Server mit Netzwerk- Problem Wlan -> LAN -> Router

[isolde]

Hallo,

ich habe folgendes Szenario:
Der Router, eine FritzBox 7270, macht die Verbindung zum Internet per DSL (und IP- Telefonie) und ist WLAN- AccessPoint. Die Netzwerk- Konfig der Fritzbox ist statisch, DHCP4 ist ausgeschaltet.
Die Netzwerk- Konfig macht ein Linux- Rechner openSuse 13.1_x64 (außer DHCP6, das muss ich noch einrichten). Der Router funktioniert dabei als DHCP-Relay. Der Linux-Rechner hängt per LAN an der FritzBox im gleichen Netzwerk- Segment. Der Linux- Rechner ist im Netzwerk dabei als Gateway eingestellt (die anderen Clients schicken alles an die Linux- Kiste), der seinerseits wiederum die FritzBox als Gateway nutzt. Linux-Rechner, Router und Clients haben den gleichen Adressbereich.
Die Konfiguration funktioniert.
Nur ich habe den Eindruck dass die WLAN Karte der FritzBox kaputt geht.

Nun hat der LinuxRechner eine WLAN Karte als AccessPunkt (HostAPd). Dieser funktioniert auch, aber ich komme von dem (nun neuen) Netzwerk in einem anderen Adressbereich nicht in das Netz mit dem Router. Im Prinzip habe ich ja so eine Konfiguration, dass das WLAN des Linux-Rechners ein internes Netz ist, der Router hängt am externen Netz und die Verbindung per LAN zw Router und Linux- Rechner ist eine DMZ.

Aber ich bekomme die Routen irgendwie nicht hin.

Was kann ich tun? Und welche Infos braucht Ihr, um Hilfe zu bekommen?

 

[spoensche]

der Router hängt am externen Netz und die Verbindung per LAN zw Router und Linux- Rechner ist eine DMZ.

Da muss ich dich korrigieren. Das Netz zwischen deinem Linux Rechner und der Fritzbox ist keine DMZ. Ich versuchs mal mittels "ASCII-Art" zu erklären.

Ein LAN+DMZ+Router:

Internet -------------Fritzbox ----------------------Linux Router----------------------------- LAN
                                        |
                                        |
                                        |
                        Server 1 (z.B. Webserver)

Fritzbox Netz: 192.168.178.0/24
Fritzbox IP: 192.168.178.1

Linux Router hat entweder 3 Netzwerkkarten oder eth0 hat 2 IP's

eth0: 192.168.178.10 (für die Kommunikation mit der FB)
eth0: 192.168.10.254 (als Gateway für die DMZ)
eth1: 192.168.1.0/24 (LAN 1, kabelgebundenes Netz)
wlan0: 192.168.3.0/24 (WLAN Netz)

DMZ Netz: 192.168.10.0/24
Server 1 IP: 192.168.10.80

Wie du siehst besteht eine DMZ aus einem oder mehreren eigenständigen Netzen, in denen die Server beheimatet sind, die u.a. vom Internet aus erreichbar sind.

Warum das ganze?

Eigentlich ganz einfach. Ein Server stellt Dienste bereit, folglich muss der jeweilige Port in der Firewall geöffnet sein, damit ein Client eine Verbindung zu dem Dienst aufbauen kann. Das würde aber die Sicherheit des LAN's, in denen die Clients beheimatet sind untergraben, weil neue eingehende Verbindungen aus dem Internet in das LAN akzeptiert werden müssen. Ein Client soll aber keine neuen eingehenden Verbindungen akzeptieren, sondern nur bestehende Verbindungen zu einem Host im Internet, die er vorher selbst initiert bzw. aufgebaut hat.

Daher verwendet man dann ein zusätzliches Netz, die DMZ (Entmilitarisierte Zone) ausschließlich für die Server und entkopelt sie aus dem "Hochsicherheitstrakt" der Clients. Daher auch der Name entmilitarisierte Zone.

