Hallo,

vorweg:
ich habe schon im Forum rumgesucht aber nichts genaues gefunden, da es meistens um nen Internetzugang ging...

mein Problem:
habe hier 2 verschieden Netzwerke laufen (also IP Bereiche) und ich möchte die mit Suse 8.2 per NAT verbinden. Habe mir gerade nen kleinen Rechner mit zwei Netzwerkkarten zusammen geschraubt und komme irgendwie nicht weiter.:confused:
Gibt es irgendwo ne Anleitung oder sowas, wie ich sowas genau über IPTables einrichten kann, oder kann mir einer so schnell bitte helfen?
Also das eine Netz ist 192.168.0.x; 255.255.255.0 und dass andere 217.x.x.x 255.255.255.224.
Ich möchte das halt so einrichten, dass ich von beiden "Seiten" auf die Computer zugreifen kann, wobei im 217.x.x.x bereich die Server stehn und der 192.168.0.x bereich für W-LAN reserviert wird.

danke für eure Hilfe

Gruss
Gold Digger

PS: bin Linux Neuling:rolleyes:

Wenn du "uneingeschränkten bidirektionalen Zugriff" zwischen beiden Netzen haben willst, dann ist NAT bzw. Masquerarding eine recht schlechte Lösung.

Was spricht gegen "normales" Routing?

danke für deine Antwort.
der 217.x.x.x bereich ist ein zugewiesener Bereich mit 20 IP adressen und die sind halt alle belegt und nicht änder/erweiterbar. Um das Netz zu erweitern muss also nen NAT her, damit das Netz, dass nicht "mitbekommt".
Da ich keine festen Leitungen mehr im Haus habe, muss halt auch W-LAN her. habe jetzt hier halt 3 Arbeitsplätze mit W-LAN Karten drin, und die haben halt keine IP Adresse.
Daher der ganze Aufwand

Gruss
GoldDigger

Hab mirs jetzt 5x durchgelesen und versteh noch immer nicht, warum Du dafür NAT brauchst?
Du musst doch nur die Routen setzen und die Sache hat sich.
Netz192.168.0.0 --- Router -- Netz 217

Was anderes wäre es, wenn Du mit dem 192.168.0.0 hinter das Netz 217 willst - Dann musst Du das Netz über eine der IPs natten. (Ich vermute einmal, dass es bei Dir in diese Richtung geht)

Dann ist das aber ganz normales Maskerading, wie 100x beschrieben.

Dh. Du gibst Deinem Router eine IP aus dem 217 Netz - das musst ja sowiese, sonst geht das Routing nicht und über diese IP setzt Du dann NAT. Den 217 Rechnern musst Du aber ebenfalls die Route nach 192.168.0.0 über den Router eintragen, sonst schicken die das über ihren default gateway.

Was iptables betrifft, schau immer da nach:
http://www.pl-forum.de/t_netzwerk/iptables.html

hmm,

also folgendes:
Firmennetzwerk mit festen IP-Bereich und Standleitungen über zwei Router Bereich 217.x.x.x. Internet / Intranet und Programme laufen über einen Windoof- und einem Linux Server. komme aber nicht an die Kisten ran, läuft über externe Firma und ist tabu...

haben jetzt halt zu viele Clients und keine IP Adressen mehr...

daher jetzt meine Idee: nen alten Rechner mit zwei NCs ans Netz anzuschliessen und das Netz mit nem privaten Adressbereich erweitern...
ich muss halt aus dem neuen Netz auf alles zugreifen können. Umgedreht halt auch, sprich vom altem Netz ins neue Netz.
vielleicht ist es jetzt verständlicher:)

Soweit ich das kapiert habe, wird das nur eingeschränkt möglich sein. In dem Moment, wo Du NAT betreibst (also mehrere Rechner mit einer IP betreibst), brauchst Du ein zweites Unterscheidungskriterium, um routen zu können. Bei Anfragen nach 192.168.0.0 ist das normalerweise der Port. Bei Anfragen die aus dem 192.168.0.0 Netz kommen, managet das iptables automatisch.

Ich nimm an, dass die beiden Server, an die du nicht rankommst, das Problem sind.

