Problem mit IPTABLES - Firwall Einstellung

[klaus111]

Hallo!

Bitte euch um Hilfe bei meinem Netzwerk:


---ROUTER(192.168.0.1)---Router2(192.168.10.1)------Router3-Bridge(192.168.10.240)

PCs:
Router2 Privates NETZ: 192.168.10.x
Router3 Privates NETZ: 192.168.11.x

Alle Subnetze: 255.255.255.0

Problem: Kein Zugriff von PC auf Router2 zu PC auf Router3 und umgekehrt.
Welche Einstellungen in form der firewall.user (iptables befehle) sind hier exakt nötig?

Danke,
Klaus

 

[RalfFriedl]

Wenn es schon ohne iptables nicht geht, wird es mit iptables auch nicht gehen.

Bring erst mal das Routing in Ordnung.

 

[klaus111]

:?: :?: :?: :?: :?:
Diese Router besitzen OPEN BSD als OS.
Für ein richtiges Routing gehören die IP Netze weitergeleitet. Die Verbindungen zwischen den Routern stehen schon.
Ich brauch konkrete Einstellungen, bzw. eine anpassung der firewall.user in form von iproute befehlen.
mfg

 

[frank_m24]

Hallo,

Für ein richtiges Routing gehören die IP Netze weitergeleitet.

Nee, das kann man so nicht sagen. Was du meinst, ist wahrscheinlich IP Forwarding. Ist das aktiviert auf den Rechnern?
Es kommt u.a. sehr auf die Art des Routings an, z.B., ob vollwertig geroutet wird oder NAT Routing gemacht wird.

Die Verbindungen zwischen den Routern stehen schon.

Dann stehen auch die Verbindungen zwischen den PCs an den Routern. Oder die Routen sind eben nicht korrekt eingerichtet. Dazu gehören vor allem auch die Routen auf den Clients. Passen die zu deinem Netzwerk-Setup?

Viele Grüße

Frank

 

[britzelfix]

@klaus111

Was Du da geschrieben hast, macht keinen Sinn,
weil wenn Du die Netmask 255.255.255.0 verwendest,
dann kannst Du nur in diesem Segment Pakete weiterleiten.
Der ROUTER(192.168.0.1) ist demnach das Gateway und
dieses sollte die NAT-Firewall installiert haben, außerdem
sollte seine Netmask für das lokale Netz 255.255.0.0, damit
er die Pakete in die anderen Segmente auch weitergeben kann.
Besser ist eine Sternförmige Verkabelung mit dem 192.168.0.X Segment,
dann kannst Du auch die Netmask 255.255.255.0 für alle verwenden.


Gruß
britzelfix

 

[frank_m24]

Hallo,

@britzelfix: WAS????? Was schreibst du denn da zusammen? Das ist vollkommener Unfug. :beerdigu:

Der ROUTER(192.168.0.1) ist demnach das Gateway und
dieses sollte die NAT-Firewall installiert haben

Nein, warum um alles in der Welt soll er NATen? Die Router können doch einfach vollwertig routen zwischen den Subnetzen. Nur ins Internet muss er NAT machen.

außerdem sollte seine Netmask für das lokale Netz 255.255.0.0, damit er die Pakete in die anderen Segmente auch weitergeben kann.

AHH! Nein! Damit richtest du jeden Router garantiert hin! Er muss zwei Netzwerkverbindungen mit zwei IP-Adressen aus unterschiedlichen Subnetzen haben, jeweils mit der Subnetzmaske 255.255.255.0, und dann die Pakete zwischen den Subnetzen routen.

@klaus111: Generell muss aber eine Frage erlaubt: Warum baust du so viele unterschiedliche Subnetze, wenn dann doch wieder zwischen den Netzen geroutet wird? Dann kannst du die Rechner auch in ein Subnetz verfrachten - in welcher Topologie auch immer.

Viele Grüße

Frank

 

[britzelfix]

Hallo,

@britzelfix: WAS????? Was schreibst du denn da zusammen? Das ist vollkommener Unfug. :beerdigu:

Vielleich solltest Du erstmal lesen bevor Du Unfug plärst.

Nein, warum um alles in der Welt soll er NATen? Die Router können doch einfach vollwertig routen zwischen den Subnetzen. Nur ins Internet muss er NAT machen.

Genau das habe ich auch gemeint.

