dietzi1988
Goto Top

Debian als Gateway Probleme

Hallo,

ich möchte meinen Server als Gateway für mein Gast-WLAN einsetzen. Dieses läuft über den AP auf VLAN-ID 999. DHCP-Server ist eingerichtet und vergibt ordentlich die IP's. Allerdings komme ich aus dem Gast-WLAN nicht ins Netz. Folgende Einstellungen sind gesetzt:

/etc/network/interfaces
auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet manual
        post-up iptables-restore < /etc/iptables.up.rules

iface enp2s0f0 inet manual
        post-up iptables-restore < /etc/iptables.up.rules

iface enp2s0f1 inet manual
        post-up iptables-restore < /etc/iptables.up.rules

auto enp3s0f0
iface enp3s0f0 inet manual
        network 192.168.0.0
        post-up iptables-restore < /etc/iptables.up.rules

iface enp3s0f1 inet manual

auto vmbr0
iface vmbr0 inet static
        address  192.168.0.254
        netmask  24
        gateway  192.168.0.1
        broadcast  192.168.0.255
        bridge-ports enp2s0f0 enp2s0f1 enp3s0f0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
        network 192.168.0.0

auto vmbr0.999
iface vmbr0.999 inet static
        address  192.168.254.1
        netmask  24
        broadcast  192.168.254.255
        vlan-id 999
        network 192.168.254.0

iptables macht im POSTROUTING (NAT) ein MASQUERADE wenn -o vmbr0

/etc/dhcp/dhcpd.conf
# home
subnet 192.168.0.0 netmask 255.255.255.0 {
        authoritative;
        option domain-name-servers 192.168.0.254;
        option routers 192.168.0.1;
        range 192.168.0.20 192.168.0.200;
        # flur
        host flur {
                hardware ethernet 68:57:2d:b6:3b:77;
                fixed-address 192.168.0.37;
                }
        }
# vlan999
subnet 192.168.254.0 netmask 255.255.255.0 {
        option domain-name-servers 192.168.0.254;
        option routers 192.168.254.1;
        range 192.168.254.20 192.168.254.100;
        }

ip_forward ist auf 1 gesetzt.

192.168.0.1 ist der Router ins DSL
192.168.0.254 ist mein Server
Auf vmbr0 sind alle benutzten Netzwerk-Eingänge gebridget.

Aus dem VLAN 999 ist ein Ping und Zugriff auf 192.168.254.1 und 192.168.0.254 möglich. Der Rest ist nicht erreichbar.

Hat jemand eine Idee wo der Fehler liegen könnte?

Content-Key: 641913

Url: https://administrator.de/contentid/641913

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: aqui
aqui 17.01.2021 aktualisiert um 13:44:17 Uhr
Goto Top
ich möchte meinen Server als Gateway für mein Gast-WLAN einsetzen.
Die einfachen Grundlagen dazu findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Allerdings komme ich aus dem Gast-WLAN nicht ins Netz.
Welches Netz meinst du ?? Internet ??
Häufiger Grund dafür ist das du sehr wahrscheinlich vergessen hast die statischen Routen in deine lokalen Debian IP Netze hast auf deinem Internet Router einzutragen, kann das sein ?! (Siehe o.a. Tutorial !)
Masquerade ist eigentlich Blödsinn im internen Umfeld und solltest du bessernicht machen, da das immer und immer wieder Probleme mit der NAT Firewall macht. Ein transparentes Routing ist damit nicht möglich.

Großer Security Nachteil ist das der gesamte Traffic des Gastnetzes immer durch dein lokales LAN durchmuss zum Internet. Securitytechnisch in Albtraum da so ohne ein Customizen der Linux Firewall alle deine lokalen Endgeräte den Gästen zu Füßen liegen.
Viel sinnvoller ist die Netzsegmente an einen VLAN fähigen Router zu führen um die Segmente strikt zu trennen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Mitglied: dietzi1988
dietzi1988 17.01.2021 um 13:42:26 Uhr
Goto Top
Ich komme aus dem Netz 192.168.254.0/24 nur auf 192.168.0.254 (Server). Selbst 192.168.0.1 (Router) ist nicht erreichbar.

