• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSEFirewall2, NAT & routing in beide Richtungen

G

gucky79

Hallo,
ich habe zwei IP-Netze und möchte erreichen das sich Clients aus beiden Netzen verbinden können. Außerdem sollen die Clients aus beiden Netzen über einen Router im ersten Netz ins Internet können

Die Ausgangssituation sieht wie folgt aus:

Netz A: 192.168.1.0/255.255.255.0
Netz B: 192.168.2.0/255.255.255.0

Internet Router: 192.168.1.1/255.255.255.0

Linux Router mit OpenSuSE 10.1 mit 2 Netzwerkkarten:
eth0: 192.168.1.10/255.255.255.0
eth1: 192.168.2.10/255.255.255.0
default gw: 192.168.1.1
Dienste: DNS/DHCP/Samba/NFS/HTTPD

Jetzt ein paar Beispiele wie ich mir das routing im prinzip vorstelle:

Für die Clients aus Netz B ist das default GW 192.168.2.10,
eine Route ins Internet würde also wie folgt aussehen:

192.168.2.42->192.168.2.10->192.168.1.10->192.168.1.1->www

Für die Clients aus Netz A ist das default GW 192.168.1.10,
eine Route ins Internet würde also wie folgt aussehen:

192.168.1.42->192.168.1.10->192.168.1.1->www

Warum die Clients aus Netz A nicht gleich den Internet Router als default GW haben? Ganz einfach, wie sollten sie sonst in das Netz B kommen?

Die erste NAT (Netz B->Netz A) ist ja noch einfach und mit YaST2 schnell eingerichtet, aber wie bekomme ich die zweite NAT (Netz A->Netz B) hin.

In YaST habe ich folgendes eingestellt:
eth0: 192.168.1.10/255.255.255.0 Zone: Extern
eth1: 192.168.2.10/255.255.255.0 Zone: DMZ
default gw: 192.168.1.1
Masq.: aktiviert
Weiterleiten: aktiviert
 
basman

basman

Du brauchst kein NAT von Netz A zu Netz B, und auch nicht umgekehrt. Das Routing funktioniert auch so, weil alle Clients ohnehin den Router mit 192.168.X.10 als Default-GW eingetragen haben.

Was du brauchst ist:
1. IP-Forwarding von einem Netz ins andere und umgekehrt muss in der SuSE-Firewall freigeschaltet werden, jedoch kein NAT. (Wie das genau geht, weiss vielleicht ein SuSE-FW-Kenner...)
2. Der Internet-Router braucht einen Routing Eintrag, wie er Netz B erreichen kann (nämlich via 192.168.1.10).

NAT wird also durchaus vom Internet-Router bewältigt, wodurch die Kisten vor dem Internet geschützt sind.
Innerhalb der beiden LANs ist kein NAT nötig, denn du willst ohnehin, dass sie sich gegenseitig ansprechen können, also macht es keinen Sinn, sie voreinander zu verstecken und zugleich die FW lockern zu müssen, damit sie sich dennoch sehen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben