net(t)forum
net(t)work(s) - fli4l - eisfair

Startseite » fli4l » spline.fli4l » 2 Netzwerkbereiche auf einer NIC
2 Netzwerkbereiche auf einer NIC [Beitrag #72612] Thu, 27 June 2019 09:29 Zum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Guten Morgen,

Sorry, ich sehe den Wald vor lauter Bäumen nicht.

Mein Firmen-Netz ist 172.18.2.99/24

Mein Home-Netz ist 192.168.1.1/24

Ich möchte nun einfach Geräte mit fester IP-Adresse aus dem Home-Netz im
Firmen-Netz nutzen/bearbeiten können. Dazu will ich keine Netze
verbinden, sondern nur ein Gerät zu Hause abstöpseln, ins Büro tragen
und dort anstöpseln (dann mit fester IP aus dem Homenetz). Sie sollen
erreichbar sein, und auch ins Internet kommen. Also keine gegenseitige
Verbote oder ähnliches. So als wäre es ein Netz.

Zur Zeit komme ich aus dem Firmen-Netz auch auf Geräte mit IP aus dem
Home-Netz.

Aber die Geräte mit Home-Netz IP kommen nicht ins Internet. Was mache
ich hier noch falsch?


Meine Einstellungen aus der Base (bitte Bescheid geben, wenn noch etwas
benötigt wird):


#----------------------------------------------------------------------- -------
# Networks
#----------------------------------------------------------------------- -------

#Firma
IP_NET[3]='172.18.2.99/24'
IP_NET[3].DEV='eth2' # LAN-NIC (bei mir)

#Home
IP_NET[4]='192.168.1.99/24'
IP_NET[4].DEV='eth2'

#----------------------------------------------------------------------- -------
# Additional routes, optional
#----------------------------------------------------------------------- -------

IP_ROUTE[1]='192.168.1.99/24 172.18.2.99'

IP_ROUTE[2]='172.18.2.99/24 192.168.1.99'

#----------------------------------------------------------------------- -------
# INPUT chain
#----------------------------------------------------------------------- -------

PF_INPUT[]='IP_NET_3 ACCEPT'
PF_INPUT[]='IP_NET_4 ACCEPT'

#----------------------------------------------------------------------- -------
# FORWARD chain
#----------------------------------------------------------------------- -------

PF_FORWARD[]='IP_NET_3 ACCEPT'
PF_FORWARD[]='IP_NET_4 ACCEPT'


#----------------------------------------------------------------------- -------
# POSTROUTING chain
#----------------------------------------------------------------------- -------

PF_POSTROUTING[]='IP_NET_3 MASQUERADE'
PF_POSTROUTING[]='IP_NET_4 MASQUERADE'



Dankeschön für Eure Mühe
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72613 ist eine Antwort auf Beitrag #72612] Thu, 27 June 2019 10:10 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Friedhold,

> Sorry, ich sehe den Wald vor lauter Bäumen nicht.

das passiert manchmal. ;)

> Mein Firmen-Netz ist 172.18.2.99/24
>
> Mein Home-Netz ist 192.168.1.1/24

Das sind keine Netze, sondern konkrete IPs. ;)

> Ich möchte nun einfach Geräte mit fester IP-Adresse aus dem Home-Netz im
> Firmen-Netz nutzen/bearbeiten können. Dazu will ich keine Netze
> verbinden, sondern nur ein Gerät zu Hause abstöpseln, ins Büro tragen
> und dort anstöpseln (dann mit fester IP aus dem Homenetz). Sie sollen
> erreichbar sein, und auch ins Internet kommen. Also keine gegenseitige
> Verbote oder ähnliches. So als wäre es ein Netz.

Warum verwendest Du dann nicht einfach Addis aus demselben Pool für
beide Netze? Also z.B. alles über 192.168.1.x definieren?

> Zur Zeit komme ich aus dem Firmen-Netz auch auf Geräte mit IP aus dem
> Home-Netz.

Verstehe ich Dich richtig: Du kannst wechselseitig die Geräte erreichen?

> Aber die Geräte mit Home-Netz IP kommen nicht ins Internet. Was mache
> ich hier noch falsch?

Mach bitte mal ein

ping 193.99.144.80

von der Home-Netz-IP. Geht das?
Wenn ja, liegt das Problem in der Namenauflösung.

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72616 ist eine Antwort auf Beitrag #72613] Fri, 28 June 2019 07:25 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Heinz-Peter

Am 27.06.2019 um 10:10 schrieb Heinz-Peter Faasen:
>> Mein Firmen-Netz ist 172.18.2.99/24
>>
>> Mein Home-Netz ist 192.168.1.1/24
>
> Das sind keine Netze, sondern konkrete IPs. ;)

ja, etwas unglücklich geschrieben.

>> Ich möchte nun einfach Geräte mit fester IP-Adresse aus dem Home-Netz
>> im Firmen-Netz nutzen/bearbeiten können. Dazu will ich keine Netze
>> verbinden, sondern nur ein Gerät zu Hause abstöpseln, ins Büro tragen
>> und dort anstöpseln (dann mit fester IP aus dem Homenetz). Sie sollen
>> erreichbar sein, und auch ins Internet kommen. Also keine gegenseitige
>> Verbote oder ähnliches. So als wäre es ein Netz.
>
> Warum verwendest Du dann nicht einfach Addis aus demselben Pool für
> beide Netze? Also z.B. alles über 192.168.1.x definieren?

aus zwei Gründen:

1. Beide Netze bestehen seit gefühlten 20 Jahren und haben viele Geräte
(auch Smarthome ESP usw.) und somit ist ein Umstellen ein großer
Aufwand, den ich vermeiden wollte.

2. Falls ich mal mein anderes Problem, 2 Netze über VPN zu verbinden



gelöst bekomme, muß ich sowieso wieder alles umstellen, da ich ja dann
wieder 2 verschiedene Netze benötige.


>> Zur Zeit komme ich aus dem Firmen-Netz auch auf Geräte mit IP aus dem
>> Home-Netz.
>
> Verstehe ich Dich richtig: Du kannst wechselseitig die Geräte erreichen?

ja klar, wenn sie an der selben Netzwerkverkabelung angesteckt sind, ich
sie also von zu Hause mit ind Büro genommen habe.

>> Aber die Geräte mit Home-Netz IP kommen nicht ins Internet. Was mache
>> ich hier noch falsch?
>
> Mach bitte mal ein
>
> ping 193.99.144.80
>
> von der Home-Netz-IP. Geht das?
> Wenn ja, liegt das Problem in der Namenauflösung.
--

ping vom 192.xxx ins 192.xxx ok.

root@pvehome:~# ping 192.168.1.99
PING 192.168.1.99 (192.168.1.99) 56(84) bytes of data.
64 bytes from 192.168.1.99: icmp_seq=1 ttl=64 time=0.399 ms
ins eigene Netz funktioniert.
--

ping vom 172.xxx ins 192.xxx ok.

root@pve:~# ping 192.168.1.120
PING 192.168.1.120 (192.168.1.120) 56(84) bytes of data.
64 bytes from 192.168.1.120: icmp_seq=1 ttl=63 time=0.592 ms
---

ping vom 192.xxx ins 172.xxx

root@pvehome:~# ping 172.18.1.120
PING 172.18.1.120 (172.18.1.120) 56(84) bytes of data.
From 192.168.1.120 icmp_seq=1 Destination Host Unreachable
--


vom 192.xxx



root@pvehome:~# ping 193.99.144.80

PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.

From 192.168.1.120 icmp_seq=1 Destination Host Unreachable



--
vom 172.xxx

root@pve:~# ping 193.99.144.80
PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.
64 bytes from 193.99.144.80: icmp_seq=1 ttl=244 time=18.2 ms

--

Also: 172.xxx kommt ins 192.xxx Netz und ins Internet.

aber
192.xxx kommt nicht ins 172.xxx Netz und nicht ins Internet.


Woran könnte ich noch schrauben? Oder was noch liefern?

Dankeschön
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72620 ist eine Antwort auf Beitrag #72616] Fri, 28 June 2019 11:40 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Friedhold,

>>> Ich möchte nun einfach Geräte mit fester IP-Adresse aus dem Home-Netz
>>> im Firmen-Netz nutzen/bearbeiten können. Dazu will ich keine Netze
>>> verbinden, sondern nur ein Gerät zu Hause abstöpseln, ins Büro tragen
>>> und dort anstöpseln (dann mit fester IP aus dem Homenetz). Sie sollen
>>> erreichbar sein, und auch ins Internet kommen. Also keine
>>> gegenseitige Verbote oder ähnliches. So als wäre es ein Netz.
>>
>> Warum verwendest Du dann nicht einfach Addis aus demselben Pool für
>> beide Netze? Also z.B. alles über 192.168.1.x definieren?
>
> aus zwei Gründen:
>
> 1. Beide Netze bestehen seit gefühlten 20 Jahren

das wäre kein überzeugendes Argument. ;)

> und haben viele Geräte
> (auch Smarthome ESP usw.) und somit ist ein Umstellen ein großer
> Aufwand, den ich vermeiden wollte.

Das hingegen schon.

> 2. Falls ich mal mein anderes Problem, 2 Netze über VPN zu verbinden
>
>  
>
> gelöst bekomme, muß ich sowieso wieder alles umstellen, da ich ja dann
> wieder 2 verschiedene Netze benötige.

Auch das ist sinnvoll. Ok.

>>> Zur Zeit komme ich aus dem Firmen-Netz auch auf Geräte mit IP aus dem
>>> Home-Netz.
>>
>> Verstehe ich Dich richtig: Du kannst wechselseitig die Geräte erreichen?
>
> ja klar, wenn sie an der selben Netzwerkverkabelung angesteckt sind, ich
> sie also von zu Hause mit ind Büro genommen habe.

Nach dem, was Du unten schreibst, aber nicht.

>>> Aber die Geräte mit Home-Netz IP kommen nicht ins Internet. Was mache
>>> ich hier noch falsch?
>>
>> Mach bitte mal ein
>>
>> ping 193.99.144.80
>>
>> von der Home-Netz-IP. Geht das?
>> Wenn ja, liegt das Problem in der Namenauflösung.
> --
>
> ping vom 192.xxx ins 192.xxx ok.
>
> root@pvehome:~# ping 192.168.1.99
> PING 192.168.1.99 (192.168.1.99) 56(84) bytes of data.
> 64 bytes from 192.168.1.99: icmp_seq=1 ttl=64 time=0.399 ms
> ins eigene Netz funktioniert.
> --
>
> ping vom 172.xxx ins 192.xxx ok.
>
> root@pve:~# ping 192.168.1.120
> PING 192.168.1.120 (192.168.1.120) 56(84) bytes of data.
> 64 bytes from 192.168.1.120: icmp_seq=1 ttl=63 time=0.592 ms
> ---
>
> ping vom 192.xxx ins 172.xxx
>
> root@pvehome:~# ping 172.18.1.120
> PING 172.18.1.120 (172.18.1.120) 56(84) bytes of data.
> From 192.168.1.120 icmp_seq=1 Destination Host Unreachable
> --
>
>
> vom 192.xxx
>
>
>
> root@pvehome:~# ping 193.99.144.80
>
> PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.
>
> From 192.168.1.120 icmp_seq=1 Destination Host Unreachable
>
>
>
> --
> vom 172.xxx
>
> root@pve:~# ping 193.99.144.80
> PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.
> 64 bytes from 193.99.144.80: icmp_seq=1 ttl=244 time=18.2 ms
>
> --
>
> Also: 172.xxx kommt ins 192.xxx Netz und ins Internet.
>
> aber
> 192.xxx kommt nicht ins 172.xxx Netz und nicht ins Internet.