Du sagst dem Linuxrouter, dass alle Anfrage an die Server maskiert werden.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d IPdesServers -j SNAT --to-source IPdesSUSERouters

Umgekehrt geht das aber nur über Ports :( -- aber ein Server greift ja in diesem Sinne nicht auf einen Clientrechner zu?

Die anderen Rechner des Firmennetzwerkes kannst ja einrichten? Denen gibst Du die Route nach 192.168.0.0 über den SuSE-Router ein.

- Hoffe, jetzt sind wir der Sache zumindest nähergekommen.

ah, i glaub das müßt genau gleich gehen wie bei nem normalen Internetzugang .... hast es so schon probiert ?

# Routing
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null

# Masquerading
iptables -t nat -A POSTROUTING -o ???eth1??? -j MASQUERADE

@klemens hmm, du hast recht. ich kann wohl nur vom neuen ins alte netz gehn.
Die Computer im alten Netz haben ja auch schon nen anderen Standartgateway, oder ich muss alle Clients ändern, dann kann ich wenigstens im neuen Netz von client zu client zugreifen.
so wie ich mir das vorstellen geht das wohl nicht. werde mal Morgen in die Firma fahren und mal vorort ausprobieren...

Gruss

GoldDigger

Der Standardgateway braucht Dich nicht stören. Der wird ja erst dann aktiv, wenn keine andere Route greift. Auf jeden Rechner, wo Du eine Route eintragen kannt, gehts auch vom alten ins neue Netz

Original geschrieben von klemens

Du sagst dem Linuxrouter, dass alle Anfrage an die Server maskiert werden.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d IPdesServers -j SNAT --to-source IPdesSUSERouters

Umgekehrt geht das aber nur über Ports :( -- aber ein Server greift ja in diesem Sinne nicht auf einen Clientrechner zu?

Die anderen Rechner des Firmennetzwerkes kannst ja einrichten? Denen gibst Du die Route nach 192.168.0.0 über den SuSE-Router ein.
[/B]
d.h. ich ändere alle anderen Rechner um, sprich ne 192. IP und gebe als Standardgateway dann die Linuxrouter IP an?

genau, alle Rechner sowohl Clients und Server bekommen eine IP aus dem Privaten Addressbereich z.B. 192.168.0.0/24

Dann nimmst einen Rechner als Router oder nen Hardwarerouter der auf der WAN-Seite eine 217er IP hat und auf der LAN-Seite z.B. die 192.168.0.1
Dieser Soft- bzw. HardareRouter macht dann dann auch das Masquerading.

Original geschrieben von Gold Digger
d.h. ich ändere alle anderen Rechner um, sprich ne 192. IP und gebe als Standardgateway dann die Linuxrouter IP an?

Denk auch, dass das für Deine Situation das Vernünftigste ist.

Gemeint hätte ich, dass Du den 127-Rechnern die Route über den Linuxrechner setzt - unter Windows sollte das so/ähnlich ausschauen:

route add 192.168.0.0 MASK 255.255.255. GATEWAY 172(IPvomLinuxrouter)

Linux:
route add -net 192.168.0.0/24 gw 172(IPvomLinuxrouter)

Hallo,

habe gerade mal alles angeschlossen...ins Internet komme ich, nur ein Problem habe ich noch: wie komme ich in die Windows Domäne? ich kann alle Rechner an pingen...

GRuss

Gold Digger

Hallo! Wer, was, wie, wo, warum und überhaupt willst Du in eine Windowsdomäne? Bisher war nur von einem Linuxrouter und Netzen und diese beiden Server die Rede.

Wenns darum geht mit einem Linuxclient Windowsfreigaben zu nutzen ist das Stichwort samba in google und/oder der Suchfunktion zuständig.

hi,
1. NAT geht auch zwischen zwei netzen und das dann auch interaktiv. sprich zugriff von einem zum anderen netz!!!!
das bedeutet aber, das jeder rechner, der serverdienste anbietet mit einer NAT-zeile in der fw eingetragen werden muss!!
sollen rechner aus netz-A auf dienste des netz-B zugreiffen, so müssen die auch eingetragen werden
2. ein NAT zwischen zwei netzen macht nur sinn, wenn man zweimal das gleiche netz hat (zb. bei einer firmen-fusion) und beide netze untereinander daten austauschen sollen.
3. in deinem fall als macht nat keinen sinn.

ergebniss:
benutz ein server der zwischen den netzen routet. das wird einfacher und macht mehr sinn.

cu

@echo: Und wie soll das dann gehen, wenn bspw. jeder Rechner in beiden Netzen irgendwelche Freigaben z.B. Verzeichnisse od. Drucker hat und somit Serverdienste anbietet? Ich kann die Netbios Ports doch immer nur auf einen Rechner mappen!

