Linux Router mit ADSL Webzugang
 

bin mir nicht sicher, ob das nicht eher etwas fuer das netzwerk-forum waere aber ich probier's mal hier.

mein ziel: die vor einiger zeit in WCM vorgestellte linux-box, d.h. ich moechte ueber einen linux-rechner ins internet (ADSL von der telekom) und einen hub fuer das intranet, sodass ich von mehreren rechnern aus das web benutzen kann. zusaetzlich soll in weiterer folge samba und eine firewall drauf laufen.

was schon geht: linux-server mit SuSE 7.3 mit zwei eingebauten netzwerkkarten: "eth0" hat die IP 192.168.1.1, "eth1" hat die IP 10.0.0.140. auf dem linux-server laeuft DHCP --> mein erster windows-pc den ich ueber einen hub an "eth0" angeschlossen habe erhaelt automatisch die IP 192.168.1.10. telnet, ftp und der webserver "apache" funktionieren bereits. auch die einwahl ins internet funktioniert bereits vom linux-server aus (manuell per befehl "pptp alcatel" wobei mein modem die IP 10.0.0.138 hat und von mir "alcatel" getauft wurde).

nun das problem: ich schaffe es NICHT, vom windows pc ins web zu kommen. dazu habe ich einiges ueber die datei "/etc/route.conf" gelesen doch ich werde einfach nicht schlau daraus und hab' echt keine idee, was und wie ich da eintragen soll, damit ich von meinem windows pc ueber den hub und den linux-server ins web komme.

hier die ausgabe von "route -n" (kernel routing regeln):

192.168.1.0 0.0.0.0 255.255.255.0 eth0
10.0.0.0 0.0.0.0 255.255.255.0 eth1

wenn ich mich dann manuell mit dem inet verbinde enthaelt die routing tabelle noch eintraege mit der mir zugewiesenen IP adresse. allerdings nuetzt das nix weil trotzdem kann ich ueber den windows pc nicht ins web. leider kann ich jetzt keine genaue tabelle angeben, da ich mein netzwerk schon wieder umgesteckt habe (windows pc direkt am ADSL modem), kann dies aber bei bedarf nachliefern.

uebrigens: IP_DYNIP=yes und IP_FORWARD=yes habe ich gesetzt.

was tun? kann mir jemand erklaeren/sagen/schreiben, was ich in die datei /etc/route.conf eingragen soll, sodass das routing funktioniert?

Nabend

Die route.conf kannst du vergessen..
Du mußt eine Firewall in betrieb nehmen die NAT/Masq kann/macht.
Danach können die anderen erst über den Server in das Inet.

Entweder du machst das Ganze mit IPchains oder IPTables.
http://www.linuxguruz.org/iptables/

Für eine schnelle Lösung bietet sich auch die Personalfirewall an.
/etc/rc.config.d/security.rc.config öffnen
Danach folgenden Eintrag vornehmen:
REJECT_ALL_INCOMING_CONNECTIONS="ppp0 masq"
Eine runde Sache :)

Danach nur mehr bei den Clienten unter Gatway die IP vom Server eintragen.

Sloter

Ich hatte exakt selbiges Problem, trotz meiner damaligen Anfrage hier im Forum war es (obowhl sehr viele Hinweise und Tipps kamen) für mich nicht lösbar.
Ich habe schließlich die zweite Netzwerkkarte rausgeschmissen. Sicherheitsprobleme sehe ich dadurch keine, da der ADSL-Traffic ja sowieso nicht über das eth0-device sondern eben über ppp0 läuft (real natürlich über die NIC, aber durch die Firewall kommt er trotzdem nicht durch). Trafficvolumina lassen sich auch über eine Abfrage des ppp0 ermitteln, eine zweite NIC ist dafür nicht notwendig.

Die Performance ist völlig unproblematisch, ich fahre 10 Mbit/s vom ADSL-Router auf den Switch, von dort weiter mit 100 Mbit/s zur Linuxbox. Selbst bei voller Bandbreite kratzt das halbe Mbit/s in beide Richtungen das Netzwerk überhaupt nicht.

Einziger Nachteil: Wenn Du nicht die IP-Adresse des ADSL-Routers ändern willst, bist Du an den 10.0.0.x-Adressraum gebunden.

So habe ich es zu Hause auch laufen.
Eine Netzwerkkarte, da alles über ppp0 läuft.

Peter, hast du nicht bei den zwei Nics nur 10.0 verwendet?