Was kann ich tun? Und welche Infos braucht Ihr, um Hilfe zu bekommen?

Alsodu hast auf dem Linux Router 2 Netze,das WLAN und das LAN. Die Routen werden beim Start der Schnittstellen autom. in die Routingtabelle des Kernels eingetragen.
Damit Linux auch nur ansatzweise darüber nachdenkt die Pakete zu routen, musst du ihm sagen, dass er ein Router ist.

Das kannst du per Yast->Netzwerk->Routing konfigurieren.ACHTUNG: Als default Gateway musst du die IP der Fritzbox eintragen, weil über die IP führt der Weg nach draussen ins Internet.

Damit nicht jeder überall hin kann, musst du per SuSE-firewall noch folgendes festlegen:

WLAN -> INTERNET -.> erlaubt
LAN -> INTERNET -> erlaubt
WLAN -> LAN -> erlaubt o. verboten
LAN -> WLAN -> erlaubt oder verboten

Das kannst du per Yast->System->Editor für sysconfig... konfigurieren.

 

[isolde]

Danke für die Infos.
Noch ist es keine DMZ, das weiß ich, denn mein Netzwerk sieht so aus

Internet --- Router (192.168.177.254) -+- Server (via LAN, 192.168.177.1)
                                       |
                                     WLAN (des Routers: 192.168.177.10 bis 192.168.177.200) --- Clients per WLAN

Der Router macht kein DHCP4, das macht der Linux- Rechner.

Mit der WLAN- Karte soll das Netz so aussehen:

Internet --- Router (192.168.178.254) --- Server (via LAN, 192.168.177.1)
                                               +- WLAN (im Server, 192.168.179.0/24) --- Clients per WLAN

Das ist nach meinem Verständnis eine DMZ denn der Server hat eine separate Verbindung zum Router, und in diesem Netz hängen dann aber keine Serverdienste.
Die DMZ war nur beispielhaft.

Die Einstellungen im Linux- Rechner sind so dass die LAN-Schnittstelle als Gateway die FritzBox hat.

Mein eigentliches Ziel ist die Verwendung des Linux-Rechners als AccessPoint da das WLAN in der FritzBox "zu bröckeln" scheint. Vielleicht ist das Bröckeln der WLAN- Verbindung des Routers ja auch "subjektiv".

Nur aktuell routet der Rechner, trotz Einstellungen, dass er als Router fungieren soll, nicht wirklich...

server:~ # cat /proc/sys/net/ipv4/ip_forward
1

denn aus dem WLAN über den Server komme ich nicht ins Internet (die WLAN-Clients bekommen den Server als Gateway genannt)

server:~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.177.254 0.0.0.0         UG    0      0        0 enp2s0
loopback        *               255.0.0.0       U     0      0        0 lo
192.168.177.0   *               255.255.255.0   U     0      0        0 enp2s0
192.168.179.0   *               255.255.255.0   U     0      0        0 wlp4s8
239.0.0.0       *               255.0.0.0       U     0      0        0 enp2s0

enp2s0 = LAN
wlp4s8 = WLAN im Server
das Gateway hab ich jetzt von Hand durch die IP-Adresse ersetzt, denn aus welchen Gründen auch immer wurde die IP-Adresse des Routers "zum Namen aufgelöst"

Die Firewall am Server ist aktuell "aus", denn die LAN- Schnittstelle ist aus Sicht des aktuellen Netzwerks "intern".

 

[spoensche]

Die LAN Schnittstelle muss auf extern gesetzt werden und die Firewall muss zwecks IP-Tables Routing Regeln auch eingeschaltet werden, sonst funktioniert es nicht.

 

[isolde]

OK, das verstehe ich.
Dann kann der Server seine "Masquerade" machen.

Hatte es "vor langer Zeit", als der Linux- Rechner noch den eigenen DSL- Zugang hatte (über FritzCard DSL) ja ähnlich, da war das DSL- Gerät das externe und der Rechner hat brav geroutet.

Danke für die Info und die Hilfe