Hallo,

Ich habe hier ein Internes Netzwerk mit 2 Segmenten.. 192.168.1 und 192.168.2 .. Die ip 192.168.1.3 (eth0) bzw 192.168.2.1 (eth1) besitzt ein Rechner, der die Funktion eines Gateways zwischen den Segmenten übernehmen soll.
Dies soll allerdings ohne Masquerading funktionieren, da sonst die Zugriffe in das andere Segment alle die IP des Gateways haben, was nicht grade sinvoll ist.
Leider schaffe ich es nur über diesen Gateway zu connecten, wenn ich in der SuSEfirewall2 das Masquerading aktiviere.

Es muss doch sicherlich noch eine andere möglichkeit geben, ohne das die IPs verfälscht werden.
Danke schonmal für die hoffentlich folgenden Antworten ;)
MfG

SuSE? Dann:
editiere "/etc/sysconfig/sysctl" : IP_FORWARD="yes"
"und /etc/sysconfig/network/routes"
"SuSEconfig"

Hi!

Das was Du haben möchtest würde ich als Bridge bezeichnen, das kannst Du normalerweise einfach
dadurch erreichen, das du das IP-Forwarding aktivierst:

echo 1 > /proc/sys/net/ipv4/ip_forward

Die Firewall kannst Du Dir in diesem Falle komplett schenken, verursacht nur Probleme und die brauchst du ja
auch erstmal nicht.

Also, Firewall habe ich mal deaktiviert.

cat /proc/sys/net/ipv4/ip_forward
1

cat /etc/sysconfig/network/routes
default 192.168.1.1 - -

(192.168.1.1 ist der nächste GW, welcher ins Inet führt)


Test: (vom 192.168.2.12 welcher als Gateway die Eintragung 192.168.2.1 hat, also der rechner welcher als "Bridge" agieren soll)

ping 192.168.1.2 (ein beliebiger Rechner im anderem Segment)

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
----
Es funktioniert also (noch) nicht. Woran könnte es noch liegen? Falls ihr die Inhalte irgendwelcher Config-Files braucht, um dem Problem auf die Schliche zu kommen, sagt bescheid.
MfG

denn das Routing auf dem Gateway aus ?
Kannst du das Gateway pingen ?

T;o)Mes

P.S.: Mit Firewall, einfach nur forwarden zwischen den Netzen:
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

und nach "draussen" dann MASQ:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Also ich kann vom Client ( 192.168.2.12 ) das Gateway/Bridge (wie auch immer man das nennen möchte) Pingen, und ich kann vom Gateway aus auch in das 192.168.1er Segment Pingen.
Nur die Verbindung vom Client über den/das Gateway funktioniert nicht so recht. (aus welchem Grund auch immer)

Gateway die richtigen Routen gesetz ?
Was sagt # route auf dem Gateway ?

T;o)Mes

route sagt:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
default rout-in.ligno.c 0.0.0.0 UG 0 0 0 eth0


der rout-in.ligno.com is der Gateway ins INet
mit den von dir geposteten Iptables Reglen, angepasst auf meine Interfaces, hab ich es auch nicht geschafft, das Routing zum laufen zu bekommen... wie gehabt, bis jetzt leider nur mit masquerading :(

MfG

mit den von dir geposteten Iptables Reglen, angepasst auf meine Interfaces, hab ich es auch nicht geschafft, das Routing zum laufen zu bekommen... wie gehabt, bis jetzt leider nur mit masquerading
Physikalisch oder logisch ?

T;o)Mes

ja klar Physikalisch ;p ..

ich meine eth(x) oder IP's ;)
Da ich drei NIC's habe, habe ich die Netze physikalisch getrennt.
Du hast ja nur zwei, also musst du logisch trennen :
-i 192.168.1.0/24 -d 192.168.2.0/24 und andersrum.

T;o)Mes

Sorry, aber ich kann dir nicht ganz folgen. Könntest du das bitte genauer erklären?

an eth0 zwei verschieden Netze haengen.
1. 0.0.0.0/0 das www
2. 192.168.1.0/24 dein 1. Subnet
an eth1 haengt nur dein 2. Subnet
192.168.2.0/24
Beispiel von 192.168.2.12 nach 192.168.1.10:
192.168.2.12 --> 192.168.2.1 (Gateway),hier muss das Paket nun geFORWARDet -i 192.168.2.0/24 -o 192.168.1.0/24 -j ACCEPT werden.
dann kann das Paket von 192.168.2.1 --> 192.168.1.1 und von dort dann nach 192.168.1.10 weitergeleitet werden. Ohne MASQ.
Das ist "logisch". Das Beispiel mit eth1,eth2 war physikalisch.
Vielleicht waere es besser auf eth0 noch eine virtuelle NIC fuer das private Subnet einzurichten.

T;o)Mes