AHH! Nein! Damit richtest du jeden Router garantiert hin! Er muss zwei Netzwerkverbindungen mit zwei IP-Adressen aus unterschiedlichen Subnetzen haben, jeweils mit der Subnetzmaske 255.255.255.0, und dann die Pakete zwischen den Subnetzen routen.

Ich habe das schon oft gemacht, glaub mir.


Gruß
britzelfix

 

[frank_m24]

Hallo,

Ich habe das schon oft gemacht, glaub mir.

Solche Szenarien, wie oben aufgemalt? Und du gibst den Netzwerkverbindungen auf den Routern die Subnetzmaske 255.255.0.0? Oder nur dem Router1? Ist aber auch schon unsinnig.

1. 192.168.x.y Adressen sind Class C Subnetze - willst du Class B, dann gibt es 172.16.x.y. Aber sei es drum - das würde immerhin noch funktionieren.
   
2. Wie bitte schön soll z.B. Router2 zwischen seinen beiden Subnetzen vernünftig routen, wenn er zwei Netzwerkverbindungen im gleichen Subnetz hat? Das kann schon theoretisch nicht gehen.
   
3. Gehen wir davon aus, du gibst nur dem Router1 die Subnetzmaske 255.255.0.0: Das, was du da beschreibst, würde dazu führen, das Router1 quasi als einzelner Router dasteht für alle Clients, also praktisch alle in einem Subnetz sind. Dafür müsste man aber den Aufwand mit drei Routern und mehreren Subnetzen nicht betreiben, das wäre kontraproduktiv - wie ich oben schon erwähnt habe. Also wird klaus111 mit dem Setup wahrscheinlich ein anderes Ziel verfolgen, vielleicht einzelne Clients in den Subnetzen voneinander abschotten oder nur ins LAN lassen oder nur in Teile des LANs usw. Sowas kann er erreichen über geschickte Wahl der Gateways und der Routen auf den Routern und den Clients. Für so ein Szenario wäre dein Vorschlag dann aber ebenfalls wieder absoluter Unfug, weil er dieses Konzept wieder aushebeln würde. Des weiteren haben sich solche "Subnetzmischereien" in der Praxis nie bewährt: Sie sind in einem sauberen Setup unnötig und verursachen eigentlich nur Verwirrung.

Fazit: Entweder sind alle Clients gleichberechtigt, dann können sie in ein Subnetz über einen Router eingegliedert werden, dann braucht es deinen Vorschlag nicht. Oder sie sollen voneinander getrennt werden und nur spezifische Zugriffsrechte haben, dann möge er aber tunlichst die Finger von deinem Vorschlag lassen, da er das Konzept ad absurdum führt. Wie ich es auch drehe und wende, es macht keinen Sinn.

Viele Grüße

Frank

 

[britzelfix]

@frank_m24

Du redest zwar viel, sagst aber nicht worauf es ankommt.
klaus111 hat diese Segmente zu routen:
192.168.0.X
192.168.10.X
192.168.11.X

Das bedeutet, daß wenn ein Router mehr als einen dieser Segmente
beidienen soll, seine Netzmaske so ausgelegt wird, daß alle IP's darin
passen. Und die ist eben 255.255.0.0 und nicht anders.

Gruß
britzelfix

 

[masterSLZ]

Eigentlich interessiert's mich nicht, aber ich kann mir das als Network Engineer hier gerade nicht mehr ansehen:

Mr. "britzelfix", BITTE, wenn man keine Ahnung hat.... wissen schon.
Danke.
Dein Vorschlag passt leider auf das Problem ueberhauptnicht.

Bitte keinen Unfug zum Thema "Routing" verbreiten, was Du da erzaehlst ist extrem gefaehrliches Halbwissen. Nur weil es "fuer dich" funktioniert, heisst es nicht, das es korrekt ist oder Sinn ergibt oder in dem Fall auf das Problem passt.

Die Aussage

Das bedeutet, daß wenn ein Router mehr als einen dieser Segmente
beidienen soll, seine Netzmaske so ausgelegt wird, daß alle IP's darin
passen. Und die ist eben 255.255.0.0 und nicht anders."