IMHO wird NAT hier schon gebraucht, weil nicht genügend 217er Addressen zur Verfügung stehen.

nein, NAT wird aus meiner sicht nicht gebraucht. den jeder server hat doch schon ne eindeutige ip?!

NAT für 2 netzwerke wird nur benutzt wenn man zwei firmen hat, die das gleiche netz haben
bsp.
frima A benutz intern 192.168.1.x ein und firma B benutzt ebenfalls 192.168.1.x. nun fusioniren beide firmen. wie können nun beide lans miteinander verknüpft werden???
entweder eine firma muss ihre private adresse aufgeben und sich dem system der anderen anschliessen, dies bedeutet eine downtime für den verbraucher. man sollte also dieses auf langesicht jedoch umbeding machen, da alles andere ne krücke ist! zur schnellen realisierung kann man NAT benutzen. das bedeutet das firma A und B neue ip-addressen benötigt die zwischen den alten und den neun übersetzt.

firma A hat am 192.168.1.3 einen samba-server jedoch firma B hat dort einen ftp-server. nun wollen beide firmen auf den anderen rechner druff. also nat mit einer virtuellen ip für beide rechner und firmen:
firma A erreicht den ftp-server (von firma B) dann über z.b 192.168.2.3 und firma B erreicht den samba-server (von firma A) unter 192.168.2.3.
wie man das unter linux realisiert weiss ich nciht genau, hab mich mit der fw nicht sonderlich auseinandergesetzt. diese möglichkeit gibs aber!! checkpoint kanns ja auch ;)

cya

Also irgenwie habe ich das Gefühl, dass hier alle etwas aneinander vorbeireden. Die Ursache liegt imho in der eigentlichen Problemstellung, die nicht präzise genug ist, bzw. ich für meinen Teil habe das Problem irngendwie noch nicht wirklich ganz verstanden:(

nabend,
ich glaub eher, der nette herr (oder auch die nette dame) weiss nicht genau wozu man NAT benutzt. den ansonsten würde er/sie nicht NAT nehmen sondern zwischen den netzen routen. alles andere macht keinen sinn.
auch im zweiten posting weiss er/sie nicht so genau wozu NAT gut ist. siehe kein platz mehr im netz und mit NAT erweitern?!?!

naja, scheint aber die person nun nicht mehr zu intressieren :-/

cu

Original geschrieben von klemens
Hallo! Wer, was, wie, wo, warum und überhaupt willst Du in eine Windowsdomäne? Bisher war nur von einem Linuxrouter und Netzen und diese beiden Server die Rede.


Wenns darum geht mit einem Linuxclient Windowsfreigaben zu nutzen ist das Stichwort samba in google und/oder der Suchfunktion zuständig.

das ist mir schon klar! die rechner im privatem Netz 192. sind aber Windoof Clients und die müssen mit dem einem Windows-Server (Domänecontroller) 217.x.x.195 im alten Netz kommunizieren -->
Windows Client 192.168.0.22 --> 192.168.0.1 Linux NAT 217.x.x.219 --> Windows Server 217.x.x.195

@echo
der 217.x.x.x Bereich den wir hier zur Verfügung haben ist festvorgeben und kann nicht geändert werden! Er umfasst 30 IP Adressen. Er kann nicht erweiter werden. daher muss nee andere Lösung her! sprich nen NAT, so hat man dass mir zumindestens in der IT Abteilung in Schweden (Hauptsitz) gesagt.

habe mir halt jetzt hier nen alten PC hingestellt und habe wie TEMP weiter oben vorgeschlagen hat:
# Routing
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
# Masquerading
iptables -t nat -A POSTROUTING -o ???eth1??? -j MASQUERADE
eingetragen. wie gesagt ins Inter-/Intranet komme ich und ich kann alle Rechner anpingen nur kann ich nicht auf irgendwelche Freigaben in der Windoof Domäne zugreifen.

