[gelöst] routing über Suse 11.1

[luwa]

moin,
ich sitze hier nun scho 3 Tage mit diesem blöden Problem. Die Suse 11.1 Maschine soll das Routing übernehmen. ETH0 zeigt ins innere Netz und ETH1 stellt DSL0 und hängt am Modem. Via Squid komme ich aus dem inneren Netz ins Internet. Über Masquerading allerdings nicht. FW_ROUTE ist yes, FW_MASQ ist yes, IP_FORWARD ist YES, Networkmanager ist off.

host#> route sagt
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.112.112.112  *               255.255.255.255 UH    0      0        0 dsl0
192.168.55.0    *               255.255.255.0   U     0      0        0 wlan0
192.168.22.0    *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.44.0    *               255.255.255.0   U     0      0        0 wlan0
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         *               0.0.0.0         U     0      0        0 dsl0

dem default fehlt hier irgendwie das Gateway

Host#> /sbin/ip route list sagt
62.214.64.34 dev dsl0  proto kernel  scope link  src 87.122.77.171
192.168.55.0/24 dev wlan0  proto kernel  scope link  src 192.168.55.22
192.168.22.0/24 dev eth1  proto kernel  scope link  src 192.168.22.99
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.16
192.168.44.0/24 dev wlan0  proto kernel  scope link  src 192.168.44.16
169.254.0.0/16 dev eth0  scope link
127.0.0.0/8 dev lo  scope link
default dev dsl0  scope link

Was ich nicht verstehe ist das link-local auf ETH0. In der resolv.conf sind die DNS des Providers eingetragen. Was ich noch nicht probiert habe ist mal ohne WLAN zu fahren. Sollte aber nicht das eigentliche Problem sein da die default-route ja steht. Auch schon versucht in /etc/ppp/routes eine default-route einzutragen welche auf den Server des Providers zeigt. Klappt auch nicht
So langsam gehen mir die Ideen aus. In Suse 8.2 waren das ein paar Mausklicks im YAST und der Mist rannte.
HILFE!!!!
Ach ja, FW ins innere Netz ist aus.

vielen Dank schon mal
luwa

 

[DarkFireX]

Hallo.

Stellt das Modem die Internet-Verbindung automatisch her oder mach das der Linux-Rechner (Sollte bei DSL0 der Linux Rechner machen?!)?

In der Regel ist das Modem selbst einen Router, Fritz-Kisten etc., hat somit auch eine eigene IP. Insofern ist die gateway-route nicht richtig/nicht vorhanden.
Die default-Route weist im "Leerlauf" auf das dsl0-If damit alles was lokal nicht gefunden wird an das Modem oder Modem/Router weitergereicht wird. Nach der erfolgreichen Connect-Anforderung wird daraus eine GW-Route.
Der Gateway hat standardmäßig die xxx.xxx.xxx.1 (es sei denn es ist vom Admin anders gewollt). Also muß die GW-Route auch auf diese IP gerichtet sein.

manuell: $route add default gw xxx.xxx.xxx.1 (natürlich alte default route vorher löschen )

Greetz

 

[spoensche]

Ach ja, FW ins innere Netz ist aus.

Schalte die Firewall mal ein, dann klappt es auch mit dem Routing.

http://www.linupedia.org/opensuse/Netzwerk

 

[DarkFireX]

Schalte die Firewall mal ein, dann klappt es auch mit dem Routing.

http://www.linupedia.org/opensuse/Netzwerk

Na, das ist ja vieleicht eine Aussage?!?!? Solche Antworte liebe ich. Und dann noch der doch so sehr informative Link.
Sorry, aber das ist genu die Art von Antworten welche keiner erwarten sollte der hier Hilfe sucht.

Wenn das Routing vorher der FW nicht funzt sollte die FW wohl niemals nicht die Lösung sein bei einer Standard-Installation.
Wie wäre es wenn Du versuchst zu helfen mit den Daten welche Du bekommst und eigenem Wissen?

Greetz

 

[framp]

Schalte die Firewall mal ein, dann klappt es auch mit dem Routing.

Full ACK. Die SuSEFW setzt nicht nur FW Rules sondern enabled auch das Routing zwischen den Netzen. Häufiger Fehler beim Einsatz von SuSEFW auf einem Router bei der Anfangskonfiguration.

 

[spoensche]

Na, das ist ja vieleicht eine Aussage?!?!? Solche Antworte liebe ich. Und dann noch der doch so sehr informative Link.
Sorry, aber das ist genu die Art von Antworten welche keiner erwarten sollte der hier Hilfe sucht.