ist nicht nur falsch, sondern sicherheitstechnisch gemeinst-gefaehrlich.
Der SINN von ROUTING (Layer3) ist gerade, mehrere VERSCHIEDENE Netze miteinander zu verbinden, unter diesen zu "routen".
Was Du mit so einer Netzmaske bei den o.g. Netzen machst, ist sie auf Broadcast/Layer2
Ebene miteinander zu verbinden (theoretisch), also EIN "Netz" daraus zu machen (192.168.0.0/16).
Praktisch hat das eine mit dem anderen nicht viel zu tun. Ausserdem kann man aus dem "Bildchen" vom Fragesteller erkennen, das er drei Router hintereinander hat, diese also NICHT in einem logischen Netz stehen (sollen), sondern die sollen eben routen.
Es hat nicht "ein Router" eine Netzmaske, sondern "ein Netz/ein Interface" hat eine Netzmaske; ein Router kann auch mehrere
Interfaces haben, mit voellig unterschiedlichen Netzen und Netzmasken, drum heisst er Router, weil er mehrere Netze routet/verbindet.
Ein Router mit nur einem Interface und einer Netzmaske macht genaugenommen ueberhaupt keinen Sinn, weil er nichts zu routen hat

Ein Router mit 3 unterschiedlichen logischen oder physikalischen Interfaces mit Addressen aus 192.168.0.0/24, 192.168.10.0/24 und 192.168.11.0/24 "routet", "forwarded" IP Pakete zwischen den Netzen.
Ein Router kann prinzipbedingt auch nicht drei Interfaces im selben Netz haben, weil das keinen Sinn macht, drei Interfaces mit 192.168.0.x/16 - 192.168.10.x/16 und 192.168.11.x/16 ist nicht konfigurierbar (bzw. funktioniert nicht).
Ein Router mit Interface 192.168.0.x/16 kann auch nicht einen entfernten Router mit einem Interface 192.168.10.x/16 erreichen, weil er dank der Netzmaske diesen lokal vermutet auf dem Interface.

Eine Netzmaske von 255.255.0.0 ( ^= /16 Prefix ) wuerde bei dem hier anliegenden Problem nur Sinn machen, wenn es nur EINEN Router gaebe, und dahinter Clients mit IPs die mit 192.168.0.x, 192.168.10.x und 192.168.11.x anfangen - spricht, wenn hinter diesem einen Router ein Layer2 Netz, also z.b. Switches stehen wuerden. DANN wuerde an dem - dann einzigen Router - ein Interface mit der Netzmaske Sinn ergeben als Default-GW nach Aussen z.b.

Achja, und "Class C" Netze gibt es auch seit 1993 nicht mehr, wir reden inzwischen CIDR, also
classless, nicht mehr classfull. Bitte auch hier nicht den Unsinn weiterverbreiten, es reicht mir, das meine frischen Diplom Informatiker und Fachinformatiker staendig mit dem obsoleten Muell auf den Geist gehen, weil sie es immer noch so lernen.
Das gehoert in das Fach Geschichte, nicht in Netzwerktechnik.

==> Wem das alles gerade zu hoch ist, bitte einfach in das Thema einlesen. Ich kann das nicht auf drei Saetzen erklaeren, das es jeder unbedarfte versteht. Aber einfach mal glauben, das das so ist, ich betreibe seit 14Jahren TCP/IP Netzwerke beruflich wie privat in gross

Wir Danken fuer Ihre Aufmerksamkeit.

Das urspruengliche Problem kann ich leider nicht loesen, das es hier an so gut wie allen
Informationen fehlt, die zur Problemloesung notwendig sind, "Minimum Troubleshooting Requirements".
Er denkt offenbar, er hat ein Firewall und kein Routing Problem?! K.a.
Was hat er da? Drei Router? Zwei Router und eine Bridge? Wie sind die Interface IPs/Netzmasken?
Was haengt wo wie dran? Alles OpenBSD? Irgendein anderes OS oder ein echter Router dabei?
Wie sieht die Routingtable aus? Ist IP_Forwarding in den Kernels aktiviert? .... usw.

bye
-slz

 

[britzelfix]

@masterSLZ

Das Ganze geht hier in eine falsche Richtung.
Ich würde vorschlagen, daß sich mal klaus111
die Doku durchliest, dann ist das von ihm
erwähnte "Problem" auch gelöst.

http://www.ralphb.net/IPSubnet/cidr.html

Die genaue Netzmaske wäre demnach 192.168.0.0/20
aber da macht sich niemand die Mühe, da es non-routing
IP's sind.

Gruß
britzelfix

 

[frank_m24]

Hallo,

@masterSLZ: Danke, das hast du gut erläutert. Im Grunde wollte ich das gleiche sagen, mir fehlten in meinem Entsetzen einfach nur die richtigen Worte.

