Durch Router/Proxy läßt sich nicht durchpingen

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 13:13:48

Hi!

Ich habe hier ein Gerät mit zwei Schnittstellen: enp1s0 (hängt an der EasyBox) und enp2s0 (ist mit einem Laptop verbunden). Ich will vom Laptop aus durch das Gerät die EasyBox anpingen, aber es will nicht. Auf dem Gerät ist nur debian 10 installiert, keine Proxy-Software, das kommt später.

Ich kann erfolgreich vom Laptop das Gerät (proxbox) anpingen und hiervon erfolgreich auch ein ping zurücksenden. => alles klar in /etc/network/interfaces usw. Ping von diesem Gerät auf EasyBox ist auch erfolgreich.

Ich habe schon viele iptables-Konfigurationen durch, als letztes:

Code: Alles auswählen

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADING
aber ohne Erfolg.

ip-forwarding im Kernel ist aktiviert.

Die Netzwerkkarte ist: RTL8111/8168
Treiber: r8168

Welche Informationen darf ich noch liefern?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von bluestar » 25.03.2020 13:22:47

rimatheou hat geschrieben: ↑ zum Beitrag ↑
25.03.2020 13:13:48
Welche Informationen darf ich noch liefern?
Für den Anfang wäre /etc/network/interfaces ganz hilfreich, die Einstellungen, die du auf deinem Laptop für die LAN Verbindung eingestellt hast und natürlich noch die IP deiner Easybox ;)

rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 13:41:26

/etc/network/interfaces auf dem Laptop:

Code: Alles auswählen

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# Interface zum Proxy

auto enp1s0
allow-hotplug enp1s0
iface enp1s0 inet static
 address 192.168.2.11

# dns-nameservers 195.50.140.114
# dns-search bitboxbible.local

 netmask 255.255.255.0
 network 192.168.2.0
 broadcast 192.168.2.255

 gateway 192.168.2.77
 # Das ist die in-Schnittstelle des zukünftigen Proxys.
 
 
IP der EasyBox: 192.168.2.1

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von bluestar » 25.03.2020 14:21:44

Und wie sieht /etc/network/interfaces auf deinem Router aus ?

rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 14:31:29

/etc/network/interfaces auf Router:

Code: Alles auswählen

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp1s0
allow-hotplug enp1s0
iface enp1s0 inet static
	address 192.168.2.99/24
	netmask 255.255.255.0
	broadcast 192.168.2.255
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 195.50.140.114 195.50.140.252
	dns-search bitboxbible.local

	network 192.168.2.0
	gateway 192.168.2.1

# The secondary network interface
auto enp2s0
allow-hotplug enp2s0
iface enp2s0 inet static
	address 192.168.2.77/24
		
#	dns-nameservers 195.50.140.114 195.50.140.252
#	dns-search bitboxbible.local

	network 192.168.2.0
	netmask 255.255.255.0
	broadcast 192.168.2.255

#	gateway 192.168.2.1

Benutzeravatar
WinMaik
Beiträge: 327
Registriert: 22.03.2008 10:38:00

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von WinMaik » 25.03.2020 14:46:18

Du wirst Dich entscheiden müssen, ob Du die beiden Interfaces in eine Bridge packen oder ob Du Routing betreiben möchtest.
Im Falle einer Bridge ist IP Forwarding und Masquerading unnötig.
Im Falle von Routing müssen die beiden Interfaces des Routers mit unterschiedlichen Netzen versehen werden. Sie dürfen nicht beide Teil des Netzes 192.168.2.0/24 sein.

rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 14:59:34

Zuvor hatte ich in diesem Netz einen Firewall-Rechner mit:

Code: Alles auswählen

enp2s0 192.168.2.148 und
enp3s0 192.168.3.111 und
wlp1s0 192.168.4.111
enp2s0 war mit der EasyBox verbunden und enp3s0 mit einem Arbeitsplatzrechner. Also ging das ping nur durch, weil enp2s0 auf ...2.148 und enp3s0 auf ...3.111 beheimatet war. Korrekt?

Benutzeravatar
WinMaik
Beiträge: 327
Registriert: 22.03.2008 10:38:00

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von WinMaik » 25.03.2020 15:06:01

Falls Routing der gewünschte Weg ist wäre ein möglicher Schritt enp2s0 des Routers wieder in das 192.168.3.0/24 Netz zu packen. Dem Laptop müsste dann auch eine IP aus eben diesem Netz gegeben werden und als Gateway ist hier die IP des Routers aus diesem neuen Netz zu konfigurieren.

rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 15:09:51

Ok, ich hab's kapiert. Ich wähle das Routing. Wobei es mich auch kurz interessieren würde, wie die Lösung mit einer Bridge wäre.

Benutzeravatar
WinMaik
Beiträge: 327
Registriert: 22.03.2008 10:38:00

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von WinMaik » 25.03.2020 15:17:17

Im dem Fall würden beide Interfaces des Routers in die Bridge gepackt und somit würde sich der Router wie ein gewöhnlicher Switch verhalten. Er bräuchte dann nur eine IP an dem virtuellen Bridge Interface und alle Pakete vom Laptop würden den Router wie einen Switch passieren und so quasi direkt die EasyBox erreichen können.

rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 15:22:56

Welche der beiden Möglichkeiten ist geschickter, wenn der Router ein Proxy werden soll, oder ist das egal? Eine Bridge habe ich noch nie gemacht. Das würde mich reizen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von bluestar » 25.03.2020 15:23:53

rimatheou hat geschrieben: ↑ zum Beitrag ↑
25.03.2020 15:22:56
Welche der beiden Möglichkeiten ist geschickter, wenn der Router ein Proxy werden soll, oder ist das egal? Eine Bridge habe ich noch nie gemacht. Das würde mich reizen.
Wenn's ein Zwangsproxy werden soll, dann kommst du im Routing nicht umhin....

rimatheou
Beiträge: 89
Registriert: 18.02.2015 13:30:08

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von rimatheou » 25.03.2020 15:30:10

Ich weiß ehrlich gesagt noch nicht, was für ein Proxy es werden soll, so weit bin ich noch nicht im Skript (Fernkurs Linux Admin).

Benutzeravatar
unitra
Beiträge: 638
Registriert: 15.06.2002 21:09:38
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.128.129.130

Re: Durch Router/Proxy läßt sich nicht durchpingen

Beitrag von unitra » 27.03.2020 23:33:31

Wenn es ein "mandatory" Proxy werden soll, dann ist es besser es ist separater Host, schon alleine deswegen um die Fehlerdomänen zu trennen.

Für einen zwingenden HTTP Proxy würde man am besten die Default Route 0.0.0.0/0 und ::/0 im eigenen Netz NICHT verwenden. Dann ist es sichergestellt, daß alle IP Pakete im eigenen Netz bleiben, weil keine default route vorhanden. Der HTTP Proxy müsste dann explicit im Browser eingestellt werden, oder verteilt werden über z.B. WPAD (Web Proxy Automatic Distribution) nur so würde man ins Internet kommen, alles andere bleibt lokal und kommt nie ins Internet.
rimatheou hat geschrieben: ↑ zum Beitrag ↑
25.03.2020 15:22:56
Welche der beiden Möglichkeiten ist geschickter, wenn der Router ein Proxy werden soll, oder ist das egal? Eine Bridge habe ich noch nie gemacht. Das würde mich reizen.

Antworten