Die Aussage war nicht wirklich hilfreich, dass weiss ich, aber es waren ja auch schon fas halb zwei morgens.

Wenn das Routing vorher der FW nicht funzt sollte die FW wohl niemals nicht die Lösung sein bei einer Standard-Installation.

Den Satz vergisst du am abesten ganz schnell. Eine Firewall ist auch bei einem Router unverzichtbar,um zum einen ICMP bassierte Protokolangriffe (Source- Quench und Broadcast- Angriffe), weil ohne FW auch jeder ohne weiteres in dein Netzwerk eindringen kann und der Router überhaupt nicht in der Lage wäre seine Arbeit zu machen, weil mit den Filterregeln NAT, Masquerade, Prerouting und Postrouting umgestetzt wird. Die Filterregeln ermöglichen auch das Connectiontracking ( wird auch State genannt) die dafür sorgen das z.B. nicht erwünschter eingehender Verkehr (vom Internet in dein LAN) schon durch den Router verworfen wird und so mit nicht unnötig Bandbreite verschwendet und dein bzw. deine Rechner nicht mehr so leicht von aussen angreifbar sind.

Wie wäre es wenn Du versuchst zu helfen mit den Daten welche Du bekommst und eigenem Wissen?

Die Variablen FW_ROUTE=yes und FW_MASQUERADE=yes hast du richtig gesetzt. Das sind, am Rande bemerkt, Konfigurationsvariablen der Firewall.

Du musst der Firewall aber auch mitteilen, welche Netzwerkschnittstelle in welcher Zone ist. (Die am Internet hängt ist die externe Zone (FW_DEV_EXT), die am LAN hängt ist die interne Zone (FW_DEV_INT)).
Allerdings weiss die Firewall immer noch nicht, an welcher Netzwerkschnittstelle die Maskierung (statt deiner IP ist dann im TCP/IP Header die externe IP des Routers, weil priv. IP' s ohne dies nicht ins Internet können) durchgeführt und welcher IP- Adressbereich maskiert werden soll. Das bringst du der FW durch das setzten der passenden Werte in den Variablen FW_MASQ_DEV und FW_MASQ_NET bei. Forwarding (FW_FORWARD) benötigst du nur, wenn du einen Server hast, der vom Internet aus erreichbar sein soll (Der wäre dann in der DMZ).

Damit der Kernel auch routet, musst du noch mit

echo "1" > /proc/sys/net/ipv4/ip_forward

einschalten. Das kannst du auch mit Yast machen. Ich weiss grad nur net wo, weil zu Fuss per Konsole ist schneller.

Ich spare mir jetzt dir noch die IP- Tables Regelen um die Ohren zu "feuern", weil das tiefergehender ist als die Grundlagen, die ich dir gerade an die Hand gegeben habe.

Beispiel (eth0 hängt am Netz eth1 ist fürs LAN):

iptables -t nat -P PREROUTING ACCEPT

Diese Regel verhindert das Pakete aus der NAT verworfen werden.

PS:
Den Link, den ich dir an die Hand gegeben habe ist informativ, weil direkt nach dem Abschnitt Netzwerkgeräte der Abschnitt Routing kommt, auf verschiedene Routingszenarien eingeht und auch erklärt wie man einen Router einrichtet.
Ein wenig Bereitschafft, sich in etwas neues einzuarbeiten wird im LC erwartet, was nicht zu viel verlangt. An Hilfe und Unterstützung wird es trotzdem nicht mangeln.

 

[framp]

@luwa Poste mal den Output von

cat /etc/sysconfig/SuSEfirewall2 | grep -v "^#" | grep -v "^$"

 

[luwa]

@all
vielen Dank für die Hilfe. Habe vieles gelesen und manches besser verstanden.
Nun kommt der unangenehme Teil.
Schande auf mein Haupt.
Auf der Tonne läuft auch ein DNS (höhö haben wir ja schon einige gemacht). Wenn in den Options das Allow_Query allerdings ins falsche Subnetz zeigt (sch... Tippfehler) bekomme ich keine Namensauflösung zurück, somit kann die Tonne nicht routen.
Ich setzt den thread auf gelöst.

luwa

 

[framp]

... (sch... Tippfehler) ...

Tippfehler sind menschlich und natürlich und kommen deshalb immer wieder regelmäßig vor