@britzelfix: Hast du den von dir verlinkten Artikel gelesen? Da geht es um das zusammenfassen öffentlicher IP Adressen. Da geht es eben darum, nur ein Subnetz zu bilden. Das hat absolut nichts mit dem Ansatz von klaus111 zu tun, ist sogar das genaue Gegenteil, da klaus111 sein privates Subnetz offensichtlich auftrennen will in verschiedene Subnetze (warum auch immer).

Viele Grüße

Frank

 

[britzelfix]

@frank_m24

Da geht es um das zusammenfassen öffentlicher IP Adressen.

Wie bitte? Der Titel heißt: "Classless InterDomain Routing"
Und im Beispiel geht es darum mehrere Subnetze zu verbinden,
unabhängig davon, ob's nun private oder public IP's sind.

Gruß
britzelfix

 

[masterSLZ]

[ ] Du hast verstanden, warum es dem Fragesteller hier geht.

Setzen 6, Themaverfehlung.

Nochmal zum Mitschreiben: Hier geht es um eine ROUTING Frage, nicht im eine Subnet Aggregation Frage. Netzmasken verschieben/Broadcast Domain vergroessern ist kein Routing.

So, my 0.02EUR, an weiterem Trolling beteilige ich mich nicht mehr, viel Glueck dem Fragesteller bei der Problemloesung bei solchen "Hilfestellungen" hier :-/

bye
-slz

 

[klaus111]

Hi Danke für die Zahlreiche Diskussionsrunde.

Also nochmal genauer und ausführlicher meine Topologie.
Es schaut so aus, dass
ROUTER1 fix vorgegeben und konfiguriert ist von meinem ISP. Dieser hat eben einen DHCP laufen und versorgt mich mit NAT in die Außenwelt.
Der Router2 von mir besitzt 2 Interfaces:

ETHERNET: 192.168.0.22 (Fixe IP eingestellt).
WLAN: 192.168.10.x (hier läuft ein DHCP, der Router reagiert auf 192.168.10.1)

ROUTER3 ist aufgrund der geringen WLAN Reichweite von Router2 eingesetzt.
Dieser besitzt 2 WLAN Interfaces mit folgenden IPs:
192.168.11.x und wird per 192.168.10.240 mit dem Router2 über WLAN verbunden.
Die Clients erhalten die IP 192.168.11.x per DHCP und aben als Gateway 192.168.11.1 eingestellt.

Clients des Router2 erhalten den Gateway 192.168.10.1 und eine IP im 192.168.10.x Bereich.

Alle Subnetz Masken sind auf 255.255.255.0 eingestellt.

Die Internet Verbindung läuft auf ALLEN Clients problemlos.
Es liegt hier nur ein Firewall problem vor.

Router 2 und 3 sind sog. FON ROUTER.
Beispielsweise schaut die firewall.user auf Router2 so aus:

config_load remote                                                                                      
config_get ssh method ssh                                                                               
config_get webif method webif                                                                           
config_get rssh method rssh                                                                             
                                                                                                        
WAN="$wan_ifname"                                                                                       
LAN="$lan_ifname"                                                                                       
                                                                                                        
iptables -F input_rule                                                                                  
iptables -F output_rule                                                                                 
iptables -F forwarding_rule                                                                             
iptables -t nat -F prerouting_rule                                                                      
iptables -t nat -F postrouting_rule                                                                     
                                                                                                        
### BIG FAT DISCLAIMER                                                                                  
## The "-i $WAN" is used to match packets that come in via the $WAN interface.                          
## it WILL NOT MATCH packets sent from the $WAN ip address -- you won't be able                         
## to see the effects from within the LAN.                                                              
                                                                                                        
### Open port to WAN and LAN                                                                            
## -- This allows port 22 to be answered by (dropbear on) the router                                    
#iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT                                 
#iptables        -A input_rule      -i $WAN -p tcp --dport 22 -j ACCEPT                                 
                                                                                                        
### Open Webinterface to WAN (available to LAN only by default)                                         
#iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 80 -j ACCEPT                                 
#iptables               -A input_rule      -i $WAN -p tcp --dport 80 -j ACCEPT                          
                                                                                                        
### Port forwarding                                                                                     
## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2                                      
# iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80            
# iptables        -A forwarding_rule -i $WAN -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT       

### DMZ                                                                                                 
## -- Connections to ports not handled above will be forwarded to 192.168.1.2                           
# iptables -t nat -A prerouting_rule -i $WAN -j DNAT --to 192.168.1.2                                   
# iptables        -A forwarding_rule -i $WAN -d 192.168.1.2 -j ACCEPT                                   
                                                                                                        
if enabled $rssh && enabled $ssh                                                                        
then                                                                                                    
        iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT                          
        iptables        -A input_rule      -i $WAN -p tcp --dport 22 -j ACCEPT                          
fi                                                                                                      
                                                                                                        
if enabled $webif                                                                                       
then                                                                                                    
        iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 80 -j ACCEPT                          
        iptables                -A input_rule      -i $WAN -p tcp --dport 80 -j ACCEPT

 

[frank_m24]

Hallo,

Router 2 und 3 sind sog. FON ROUTER.