Sloter

zunaechst mal danke fuer die tipps.

ich werde mal versuchen, die firewall hinzukriegen. eigentlich dachte ich mir, dass das mit der routing-tabelle allein schon funktionieren sollte denn die firewall sollte ja nur den bereits richtig gerouteten verkehr checken, oder? wie auch immer: eine firewall soll ja auch drauf auf den hobel also werd' ich das mal in angriff nehmen.

das mit den zwei netzwerkkarten will ich vorerst nicht aendern. hat jetzt nix mit security zu tun aber das war im prinzip mal der erste ansatz und fuer mich ist das logisch schluessig und daher moechte ich es so probieren.

die aussage von sloter ("vergiss die route.conf!") stimmt mich aber bedenklich. die literatur die ich gelesen habe (hauptsaechlich: www.linuxbu.ch aber auch noch einiges andere) spricht davon, dass das ganze sehr einfach ist. allerdings kapier' ich einfach nicht, was die da so schreiben. daher mein ansatz hier diese frage zu stellen.

Bin auch grad dabei so was in der art einzurichten.

Und Da ich mich nicht so gut auskenne halte ich mich an die anleitung auf: http://howto.htlw16.ac.at/

Viel spaß noch!!!

Um NAT zu aktivieren, gib folgendes ein: :hehe:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

@Sloter: Ich habe beim Herumprobieren beides ausprobiert: 2 mal 10.0.0.x und auch 1 mal 10.0.0.x und 1 mal 168.0.0.x. Hat beides nicht gefunzt, bis ich es dann schließlich aufgegeben habe.

Nachtrag: Ich verwende iptables, konfiguriert mit der SuSEfirewall2, hat auf Anhieb geklappt. Puristen werden wohl lieber selber ein Script basteln, aber für mich klappt es soweit problemlos (inklusive Samba, Apache und einigen Kleinigkeiten).

Peter

@schlitzer

Natürlich stimmt die Aussage oder stehen die mehrere Router in das Netz zur Verfügung?
Oder hast du Peeringverträge mit mit mehrere Carrier?

Ich denke nein, du hast "eine" Leitung in das Inet.

Sloter

Hallo Forum!

Ich möchte an dieser Stelle auf fli4l http://www.fli4l.de hinweisen. Da is praktisch alles drin was man braucht und nebenbei is es einfach erweiterbar. Bei mir läuft das super!

Vielleicht einmal einen Blick drauf werfen und die Grundideen übernehmen oder gleich das Paket verwenden.

Fritzerl

http://www.smoothwall.org

auch zu empfehlen

@sloter: in der tat habe ich nur eine leitung ins inet, naemlich jene ueber mein ADSL modem von der telekom. ich hab' an deiner aussage eigentlich nicht wirklich gezweifelt, allerdings war ich verwundert, denn ueberall wird davon geschrieben wie einfach das alles mit der route.conf ist aber mir will's einfach nicht gelingen!!!

@fritzerl: fli4l habe ich mir schon runtergeladen. das werde ich auf jeden fall mal ausprobieren schon alleine deswegen, weil diese firewall-routing-linux-server-kombi auf einer disketter daherkommt und auf einem 486er rennt. ich sag' nur: keine festplatten mehr und ein passiver luefter und fertig ist der LEISE router!!!! vorerst moechte ich mich aber weiter an der "grossen" router-loesung versuchen....

Die route.conf macht nur für die eigene maschine sinn.
Routen tut der Kernel und dem mußt du es beibringen.
Dann ist da noch das Problem mit den "privaten" IP`S, deshalb auch die
Firewall damit das NAT/MASQ wer macht.

Sloter

1es is klar, am W x Rechner musst schon die IP des Linux als Gateway eingeben!Zusätzlich wäre nicht schlecht, den Linux als Proxy am Wx Rechner zu deklarieren: Im IE über Extras > Internetoptionen > Verbindungen > Erweitert: Einstellungen fürs Lan! proxy= IP von Linux; port auf 8080, dann am Linux den Port weiterrouten!
mfg

gut. hab' mich wieder ein wenig herumgespielt.

ergebnis: NJET! schoen langsam wird's fad.

trotz der dementi von sloter bin ich mittlerweile der meinung, dass am nichtfunktionieren sehr wohl die route.conf schuld ist. ich hab' mich mit dieser datei ein wenig herumgespielt (natuerlich OHNE dokumentation! grummel!) mit dem ergebnis, dass ich zumindest schon mal von windows ueber den linux-server die seite www.orf.at (dient hier nur als beispiel) pingen konnte. der browser opera jedoch zeigte mir KEINE seite aus dem internet an, ebensowenig wie der iexplorer.

nach hin-und-her probieren mit der route.conf funktionierte dann das pingen von windows aus auch nicht mehr. dann wieder doch, dann wieder nicht. am ende funktionierte - trotz aufrechter internet-verbindung - der ping auch nicht mehr vom linux-server aus.

kennt sich denn hier wirklich niemand aus, wie man diese deppate route.conf in den griff kriegt??? zumindest die wcm'ler selbst muessten doch eigentlich wissen, wie das geht, nachdem sie ja so einen server auch schon erfolgreich aufgesetzt haben.

@schlitzer

Schade das du mir nicht glaubst :(

Bei den letzten 20 Maschinen hat das einwandfrei funktioniert, und ja die WCM-Box war meine Idee und der Konfigartikel (andere natürlich auch) ist von mir.

Aber probiere ruhig mit der route.conf herum......

Sloter

@sloter: naja, ich glaub' dir ja. aber meine herum-probiererei laesst mich auf diese route.conf schliessen. denn wenn ich dort eintraege loesche oder hinzufuege kann ich ploetzlich ueber den linux-server von der windows-maschine aus den orf per ping erreichen, oder eben wieder nicht. daher meine vermutung in richtung route.conf.

jedenfalls weiss ich nicht, was ich da noch nicht gemacht habe, dass es geht. speziell deine aussage bezueglich der letzten 20 maschinen macht micht stutzig. ich bin im prinzip genau nach anleitung unter www.linuxbu.ch vorgegangen. und alles hat einwandfrei funktioniert nur eben dann nicht das routing/firewalling.

also nochmals meine settings:

windows: linux-server 192.168.1.1 als gateway eingetragen, dns-server von aon 195.3.96.67 und 195.3.96.68! keine ip-adresse eingetragen, da ich auf dem linux-server DHCP installiert habe.

linux-server: lassen wir mal die route.conf ausser acht.

das habe ich eingeben um IP-Forwarding zu aktivieren:

echo "1">/proc/sys/net/ipv4/ip_forward (wie auch von flanders hier bereits empfohlen!)

fuer's masquerading habe ich das eingegeben:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


laut aussage des linuxbuches von obiger adresse muessten nun alle rechner im netz fast uneingeschraenkten internet-zugriff haben. nur bei diensten wie z.b. FTP haperts aber das waere mir zunaechsts mal wurscht. auch firewalling habe ich zunaechst noch nicht beruecksichtigt denn ich moechte jetzt mal ins inet egal ob das jetzt sicher ist oder nicht.

was habe ich uebersehen?

vielleicht haue ich aber auch einfach den hut drauf und probier das mit der personal firewall. das geht mir aber wieder gewaltig gegen den strich denn dann weiss ich erst recht wieder nicht, was das ding jetzt genau tut......

jetzt habe ich die route.conf geloescht!

"route -n" ohne internet-connection liefert

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

"route -n" MIT internet-connection liefert

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.18.95.54 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 172.18.95.54 0.0.0.0 UG 0 0 0 ppp0

und mit DIESER einstellung ist nun ein ping moeglich zum orf oder zu irgend einem anderen server ueber den client!!!!

passt! so: was jetzt???? wie geht's nun weiter?


edit: sorry, jetzt wird's aber schoen langsam peinlich. ping funktioniert NICHT ueber den client zum orf. hab' mich leider im fenster geirrt. frage: was tun, damit ich da drueber komme?

Ich weiß nicht wo du überall gefuhrwerkt hast, aber vielleicht hilft das weiter. Wenn nicht würde ich neu aufsetzen empfehlen, sonst suchen wir bis zum St.Nimmerleinstag den Fehler.

1, Bearbeite die /etc/rc.config
IP_Forward auf "yes" stellen.

2, SuSEconfig starten /danach einmal booten

3,Runterladen
http://www.onlinetravel.at/firewall2
oder du verwendest gleich die eine Zeile für die Personal Firewall.

4, eine Datei in /root/bin/ erstellen, zB firewall ( vi firewall)
5, Script reinkopieren
6, Datei ausführbar machen chmod 755

Das war es eigentlich schon.
Einwählen danach "firewall start" in der Shell eigeben.

Verwende eine Netzwerkkarte und binde darauf 10.0.0.1 dann kannst du gleich 1 zu 1 das Script übernehmen.

Clienten:
TCP/IP-Eigenschaften:
IP: 10.0.0.x (x= aufsteigend)
Subnetmask: 255.255.255.0
Gateway: 10.0.0.1
DNS: Die vom Zugangsprovider.

Das währe eigentlich alles :)

Sloter

Ps: Bring die route.conf wieder in den Originalzustand :D

sloter,

danke nochmals fuer deine bemuehungen. ich werde baldigst, also in etwa morgen abend oder montag dazukommen, deiner anleitung zu folgen. ich hoffe, dann schaffe ich es!!!

zu meiner maschine: da is' nur suse linux 7.3 in der absoluten basis-installation drauf. zusaetzlich habe ich nur mehr dhcp, iptables und apache installiert, halt das was im linuxbuch beschrieben war.

schoenen tag noch!

ciao,
schlitzer

Hy

Genau richtig, du wirst sehen in 10 Minuten kann deine Box routen und Firewall spielen :)
Nimm noch vielleicht Squid dazu, als Proxysoftware für den Browser.

Sloter