Das meinte ich.

> Woran könnte ich noch schrauben? Oder was noch liefern?

Was zeigt "ip address" ?
Zeige mal die Zeilen, die den Zugang ins Netz definieren (ohne Passwörter).

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72621 ist eine Antwort auf Beitrag #72620] Fri, 28 June 2019 15:55 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Heinz-Peter,

Am 28.06.2019 um 11:40 schrieb Heinz-Peter Faasen:
sorry, wenn es vorhin eine Mail war. Habe den falschen Knopf erwischt.


> Was zeigt "ip address" ?

Auf dem Fli4l?
So:

fli4l 4.0.0-r54860-testing # ip address
1: lo: mtu 65536 qdisc noqueue state UNKNOWN
group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc pfifo_fast
state UNKNOWN group default qlen 1000
link/ether 00:0d:b9:2c:68:24 brd ff:ff:ff:ff:ff:ff
inet 172.18.1.111/24 brd 172.18.1.255 scope global noprefixroute eth0
valid_lft forever preferred_lft forever
3: eth1: mtu 1500 qdisc pfifo_fast
state UP group default qlen 1000
link/ether 00:0d:b9:2c:68:25 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.200/24 brd 192.168.2.255 scope global noprefixroute eth1
valid_lft forever preferred_lft forever
4: eth2: mtu 1500 qdisc pfifo_fast
state UNKNOWN group default qlen 1000
link/ether 00:0d:b9:2c:68:26 brd ff:ff:ff:ff:ff:ff
inet 172.18.2.99/24 brd 172.18.2.255 scope global eth2
valid_lft forever preferred_lft forever
inet 192.168.1.99/24 brd 192.168.1.255 scope global eth2
valid_lft forever preferred_lft forever
fli4l 4.0.0-r54860-testing #

Das interne Netz ist an eth2.

> Zeige mal die Zeilen, die den Zugang ins Netz definieren (ohne Passwörter).

Es ist ein reiner Ethernetrouter.

Dankeschön
Gruß Friedhold
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72623 ist eine Antwort auf Beitrag #72621] Fri, 28 June 2019 19:24 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Friedhold,

> sorry, wenn es vorhin eine Mail war. Habe den falschen Knopf erwischt.

kein Problem - passiert öfter mal. ;)

>> Was zeigt "ip address" ?
>
> Auf dem Fli4l?

Klar - der ist doch schließlich Dein "Problemkind". :D

> So:
>
> fli4l 4.0.0-r54860-testing # ip address
> 1: lo: mtu 65536 qdisc noqueue state UNKNOWN
> group default qlen 1
>     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
>     inet 127.0.0.1/8 scope host lo
>        valid_lft forever preferred_lft forever
> 2: eth0: mtu 1500 qdisc pfifo_fast
> state UNKNOWN group default qlen 1000
>     link/ether 00:0d:b9:2c:68:24 brd ff:ff:ff:ff:ff:ff
>     inet 172.18.1.111/24 brd 172.18.1.255 scope global noprefixroute eth0
>        valid_lft forever preferred_lft forever
> 3: eth1: mtu 1500 qdisc pfifo_fast
> state UP group default qlen 1000
>     link/ether 00:0d:b9:2c:68:25 brd ff:ff:ff:ff:ff:ff
>     inet 192.168.2.200/24 brd 192.168.2.255 scope global noprefixroute
> eth1
>        valid_lft forever preferred_lft forever
> 4: eth2: mtu 1500 qdisc pfifo_fast
> state UNKNOWN group default qlen 1000
>     link/ether 00:0d:b9:2c:68:26 brd ff:ff:ff:ff:ff:ff
>     inet 172.18.2.99/24 brd 172.18.2.255 scope global eth2
>        valid_lft forever preferred_lft forever
>     inet 192.168.1.99/24 brd 192.168.1.255 scope global eth2
>        valid_lft forever preferred_lft forever
> fli4l 4.0.0-r54860-testing #
>
> Das interne Netz ist an eth2.

Das sieht so weit erst mal gut aus.

>> Zeige mal die Zeilen, die den Zugang ins Netz definieren (ohne
>> Passwörter).
>
> Es ist ein reiner Ethernetrouter.

Ok, dann beschreibe jetzt mal das gesamte Netz-Setup rund um den fli,
sonst kann man sich kein Bild machen.
Und zeige auch die anderen Net-Einträge aus der base.

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72628 ist eine Antwort auf Beitrag #72623] Sat, 29 June 2019 08:05 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Heinz-Peter,
Am 28.06.2019 um 19:24 schrieb Heinz-Peter Faasen:
> Ok, dann beschreibe jetzt mal das gesamte Netz-Setup rund um den fli,
> sonst kann man sich kein Bild machen.

Wie meinst Du das? Ein Fli4l am Providerrouter (entweder Primacon oder
O2) danach der Switch und daran alle Geräte bzw. Wlan. Nichts
ungewöhnliches.

> Und zeige auch die anderen Net-Einträge aus der base.