Meine Routing-Tabelle sieht so aus:
root@server:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 vmbr0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 vmbr0
192.168.254.0   0.0.0.0         255.255.255.0   U     0      0        0 vmbr0.999
Mitglied: aqui
aqui 17.01.2021 aktualisiert um 13:45:57 Uhr
Goto Top
Selbst 192.168.0.1 (Router) ist nicht erreichbar.
Zeigt das dort im Router die statische Route fehlt ! Siehe o.a. Grundlagen Tutorial !
Auch ein tcpdump Trace wäre hilfreich.
Mitglied: em-pie
em-pie 17.01.2021 aktualisiert um 13:52:17 Uhr
Goto Top
Moin,

also hier ist das ja wie im Bilderbuch beschrieben worden:
https://gridscale.io/community/tutorials/tutorial-debian-routergateway-1 ...

Hast du ip-Forwarding auch in der /etc/sysctl.conf aktiviert?

Edit:
ip_forward ist auf 1 gesetzt.
Ja hast du. Hab ich überlesen

Gruß
em-pie
Mitglied: dietzi1988
dietzi1988 17.01.2021 um 13:50:02 Uhr
Goto Top
Im Router kann ich leider keine statischen Routen anlegen. Habe so einen formschönen Vodafone-Kabel-Router. Es muss doch aber möglich sein dem Server zu erklären, dass er alles was auf vmbr0.999 rein kommt NAT'en soll damit ein Internetzugriff möglich ist.
Mitglied: em-pie
em-pie 17.01.2021 um 13:51:13 Uhr
Goto Top
Zitat von @aqui:

Selbst 192.168.0.1 (Router) ist nicht erreichbar.
Zeigt das dort im Router die statische Route fehlt ! Siehe o.a. Grundlagen Tutorial !
Nicht ,wenn er NAT aktiv hat. Dann ist der Anfragende (hier der Gast hinter der Debian-Büchse), wie jeder Netzwerker weiß (:-P, konnte ich mir nicht verkneifen), für den Router ein Teilnehmer im selben Subnetz. Folglich ist eine statische Route nicht erforderlich.
Mitglied: aqui
aqui 17.01.2021 aktualisiert um 14:37:53 Uhr
Goto Top
Im Router kann ich leider keine statischen Routen anlegen. Habe so einen formschönen Vodafone-Kabel-Router.
Oha...ein billiger Schrottrouter als Dreingabe vom Provider. Normal nutzt man sowas niemals freiwillig, aber egal... Dann hast du natürlich ein Problem und musst dann leider zwingend NAT machen, keine Frage. Das bedeutet dann aber auch Routing Einbahnstrasse. Gut, von außen ins Gastnetz will ja auch keiner.

Checke doch dann überhaupt erstmal mit tcpdump oder Wireshark ob die vmbr0.999 Absenderpakete im Router LAN überhaupt geNATet ankommen mit der Absender IP 192.168.0.254 !
Das wäre ja erstmal der erste Step um ganz sicher zu gehen das wenigstens das klappt !

Grundsätzlich muss man sich ja fragen warum du für ein simples Gastnetz unbedingt einen ganzen Debian Server glühen lassen musst. Mit einen kleinen 20_Euro_WLAN_Router kann man das doch viel einfacher und eleganter haben und das sogar noch mit einem schicken Captive Portal für die Gäste. Vom Stromverbrauch mal gar nicht zu reden.
Mitglied: dietzi1988
dietzi1988 17.01.2021 um 15:16:43 Uhr
Goto Top
Der Server läuft sowieso Aufgrund verschiedener Dienste. Habe jetzt pfSense als VM aufgesetzt und siehe da; es funktioniert.....