Gruss

Gold Digger

Original geschrieben von echo
nabend,
ich glaub eher, der nette herr (oder auch die nette dame) weiss nicht genau wozu man NAT benutzt. den ansonsten würde er/sie nicht NAT nehmen sondern zwischen den netzen routen. alles andere macht keinen sinn.
auch im zweiten posting weiss er/sie nicht so genau wozu NAT gut ist. siehe kein platz mehr im netz und mit NAT erweitern?!?!

naja, scheint aber die person nun nicht mehr zu intressieren :-/

cu

Es intressiert mich sehr wohl !!
bin gerade erst nach Hause gekommen und konnte nicht eher hier nachgucken.
Wohne in Hannover, studiere in Braunschweig und die Arbeit läuft nebenbei...
Vielleich kannst du ja mal bitte sagen, wie du denn dann nen Router einrichten würdest?


Gruss

Gold Digger

Ps: bin männlich...

Dein Problem ist wirklich nicht leicht vorstellbar.

ok, Du kommst jetzt von einem Netz ins andere (ping), aber das mit der Windowsfreigabe funkt nicht.
Vom Linuxrouter her sehe ich da kein Problem mit den Befehlen von TEMP. Da wird alles maskiert - auch die Windowsanfragen. Per IP solltest auch auf die Windowsfreigaben kommen. Ob die Rechner in der Netzwerkumgebung von alleine auftauchen, glaub ich nicht - da kenn ich mich aber auch zuwenig aus ..

Als erstes würd ich einmal schauen, ob der Linuxrouter auf die Windowsfreigabe zugreifen kann mittels smbclient. Wenn das geht, dann kanns meiner Meinung nach nur an den Windowsrechnern liegen.

Wie man sowas ansonsten löst, haben wir eigentlich schon öfters gesagt: Einfach mit Routen.

Masquerading fürs Internet und für die zwei Rechner, wo Du keinen Zugriff hast.
Und selbst bei diesen beiden Rechnern würd ich darauf bestehen, dass verflixt noch mal die Retourroute ins 192.168.0.0-Netz eingetragen wird und einer eventuellen Firewall davon auch bescheid gesagt wird. - aber gut - ist von weit fern leicht zu fordern ...

Original geschrieben von Gold Digger

@echo
der 217.x.x.x Bereich den wir hier zur Verfügung haben ist festvorgeben und kann nicht geändert werden! Er umfasst 30 IP Adressen. Er kann nicht erweiter werden. daher muss nee andere Lösung her! sprich nen NAT, so hat man dass mir zumindestens in der IT Abteilung in Schweden (Hauptsitz) gesagt.
Gold Digger

hm, also ich versteh einfach nicht warum man für sowas NAT brauch??? warum soll man andressen verstecken???? wieso sollte ein routing nicht gehen??????


Original geschrieben von Gold Digger

Vielleich kannst du ja mal bitte sagen, wie du denn dann nen Router einrichten würdest?


tja, was soll ich dir jetze sagen? der default-router bekommt ne neue route und zeigt dann auf das andere netz.

sorry ich weiss einfach nicht warum nat?! nat dient nicht zur erweiterung von netzen, sondern um rechner/netze hinter anderen ips zu verstecken.
sollt ich mir hier irren, bitte ich mal um aufkärung :)


cya

hallo echo,

danke für die antwort, der Router ist wohl die richtige Lösung. Ich bin halt nur auf nen NAT gekommen, weil dass mir die Firmenzentrale so vorgeschlagen hat. Die haben wohl keine Ahnung.
Sonst mit dem NAT hat du soweit recht. Ein NAT "verschleiert " die IP, sprich ändert IP Header usw. (soweit ich das weiss).
Werde aber erst am Freitag wieder in die Firma fahren können, da ich im Momment so viel in der Uni zu tun habe.
und dann mal mit Route ausprobieren. werde dann mal meine Ehrfahrungen hier posten.
Danke erstmal allen für Ihre Hilfe.

Gruss

Gold Digger