Hier aus der rc.cfg:


IP_CONNTRACK_MAX=''
IP_NET_1='{Primacom-v4}'
IP_NET_2='{O2-v4}'
IP_NET_3='172.18.2.99/24'
IP_NET_4='192.168.1.99/24'
IP_NET_1_DEV='eth0'
IP_NET_2_DEV='eth1'
IP_NET_3_DEV='eth2'
IP_NET_4_DEV='eth2'
IP_NET_N='4'
IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
IP_ROUTE_N='2'

LUA_VERSION='5.3'
MASQ_MODULE_N='0'
MOUNT_BOOT='rw'
NET_DRV_1='via-rhine'
NET_DRV_1_OPTION=''
NET_DRV_N='1'
OPT_ADDMODULES='no'
OPT_BASE='yes'
OPT_HOTPLUG_PCI='no'
OPT_IPV4='yes'
OPT_IPV6='no'
OPT_KLOGD='no'
OPT_LOGIP='yes'
OPT_LUA='no'
OPT_MAKEKBL='no'
OPT_NET_PREFIX='no'
OPT_PNP='no'
OPT_SYSLOGD='yes'
OPT_Y2K='no'
PASSWORD='xx'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_3 ACCEPT'
PF_FORWARD_3='IP_NET_4 ACCEPT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_LOG_LIMIT='3/minute:5'
PF_FORWARD_N='3'
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_REJ_LIMIT='1/second:5'
PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
PF_INPUT_1='IP_NET_3 ACCEPT'
PF_INPUT_2='IP_NET_4 ACCEPT'
PF_INPUT_3='tmpl:samba DROP NOLOG'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_ICMP_ECHO_REQ_SIZE='150'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_N='3'
PF_INPUT_POLICY='REJECT'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
PF_OUTPUT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_N='0'
PF_OUTPUT_LOG='no'
PF_OUTPUT_LOG_LIMIT='3/minute:5'
PF_OUTPUT_N='0'
PF_OUTPUT_POLICY='ACCEPT'
PF_OUTPUT_REJ_LIMIT='1/second:5'
PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
PF_POSTROUTING_2='IP_NET_4 MASQUERADE'
PF_POSTROUTING_N='2'
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_PREROUTING_CT_N='0'
PF_PREROUTING_N='0'
PF_USR_CHAIN_N='0'
PORTFW_N='0'
POWERMANAGEMENT='none'
RTC_SYNC='kernel'

so in etwa? Oder was brauchst Du noch?

Grüße
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72629 ist eine Antwort auf Beitrag #72628] Sat, 29 June 2019 09:44 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
LanSpezi
Beiträge: 1099
Registriert: August 2010
Senior Member
Hallo Friedhold,

Am Sat, 29 Jun 2019 08:05:50 +0200 schrieb Friedhold Schuster:

> IP_NET_3='172.18.2.99/24'
> IP_NET_4='192.168.1.99/24'

> IP_NET_3_DEV='eth2'
> IP_NET_4_DEV='eth2'

> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
> IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
> IP_ROUTE_N='2'

diese drei Einträge sind überflüssig, da ein Route zu den lokalen Netzen
_immer_ automatisch gesetzt wird!

> PF_FORWARD_2='IP_NET_3 ACCEPT'
> PF_FORWARD_3='IP_NET_4 ACCEPT'

erlaubt das Routing der beiden Netze zu jedem anderen Netz = OK

> PF_INPUT_1='IP_NET_3 ACCEPT'
> PF_INPUT_2='IP_NET_4 ACCEPT'

erlaub den Zugriff auf Dienste des fli4l aus den beiden Netzeb = OK

> PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
> PF_POSTROUTING_2='IP_NET_4 MASQUERADE'

alles was aus den beiden Netzen kommt mit NAT behandeln.

wenn Du direkte Kommunikation zwischen den beiden Netzen zulassen willst,
solltes Du eine Regel wie folgt setzen
PF_POSTROUTING_1='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'
und die beiden obigen auf _2 ubd _3 setzen!

Gruß Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72631 ist eine Antwort auf Beitrag #72629] Sat, 29 June 2019 13:22 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Peter,

Am 29.06.2019 um 09:44 schrieb Peter Schiefer:
>> PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
>> PF_POSTROUTING_2='IP_NET_4 MASQUERADE'
> alles was aus den beiden Netzen kommt mit NAT behandeln.
>
> wenn Du direkte Kommunikation zwischen den beiden Netzen zulassen willst,
> solltes Du eine Regel wie folgt setzen
> PF_POSTROUTING_1='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'

habe ich gemacht, keine Änderung,

> und die beiden obigen auf _2 ubd _3 setzen!

hier komme ich nicht ganz klar, sorry

Dankeschön
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72632 ist eine Antwort auf Beitrag #72629] Sat, 29 June 2019 17:58 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Peter,

>> IP_NET_3='172.18.2.99/24'
>> IP_NET_4='192.168.1.99/24'
>
>> IP_NET_3_DEV='eth2'
>> IP_NET_4_DEV='eth2'
>
>> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
>> IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
>> IP_ROUTE_N='2'
>
> diese drei Einträge sind überflüssig, da ein Route zu den lokalen Netzen
> _immer_ automatisch gesetzt wird!
>
>> PF_FORWARD_2='IP_NET_3 ACCEPT'
>> PF_FORWARD_3='IP_NET_4 ACCEPT'
>
> erlaubt das Routing der beiden Netze zu jedem anderen Netz = OK
>
>> PF_INPUT_1='IP_NET_3 ACCEPT'
>> PF_INPUT_2='IP_NET_4 ACCEPT'
>
> erlaub den Zugriff auf Dienste des fli4l aus den beiden Netzeb = OK
>
>> PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
>> PF_POSTROUTING_2='IP_NET_4 MASQUERADE'
>
> alles was aus den beiden Netzen kommt mit NAT behandeln.
>
> wenn Du direkte Kommunikation zwischen den beiden Netzen zulassen willst,
> solltes Du eine Regel wie folgt setzen
> PF_POSTROUTING_1='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'
> und die beiden obigen auf _2 ubd _3 setzen!

Du hast sicherlich Recht, aber Friedholds Probleme erklärt das imho nicht.

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72633 ist eine Antwort auf Beitrag #72628] Sat, 29 June 2019 18:11 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Friedhold,

>> Ok, dann beschreibe jetzt mal das gesamte Netz-Setup rund um den fli,
>> sonst kann man sich kein Bild machen.
>
> Wie meinst Du das? Ein Fli4l am Providerrouter (entweder Primacon oder
> O2)

ok, das erklärt die zwei anderen NICs.

> danach der Switch und daran alle Geräte bzw. Wlan. Nichts
> ungewöhnliches.

Ist der Switch gemanaged?

>> Und zeige auch die anderen Net-Einträge aus der base.
>
> Hier aus der rc.cfg:
>
>
> IP_CONNTRACK_MAX=''
> IP_NET_1='{Primacom-v4}'
> IP_NET_2='{O2-v4}'
> IP_NET_3='172.18.2.99/24'
> IP_NET_4='192.168.1.99/24'
> IP_NET_1_DEV='eth0'
> IP_NET_2_DEV='eth1'
> IP_NET_3_DEV='eth2'
> IP_NET_4_DEV='eth2'
> IP_NET_N='4'
> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
> IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
> IP_ROUTE_N='2'
>
> LUA_VERSION='5.3'
> MASQ_MODULE_N='0'
> MOUNT_BOOT='rw'
> NET_DRV_1='via-rhine'
> NET_DRV_1_OPTION=''
> NET_DRV_N='1'
> OPT_ADDMODULES='no'
> OPT_BASE='yes'
> OPT_HOTPLUG_PCI='no'
> OPT_IPV4='yes'
> OPT_IPV6='no'
> OPT_KLOGD='no'
> OPT_LOGIP='yes'
> OPT_LUA='no'
> OPT_MAKEKBL='no'
> OPT_NET_PREFIX='no'
> OPT_PNP='no'
> OPT_SYSLOGD='yes'
> OPT_Y2K='no'
> PASSWORD='xx'
> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='IP_NET_3 ACCEPT'
> PF_FORWARD_3='IP_NET_4 ACCEPT'
> PF_FORWARD_ACCEPT_DEF='yes'
> PF_FORWARD_LOG='no'
> PF_FORWARD_LOG_LIMIT='3/minute:5'
> PF_FORWARD_N='3'
> PF_FORWARD_POLICY='REJECT'
> PF_FORWARD_REJ_LIMIT='1/second:5'
> PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
> PF_INPUT_1='IP_NET_3 ACCEPT'
> PF_INPUT_2='IP_NET_4 ACCEPT'
> PF_INPUT_3='tmpl:samba DROP NOLOG'
> PF_INPUT_ACCEPT_DEF='yes'
> PF_INPUT_ICMP_ECHO_REQ_SIZE='150'
> PF_INPUT_LOG='no'
> PF_INPUT_LOG_LIMIT='3/minute:5'
> PF_INPUT_N='3'
> PF_INPUT_POLICY='REJECT'
> PF_INPUT_REJ_LIMIT='1/second:5'
> PF_INPUT_UDP_REJ_LIMIT='1/second:5'
> PF_OUTPUT_ACCEPT_DEF='yes'
> PF_OUTPUT_CT_ACCEPT_DEF='yes'
> PF_OUTPUT_CT_N='0'
> PF_OUTPUT_LOG='no'
> PF_OUTPUT_LOG_LIMIT='3/minute:5'
> PF_OUTPUT_N='0'
> PF_OUTPUT_POLICY='ACCEPT'
> PF_OUTPUT_REJ_LIMIT='1/second:5'
> PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
> PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
> PF_POSTROUTING_2='IP_NET_4 MASQUERADE'
> PF_POSTROUTING_N='2'
> PF_PREROUTING_CT_ACCEPT_DEF='yes'
> PF_PREROUTING_CT_N='0'
> PF_PREROUTING_N='0'
> PF_USR_CHAIN_N='0'
> PORTFW_N='0'
> POWERMANAGEMENT='none'
> RTC_SYNC='kernel'
>
> so in etwa? Oder was brauchst Du noch?

Optimierungen hatte Peter Dir ja schon genannt, auch wenn die das
Problem nicht lösen.
Einen Fehler sehe ich bislang leider auch nicht, deshalb müssen wir uns
schrittweise vortasten. Klar, nervt, aber mehr fällt mir leider nicht ein.

Lass uns also erst mal schauen, wo das Ping "verschüttet" wird.
Dazu zunächst vom 192.xxx ein

ping 172.18.2.99

Wie sieht denn der 192.xxx-Client aus (welches OS)? Wie ist seine
Netz-Konfig?

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72636 ist eine Antwort auf Beitrag #72633] Sun, 30 June 2019 08:54 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Heinz-Peter,

Am 29.06.2019 um 18:11 schrieb Heinz-Peter Faasen:
> Lass uns also erst mal schauen, wo das Ping "verschüttet" wird.
> Dazu zunächst vom 192.xxx ein
>
> ping 172.18.2.99

Immer noch so, wie weiter oben
beschrieben, keine
Änderungen:

ping vom 192.xxx ins 192.xxx ok.

root@pvehome:~# ping 192.168.1.99
PING 192.168.1.99 (192.168.1.99) 56(84) bytes of data.
64 bytes from 192.168.1.99: icmp_seq=1 ttl=64 time=0.399 ms
ins eigene Netz funktioniert.
--

ping vom 172.xxx ins 192.xxx ok.

root@pve:~# ping 192.168.1.120
PING 192.168.1.120 (192.168.1.120) 56(84) bytes of data.
64 bytes from 192.168.1.120: icmp_seq=1 ttl=63 time=0.592 ms
---

ping vom 192.xxx ins 172.xxx

root@pvehome:~# ping 172.18.1.120
PING 172.18.1.120 (172.18.1.120) 56(84) bytes of data.
From 192.168.1.120 icmp_seq=1 Destination Host Unreachable
--


vom 192.xxx ins Internet nicht ok



root@pvehome:~# ping 193.99.144.80

PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.

From 192.168.1.120 icmp_seq=1 Destination Host Unreachable



--
vom 172.xxx ins Internet ok

root@pve:~# ping 193.99.144.80
PING 193.99.144.80 (193.99.144.80) 56(84) bytes of data.
64 bytes from 193.99.144.80: icmp_seq=1 ttl=244 time=18.2 ms

--

Also: 172.xxx kommt ins 192.xxx Netz und ins Internet.

aber
192.xxx kommt nicht ins 172.xxx Netz und nicht ins Internet.


> Wie sieht denn der 192.xxx-Client aus (welches OS)? Wie ist seine
> Netz-Konfig?

2 Stück, ein frischer Proxmox und ein Laptop, auf 192.168.1.22 fest
eingestellt.


Der Switch ist nicht gemanagt.

Grüße
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72638 ist eine Antwort auf Beitrag #72636] Sun, 30 June 2019 09:48 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Friedhold,

>> Lass uns also erst mal schauen, wo das Ping "verschüttet" wird.
>> Dazu zunächst vom 192.xxx ein
>>
>> ping 172.18.2.99
>
> Immer noch so, wie weiter oben
> beschrieben, keine
> Änderungen:
>
> ping vom 192.xxx ins 192.xxx ok.
>
> root@pvehome:~# ping 192.168.1.99
> PING 192.168.1.99 (192.168.1.99) 56(84) bytes of data.
> 64 bytes from 192.168.1.99: icmp_seq=1 ttl=64 time=0.399 ms
> ins eigene Netz funktioniert.
> --
>
> ping vom 172.xxx ins 192.xxx ok.
>
> root@pve:~# ping 192.168.1.120
> PING 192.168.1.120 (192.168.1.120) 56(84) bytes of data.
> 64 bytes from 192.168.1.120: icmp_seq=1 ttl=63 time=0.592 ms
> ---
>
> ping vom 192.xxx ins 172.xxx
>
> root@pvehome:~# ping 172.18.1.120
> PING 172.18.1.120 (172.18.1.120) 56(84) bytes of data.
> From 192.168.1.120 icmp_seq=1 Destination Host Unreachable

da pingst Du aber irgendeinen Rechner im Netz an.
Mir ging es explizit darum, zu erfahren, ob die zweite IP auf eth2
antwortet.

Kannst Du eigentlich vom Router in beide Netze pingen?

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72639 ist eine Antwort auf Beitrag #72638] Sun, 30 June 2019 10:18 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Heinz-Peter,

Am 30.06.2019 um 09:48 schrieb Heinz-Peter Faasen:
> da pingst Du aber irgendeinen Rechner im Netz an.
ok
> Mir ging es explizit darum, zu erfahren, ob die zweite IP auf eth2
> antwortet.

> Dazu zunächst vom 192.xxx ein

> ping 172.18.2.99

geht, ok.

> Kannst Du eigentlich vom Router in beide Netze pingen?

ja, er zeigt auch im Status-Übersicht_Hosts in Arp-Tabelle alle Rechner
in beiden Netzen als online an, wenn sie on sind.


Nur mein 192.xxx kommt nicht ins Internet, das einzigste Problem.

Grüße
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72640 ist eine Antwort auf Beitrag #72628] Sun, 30 June 2019 10:31 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Roland ist gerade offline  Roland
Beiträge: 400
Registriert: September 2010
Senior Member
Hallo,


> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
> IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
> IP_ROUTE_N='2'

Und du hast hier wirklich noch 2 EXTERNE Router
als Gateway mit den IP's 172.18.2.99 bzw.
192.168.1.99 ??

Die wirst du vermutlich erst dann haben, wenn du
deine Verbindung per VPN hin bekommst.
Dabei dann aber auch noch nur einen Eintrag an
jedem Ende.

Gruß Roland
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72641 ist eine Antwort auf Beitrag #72640] Sun, 30 June 2019 10:44 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Roland,

Am 30.06.2019 um 10:31 schrieb Roland Franke:
> Hallo,
>
>
>> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
>> IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
>> IP_ROUTE_N='2'
>
> Und du hast hier wirklich noch 2 EXTERNE Router
> als Gateway mit den IP's 172.18.2.99 bzw.
> 192.168.1.99 ??
>
> Die wirst du vermutlich erst dann haben, wenn du
> deine Verbindung per VPN hin bekommst.
> Dabei dann aber auch noch nur einen Eintrag an
> jedem Ende.

Bei mir wird in der Web-Oberfläche des Fli4l die
172.18.1.99
und auch
192.168.1.99
als online angezeigt.

In der Base:

IP_NET[3]='172.18.2.99/24'
IP_NET[3].DEV='eth2'

IP_NET[4]='192.168.1.99/24'
IP_NET[4].DEV='eth2'

mit dem Rest komme ich nicht klar, was meinst Du genau?

Dankeschön
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72642 ist eine Antwort auf Beitrag #72639] Sun, 30 June 2019 11:15 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Heinz-Peter Faasen ist gerade offline  Heinz-Peter Faasen
Beiträge: 1026
Registriert: July 2010
Senior Member
Hallo Friedhold,

> Am 30.06.2019 um 09:48 schrieb Heinz-Peter Faasen:
>> da pingst Du aber irgendeinen Rechner im Netz an.
> ok
>> Mir ging es explizit darum, zu erfahren, ob die zweite IP auf eth2
>> antwortet.
>
> > Dazu zunächst vom 192.xxx ein
>
> > ping 172.18.2.99
>
> geht, ok.

Also auf 172.18.2.99 geht es, auf 172.18.2.120 aber nicht. Jedenfalls
schriebst Du das (s.u.).

>> Kannst Du eigentlich vom Router in beide Netze pingen?
>
> ja, er zeigt auch im Status-Übersicht_Hosts in Arp-Tabelle alle Rechner
> in beiden Netzen als online an, wenn sie on sind.

Ok.

> Nur mein 192.xxx kommt nicht ins Internet, das einzigste Problem.

Jetzt bin ich endgültig verwirrt denn Du sagtest:


> ping vom 192.xxx ins 172.xxx
>
> root@pvehome:~# ping 172.18.1.120
> PING 172.18.1.120 (172.18.1.120) 56(84) bytes of data.
> From 192.168.1.120 icmp_seq=1 Destination Host Unreachable

Du könntest mal ein traceroute vom 192.168.1.120 machen.

Gruß
Heinz-Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72648 ist eine Antwort auf Beitrag #72641] Sun, 30 June 2019 13:02 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
kay ist gerade offline  kay
Beiträge: 772
Registriert: July 2016
Senior Member
Am 30.06.2019 um 10:44 schrieb Friedhold Schuster:
> Hallo Roland,
>
> Am 30.06.2019 um 10:31 schrieb Roland Franke:
>> Hallo,
>>
>>
>>> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
>>> IP_ROUTE_2='172.18.2.99/24 192.168.1.99'
>>> IP_ROUTE_N='2'
>>
>> Und du hast hier wirklich noch 2 EXTERNE Router
>> als Gateway mit den IP's 172.18.2.99 bzw.
>> 192.168.1.99 ??
>>
>> Die wirst du vermutlich erst dann haben, wenn du
>> deine Verbindung per VPN hin bekommst.
>> Dabei dann aber auch noch nur einen Eintrag an
>> jedem Ende.
>
> Bei mir wird in der Web-Oberfläche des Fli4l die
> 172.18.1.99
> und auch
> 192.168.1.99
> als online angezeigt.
>
> In der Base:
>
> IP_NET[3]='172.18.2.99/24'                            
> IP_NET[3].DEV='eth2'                                     
>
> IP_NET[4]='192.168.1.99/24'                           
> IP_NET[4].DEV='eth2'
>
> mit dem Rest komme ich nicht klar, was meinst Du genau?

Vielleicht das 172.18.2.99/24 kein Netzwerk der üblichen Art sein kann!
Und 192.1668.1.99/24 auch nicht.

Ich denke du hast deinem FLI4L die EINZELNE IP Adresse(n) 172.18.2.99
und 192.168.1.99 zuweisen wollen - mit einem Netzwerk dahinter das für
255 Adressen reichen soll (= /24). Aber es scheint als ob du Netzwerk
und IP-Adresse(n) verwechselt hast. Denn dann müsste m.E. statt der .99
eine .0 stehen. Also beispielsweise 192.168.1.99 als IP und das im Netz
192.168.1.0/24. DAS wäre dann richtig!

Und ich hab echt keine Ahnung was die FLI Konfig aus deinen Einträgen
bastelt. Evtl. weist sie dem FLI die eine IP zu, und macht dann so eine
art proxy-arp für beide netze? [Hat jemand vom Team eine Meinung dazu?]

Mir kommt dein Setup jedenfalls schon im Ansatz nicht ganz Sauber vor.

Wenn ich deine Beiden IP bei
https://www.heise.de/netze/tools/netzwerkrechner/# eingebe dann kommt da
nichts (sinnvolles) was die Frage aufwirft wie das bei dir überhaupt
(halb) funktionieren konnte.

Kay

--
Sent via SN (Eisfair-1)
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72652 ist eine Antwort auf Beitrag #72648] Sun, 30 June 2019 13:55 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
LanSpezi
Beiträge: 1099
Registriert: August 2010
Senior Member
Hallo Kay,

Am Sun, 30 Jun 2019 13:02:52 +0200 schrieb Kay Martinen:

>> In der Base:
>>
>> IP_NET[3]='172.18.2.99/24'                            
>> IP_NET[3].DEV='eth2'                                     
>>
>> IP_NET[4]='192.168.1.99/24'                           
>> IP_NET[4].DEV='eth2'
>>
>> mit dem Rest komme ich nicht klar, was meinst Du genau?
>
> Vielleicht das 172.18.2.99/24 kein Netzwerk der üblichen Art sein kann!
> Und 192.1668.1.99/24 auch nicht.
>
> Ich denke du hast deinem FLI4L die EINZELNE IP Adresse(n) 172.18.2.99
> und 192.168.1.99 zuweisen wollen - mit einem Netzwerk dahinter das für
> 255 Adressen reichen soll (= /24). Aber es scheint als ob du Netzwerk
> und IP-Adresse(n) verwechselt hast. Denn dann müsste m.E. statt der .99
> eine .0 stehen. Also beispielsweise 192.168.1.99 als IP und das im Netz
> 192.168.1.0/24. DAS wäre dann richtig!

