdf