Fritzboxrouter und Intel 5100 AGN auf Kriegsfuß

[powerbee]

Ich habe einen älteren PC durch die Installation von Debian 11 wieder zum Leben erweckt für diverse Speicheraufgaben. Jetzt ist das Problem, eine richtige Verbindung über den Fritzboxrouter ist nicht möglich. Der PC kann sich zwar mit dem Fritzboxrouter verbinden, da gibt es auch einen schönen Ping und auch im Netz lassen sich Server anpingen.

Unmöglich ist es jedoch, von einem anderen PC auf den Debian-PC zuzugreifen oder ihn anzupingen.

Weder ist da irgendwo eine Mac-Adressen-Filterung eingetragen noch sonst irgendwas. Der Debian-PC scheint auch im Menü WLAN - Funknetz mit der IP-Adresse auf, sogar die Übertragungsgeschwindigkeit ist angegeben. Also denkt man, es müßte soweit alles in Ordnung sein.

Über einen Android-Hotspot funktioniert alles wie es soll. Daher kann es doch eigentlich nur am Fritzboxrouter liegen!

Wo kann denn der Hase im Pfeffer liegen und welche Diagnoseschritte können da noch gemacht werden?

 

[Romurmel]

Unmöglich ist es jedoch, von einem anderen PC auf den Debian-PC zuzugreifen oder ihn anzupingen.

Freigaben eingerichtet?

 

[frank_m24]

Das ist ein Problem der Firewall auf dem Debian-PC.

 

[powerbee]

Das ist ein Problem der Firewall auf dem Debian-PC.

Wo kann ich da suchen? Ich bin da absolut unbedarft mit Firewallregeln in Linux. Da ist mit dem Android geht, ist mir das umso rätselhafter. Aber irgend so eine Ursache muß es ja haben.

 

[frank_m24]

Wo kann ich da suchen?

Das kommt auf die Firewall an, die bei dir zum Einsatz kommt. iptables, ufw, nftables, firewalld? Die Dokumentation deiner Distribution sollte da weiterhelfen.

 

[Micha0815]

Unmöglich ist es jedoch, von einem anderen PC auf den Debian-PC zuzugreifen oder ihn anzupingen.

Falls sich der Debian-PC und die "übrigen" PC im selben Fritz!Box Heimnetzwerk befinden, muss Du in der FB auch zulassen, dass die Clients untereinander kommunizieren dürfen. Welche Aufgabe(n) zum "Speichern" angestrebt werden, wäre auch sinnvoll zu umreissen.

LG and my2cent

 

[frank_m24]

und auch im Netz lassen sich Server anpingen.

Das liest sich so, als seien die anderen Rechner problemlos erreichbar. Oder ist hiermit das Internet gemeint?

 

[powerbee]

Das Problem war eine Netzwerkbrücke, die wurde jetzt erst einmal deaktiviert und es geht. Verstehe das trotzdem nicht, da ja die Konfiguration an keiner Stelle auf den WLAN-Adapter verweist. Außerdem ist mir vollkommen rätselhaft, wieso das mit Android dann geht.

50-cloud-init.yaml
network:
  version: 2
  ethernets:
    enp0s25:
      addresses: []
      dhcp4: true
      optional: true
  bridges:
    br0:
      addresses: [192.168.x.x/24]
      dhcp4: false
      interfaces:
        - enp0s25
      gateway4: 192.168.x.1
      nameservers:
        addresses: [192.168.x.1]

Es ist natürlich auch keine Lösung. Es geht darum, eine virtuelle Maschine in KVM über WLAN mit dem Netzwerk zu verbinden. Kann mir da jemand einen Tip geben, wie man das bewerkstelligt bekommt?

 

[frank_m24]

Verstehe das trotzdem nicht, da ja die Konfiguration an keiner Stelle auf den WLAN-Adapter verweist.

Das könnte das Problem gewesen sein. Oder ein IP Konflikt. Deine anonymisierte Netzwerkkonfiguration lässt letzteres vermuten.

Es geht darum, eine virtuelle Maschine in KVM über WLAN mit dem Netzwerk zu verbinden.

Da gibt es verschiedene Möglichkeiten. Willst du bridgen oder routen? Wenn du dich mit den Linux Netzwerkgrundlagen befasst, dann ergeben sich die Lösungen fast von allein.

 

[powerbee]

Soweit ich das gelesen habe, geht es wohl nicht, da WLAN einen Layer 3 und eth0 einen Layer 2 verwendet oder so. Das müßte dann irgendwie umgesetzt werden und da sind wohl bislang bereits die Programmierer daran gescheitert!

Für mich ist das unerreichbar, da eine Lösung zu finden, die sich "von allein" ergibt.

 

[frank_m24]

Soweit ich das gelesen habe, geht es wohl nicht, da WLAN einen Layer 3 und eth0 einen Layer 2 verwendet oder so.

Sowohl WLAN als auch Ethernet sind Layer 1. Beide benutzen in der Folge einen Layer 2 und Layer 3. Deshalb die Frage: Was ist mit "geht es wohl nicht" gemeint? Bridgen? Routen? Ich kann dir versichern: Beides geht. Die beiden Wege haben natürlich spezifische Vor- und Nachteile, deshalb solltest du dir überlegen, was du willst oder brauchst. Dann kannst du die geeignete Technologie auswählen.

Das müßte dann irgendwie umgesetzt werden und da sind wohl bislang bereits die Programmierer daran gescheitert!

Was genau meinst du da?

 

[powerbee]

Ich habe mich im Netz belesen. Es scheint ein Megaproblem zu sein, eine "bridge" einzurichten, mit der man unter Debian oder auch anderen Linuxen einen Gast in KVM anbinden kann.

Was genau das Problem dabei ist, habe ich nicht im Detail verstanden, da ich kein Informatiker bin!

Jedenfalls ist es wohl so, daß man unter Linux mit KVM nicht einfach das WLAN-Netzwerk durchreichen kann, wenn man "bridge" verwendet. Es gibt dazu offensichtlich auch keine einzige funktionierende Anleitung für ein aktuelles Debian im Netz, die man als normaler Anwender nachstellen kann. Im Detail geht es darum, einen PC mit Debian zu betreiben, der als NAS dienen soll und zudem eine VM beherbergen soll, die Home Assistant bereit stellt. Docker, mit dem das funktioniern würde, fällt aus Sicherheitsgründen aus, es muß eine VM sein. Damit der Home Assistant Server angesprochen werden kann, braucht es die Netzwerkbrücke, da es miit NAT wohl nicht funktioniert.

Es gibt wohl Möglichkeiten, das WLAN bis zum Linux-Kern 2,6 zu brücken, mit aktuellen Versionen funktioniert es nicht mehr.

 

[frank_m24]

Unsinn. Man muss lediglich dafür sorgen, dass nur die physikalische WLAN Verbindung aufgebaut wird, aber keine IP-Konfiguration durchgeführt wird. Letzteres muss man der Bridge überlassen. Ich könnte mir höchstens ein Treiberproblem mit der WLAN Karte vorstellen, dass die das nicht unterstützt. Aber ich habs spaßeshalber gerade mal in einem Notebook probiert, und das war kein Problem.

Und den Home Assistant kann man auch problemlos per NAT anbinden. Wenn es nur das ist, hast du alle Möglichkeiten.

Und warum man aus Sicherheitsgründen eine VM braucht und kein Docker verwenden kann, erschließt sich mir auch nicht. Wie dem auch sei, die Bridge Technologie für Docker und KVM ist die gleiche. Wenn es mit dem einen geht, gehts auch mit dem anderen.

 

[powerbee]

Dann könntest Du ja, damit das Thema auch wieder etwas Substanz bekommt, hier einmal kundtun, welche Schritte im einzelnen dafür nötig sind, damit das am Ende funktioniert.

Also PCmit WLAN-Verbindung und KVM-Gast über den integrierten Netzwerkadapter, der hier halt ein Intel 5100 AGN ist. Ich würde mich darüber freuen, wenn es am Ende irgendwie geht.

 

[frank_m24]

Dann könntest Du ja, damit das Thema auch wieder etwas Substanz bekommt, hier einmal kundtun, welche Schritte im einzelnen dafür nötig sind, damit das am Ende funktioniert.

Nein, kann ich leider nicht, da du ja immer noch nicht gesagt hast, was du eigentlich willst. NAT oder Bridge? Du schreibst, dass du nicht Docker nutzen kannst und eine VM brauchst aus Security Gründen. Also scheint Security eine Rolle zu spielen, damit ist Bridge eigentlich raus, da es direkten Zugriff auf die VMs erlaubt. Also NAT?

 

[powerbee]

Ich brauche Zugriff vom lokalen Netzwerk auf das Gastsystem, Ob das nun mit Brücke oder NAT oder was anderem ist, ist mir eigentlich egal, so lang es funktioniert.

Die VM soll einfach nicht unter root laufen und wenn das Gastsystem eine eigene IP-Adresse hat, ist das auch besser. Es mag sei, daß man das auch anders konfigurieren kann, aber dazu reichen meine Fähigkeiten nicht aus, daher habe ich diesen Ansatz gewählt. Zudem scheint mir eine VM als eine Art eigenständiges System flexibler zu sein, was deren Updates oder Umzug auf einen anderen PC betrifft. Die VM an sich ist nicht der vordergründige Sicherheitsaspekt, das Hostsystem soll aber weitestmöglichst abgetrennt werden. Die VM braucht keinen Zugriff auf den Host oder umgekehrt, sondern soll lediglich als Beiwerk dort mit laufen.

Jedenfalls muß die VM auch von außen erreichbar sein, sonst können sich die Geräte für die "Hausautomatisierung" dort nicht anmelden oder Daten hinsenden, wenn ich das so richtig verstanden habe, geht das mit NAT nicht.

 

[frank_m24]

Ok, wenn ich die Anforderungen so lese, dann wären beide Wege möglich, also NAT und Bridge. Aber erst mal grundsätzlich: Das Host System hat immer Zugriff auf die VMs, da die Netzwerkverbindungen der VMs zwangsläufig durch den Host getunnelt werden.

Ebenfalls noch der generelle Hinweis: Eine WLAN Verbindung für einen Smart Home Server ist prinzipiell nachteilig, da deutlich instabiler, als eine verkabelte Verbindung. Du solltest dringend über ein Ethernetkabel für den Server nachdenken. Und damit meine ich nicht Powerline.

Zu deinem Setup: Du könntest versuchen, das WLAN Device mit in die KVM Bridge zu nehmen. Dann bekommt die VM direkt eine IP von deinem Router, die taucht dann in deinem Heimnetz auf, wie ein eigenständiger Rechner. Entsprechend können alle Geräte in deinem Heimnetz sie direkt erreichen. Voraussetzung ist, dass du nach dem Booten des Hosts über den wpa_supplicant erst mal nur die physikalische WLAN Verbindung aufbaust, dann das WLAN Device zur Bridge hinzufügst und das Adressmanagement (DHCP Client) auf dem Bridge Device machst. Wenn du ein schlankes Linux auf deinem Host laufen hast, dürfte das relativ einfach sein. Wenn Dinge wie der Network Manager laufen, dann wird das ungleich schwieriger, bis hin zu unmöglich. Solche Dinge also am besten deinstallieren und das Netzwerksetup von Hand machen (damit ist man bei Linux eh meistens besser dran).

Alternativ wäre eine NAT Verbindung in die VM. In dem Fall sprechen die Smart Home Clients die IP des Host Systems als Ziel an. Auf dem Host System hast du dann mit Hilfe von iptables Regeln dafür gesorgt, dass die entsprechenden Ports an die VM weitergereicht werden. Wie man eine Portweiterleitung mit iptables macht, dazu gibt es tausende sehr gute Anleitungen im Internet, da kann meine Anleitung hier im Forum nur schlecht aussehen. In dem Fall braucht es keine Bridge oder Klimmzüge. Du baust die WLAN Verbindung auf, wie jetzt, konfigurierst die KVM Bridge für ein lokales Netz auf dem Host und machst dann einfach Portforwarding. Das dürfte unterm Strich die deutlich einfachere Lösung sein.