Und die haben OPEN BSD als Betriebssystem? Ich dachte immer, das sind umgemodelte Linksysgeräte? Und es gibt einen FON Router mit zwei WLAN Interfaces? Oder meinst du mit FON ROUTER nicht La Fonera?

FON Router haben ja als Feature, dass sie Zugriff auf LAN blocken und für ihre Clients nur den Zugriff ins Internet zulassen. Das könnte ja schon mal ein Hinweis sein. Erschwerend kommt hinzu, dass sie als NAT Router arbeiten, womit du eh schon sehr eingeschränkt bist mit Zugriffen von einem auf das andere Subnetz: Ein eine Richtung (NETZ2-> NETZ3) wird es so gut wie gar nicht gehen, von NETZ3 -> NETZ2 gehen keine Windows Verzeichnis-Freigaben.

Mit deiner firewall.user kann ich wenig anfangen. Die flusht eigentlich nur alle Regeln und erlaubt je nach Einstellung Zugriff auf SSH und Webinterface. Das kann unmöglich alles sein, was da ausgeführt wird, wenn der Router wirklich komplett auf iptables basiert.

Viele Grüße

Frank

 

[klaus111]

Es sind sog. "La Fonera" Geräte. Die Konfiguration bzw. die Sperre der gesamten Ports basiert auf dieser Firewall.user (diese ist normalerweise nicht zugängig, mit ein paar handgriffen allerdings per SSH).
MfG

 

[masterSLZ]

Endlich was sinnvolles zum Thema

Das einzige was ich hier aber korrigieren kann ist, das es hier nicht um Open*BSD* sondern sehr wahrscheinlich um Open*WRT* geht, dem Betriebssystem auf den La Fonera Routern.
Das ist nicht BSD-basiert, sondern Linux-basiert, daher auch iptables und nicht PF (PacketFilter von OpenBSD).

Zur weiteren Loesung des Problems kann ich aber trotzdem nichts beitragen, da ich von den La Fonaeras und OpenWRT keine Ahnung habe, und daher lieber meine Klappe halte ;-)

...aber villeicht kann damit ja jetzt jemand was anfangen, es sollten jetzt alle noetigen Informationen vorliegen fuer Leute die sich damit beschaeftigt haben schon.

bye
-slz

 

[RalfFriedl]

Ich würde empfehlen, die iptables Konfiguration nicht zu erweitern, sondern iptables komplett zu deaktivieren. Dann können die Geräte als normale Router Arbeiten und die Verbindungen sollten funktionieren.

 

[britzelfix]

@masterSLZ

[ ] Du hast verstanden, warum es dem Fragesteller hier geht.

Setzen 6, Themaverfehlung.

Deine Flames gehen bei mir nach /dev/null,
aber ich glaube nicht mal, daß Du weißt was das bedeutet.

So, my 0.02EUR, an weiterem Trolling beteilige ich mich nicht mehr,

Nicht mal das was Du versprichst kannst Du halten.
Ich habe mir mal Deine Beiträge im Forum durchgelesen,
diese strozen vor Arroganz. Dafür bekommst Du von mir einen
Unfreundlichkeitsorden. Den kannst Du dann gerne zu den anderen
hängen.

Falls Du so schlau bist, dann kannst Du klaus111 mit einer Lösung
weiter helfen, aber offensichtlich bist Du Dir dafür zu fein.

Jetzt kanst Du in die Ecke gehen und Dich 5min schämen.

@RalfFriedl

Ich würde empfehlen, die iptables Konfiguration nicht zu erweitern, sondern iptables komplett zu deaktivieren.

Dafür bin ich auch. Vom ROUTER1(192.168.0.22) müssen Pakete in zwei Subnetze
und die kann man nicht mit 255.255.255.0 routen. Der geeigneter
Routing-Befehl lautet:

route add -net 192.168.0.0/16 gw 192.168.10.1

Gruß
britzelfix