Routing funktioniert nur in eine Richtung :-(

Hallo.

Ich versuche mal mein Problem ganz kurz zu beschreiben:

Hardwarerouter: 192.168.0.1 (255.255.255.0)
Linux Server EHT1: 192.168.0.2 (255.255.255.0) [MOD EDIT: Schreibfehler korrigiert, siehe weiter unten]
Linux Server EHT0: 10.10.0.1 (255.255.0.0)
Client 1 bis X: 10.10.0.X (255.255.0.0)

Das Problem: Die Clients selber können problemlos auf das komplette 10.10.0.0 Netzwerk sowie auch auf dem Hardwarerouter und andere Computer die im 192.168.0.0 netzwerk sind zugreifen. andersrum geht es jedoch nicht. also ich komme von pc 192.168.0.3 nicht auf 10.10.0.20.

Auf dem Linuxserver wird mit IPTables folgendes maskiert: 10.0.0.0/8

Wie kann ich das einstellen, so das ich auch von dem 192er Netzwerk auf das 10er Netzwerk zugreifen kann?
 

framp

Moderator
Teammitglied
Fuer mich liest sich das als wenn Du Zugriff aus dem Internet auf Deine Internen Rechner zulassen moechtest.
Auf dem Linuxserver wird mit IPTables folgendes maskiert: 10.0.0.0/8
Sagt mir absolut nix. Wo hast Du was definiert (/etc/sysconfi/SuSEFirewall2 ?)
 
mal unabhängig davon ob es sinnvoll ist, aber

Code:
iptables -t nat -A POSTROUTING -j MASQUERADE

sollte doch dafür Sorgen, dass wirklich ALLES in jede Richtung geroutet wird

Bei Bedarf sollte man dies natürlich noch einschränken, um zb dem 10er-Netz den Zugang zum Internet zu verwehren.
 
Als Erstes muss ich ein kleiner Schreibfehler (mit grosse Bedeutung) in mein erstposting ausräumen: Die ETH1 al Linux Server ist 192.168.0.2 und nicht 192.168.0.3
Ein anderer Rechner hat die IP 192.168.0.3 und z.B. von dem aus habe ich eben kein Zugriff auf das 10er Netzwerk.

Das 10er Netzwerk bekommt durch das Masquerade zugriff auf das Internet.
Ich kann über das Internet ein VPN Tunnel aufbauen (der Tunnel wird direkt auf dem Router erstellt) und habe über diesen Tunnel vollen zugriff auf das 192er Netz, komme aber nicht auf das 10er Netzwerk.

@loskornosdelsol: Was genau ist nicht wirklich Sinnvoll bei dieser Regel?
 

Martin Breidenbach

Ultimate Guru
loskornosdelsol schrieb:
mal unabhängig davon ob es sinnvoll ist, aber

Code:
iptables -t nat -A POSTROUTING -j MASQUERADE

sollte doch dafür Sorgen, dass wirklich ALLES in jede Richtung geroutet wird

Nö.

Das sorgt dafür daß da maskiert wird. Das beeinflußt gegebenenfalls wie geroutet wird aber Routing wird erstmal unabhängig davon konfiguriert.
 

Martin Breidenbach

Ultimate Guru
Dark Angel gEb schrieb:
Das 10er Netzwerk bekommt durch das Masquerade zugriff auf das Internet.
Ich kann über das Internet ein VPN Tunnel aufbauen (der Tunnel wird direkt auf dem Router erstellt) und habe über diesen Tunnel vollen zugriff auf das 192er Netz, komme aber nicht auf das 10er Netzwerk.

Ja sicher. Das hast Du mit dem Masquerading ja gerade verhindert.

Kannst Du bei Deinem Router keine statische Route für 10.x.x.x eintragen ? Dann könntest Du auf das Masquerading verzichten.
 
Bei dem Router handelt es sich um den Linksys RV042. Ich habe so eben mit dem Linksys Support telefoniert und habe folgendes erfahren:
Static Routing funktioniert NUR wenn ich den RV042 in Router Modus stelle. Problem bei der Sache ist, dass dann ein anderes Gerät die Internetverbindung aufbauen muss. Wenn der RV042 das tun soll, dann muss er in Gateway Modus eingestellt werden (jetziger Stand). Dann gibt es auch Internet von Ihm, ABER eben KEIN Static Routing.

Als ich damals den RV042 eingebaut habe blieb mir leider nichts anders übrig, ausser die Maskierung einzutragen, da sonst das 10er Netz kein Zugriff aufs Internet bekamm. Vor dem Linksys hate ich einen Netgear FVS318, der NAT hat und dem zu folge auch ein richtiges Static Routing auf der Reihe gebracht hat.
 
Oben