FALSCH - die Angabe einer IP + />Anzahl der gesetzten BITS der Netzmask ist
korrekt - dadraus wird wie auch bei anderen Distris die IP +
Netzwerk-/Broadcast-Adresse abgebildet.
>
> Und ich hab echt keine Ahnung was die FLI Konfig aus deinen Einträgen
> bastelt.

Wenn Du keine Ahnung von fli4l hast wäre es bessr, das Du hier deinen Senf
weg lässt.

Bei Friedhold dürfte eher das Problem sein, das das Routing bei seinen
Clients nicht passt.

@ friedhold: wie sieht den dir Routing-Konfiguration deiner Clients aus,
sind die 192.168.2.99 und die 172.18.2.99 das jeweilige default-Gateway
oder?


Gruß Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72658 ist eine Antwort auf Beitrag #72652] Sun, 30 June 2019 15:51 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Peter,

Am 30.06.2019 um 13:55 schrieb Peter Schiefer:
> @ friedhold: wie sieht den dir Routing-Konfiguration deiner Clients aus,
> sind die 192.168.1.99 und die 172.18.2.99 das jeweilige default-Gateway
> oder?

ja, sind sie.

> Bei Friedhold dürfte eher das Problem sein, das das Routing bei seinen
> Clients nicht passt.

wenn ich die gleiche Clients auf 172.xxx setze, klappt alles, aber auf
192.xxx kommen sie nicht ins Internet.

Oh Mann, ich wusste nicht, das zwei Netze auf einer Nic solche Probleme
bereiten können.

Danke für Euer Bemühen.
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72663 ist eine Antwort auf Beitrag #72658] Sun, 30 June 2019 17:46 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Roland ist gerade offline  Roland
Beiträge: 400
Registriert: September 2010
Senior Member
Hallo,

> wenn ich die gleiche Clients auf 172.xxx setze, klappt alles, aber auf
> 192.xxx kommen sie nicht ins Internet.

> Oh Mann, ich wusste nicht, das zwei Netze auf einer Nic solche Probleme
> bereiten können.

Versuch doch das ganze nochmals und "vergiss" einfach das es sich um
eine einzelne Nic handelt.
Heißt: Alles so einstellen wie als wären das zwei unterschiedliche Nic.
Am besten auch noch ohne die extra Einträge bei den Routen.
(Das Ganze also bei allen Forwardings und Routings für 2 getrennte Nic.
Dabei auch das Bidirectional nicht vergessen, wenn beide Subnetze
sich gegenseitig erreichen sollen)
Einzig und alleine, dass du bei dem Eintrag zum Device dann hat auf die
gleiche Hardware-Karte verweist.

Gruß Roland
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72785 ist eine Antwort auf Beitrag #72642] Wed, 10 July 2019 08:34 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Heinz-Peter,



Am 30.06.2019 um 11:15 schrieb Heinz-Peter Faasen:
> Du könntest mal ein traceroute vom 192.168.1.120 machen

mit welchen Optionen?

Ich komme immer noch nicht vom 192.168.xxx ins Internet.
Dies würde mir inzwischen reichen.

Dies habe ich jetzt mal so:

IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
IP_ROUTE_2='172.18.2.99/24 172.18.2.99'
IP_ROUTE_N='2'

nichts ist anders geworden.

Was könnte ich nur übersehen haben? Es ist bestimmt etwas ganz einfaches.

Grüße
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72786 ist eine Antwort auf Beitrag #72652] Wed, 10 July 2019 09:05 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Peter,

Am 30.06.2019 um 13:55 schrieb Peter Schiefer:
> @ friedhold: wie sieht den dir Routing-Konfiguration deiner Clients aus,
> sind die 192.168.2.99 und die 172.18.2.99 das jeweilige default-Gateway
> oder?

Auf meinem Client: 192.168.1.120:
IP-Adresse: 192.168.1.120
Netzmaske: 255.255.255.0
Gateway: 172.18.2.99 /auch 192.168.1.99 geht nicht


IP_NET_1='{Primacom-v4}'
IP_NET_2='{O2-v4}'
IP_NET_3='172.18.2.99/24'
IP_NET_4='192.168.1.99/24'
IP_NET_1_DEV='eth0'
IP_NET_2_DEV='eth1'
IP_NET_3_DEV='eth2'
IP_NET_4_DEV='eth2'
IP_NET_N='4'
IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
IP_ROUTE_2='172.18.2.99/24 172.18.2.99'
IP_ROUTE_N='2'
PF_FORWARD_1='tmpl:samba DROP'
PF_FORWARD_2='IP_NET_3 ACCEPT'
PF_FORWARD_3='IP_NET_4 ACCEPT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='no'
PF_FORWARD_LOG_LIMIT='3/minute:5'
PF_FORWARD_N='3'
PF_FORWARD_POLICY='REJECT'
PF_FORWARD_REJ_LIMIT='1/second:5'
PF_FORWARD_UDP_REJ_LIMIT='1/second:5'
PF_INPUT_1='IP_NET_3 ACCEPT'
PF_INPUT_2='IP_NET_4 ACCEPT'
PF_INPUT_3='tmpl:samba DROP NOLOG'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_ICMP_ECHO_REQ_SIZE='150'
PF_INPUT_LOG='no'
PF_INPUT_LOG_LIMIT='3/minute:5'
PF_INPUT_N='3'
PF_INPUT_POLICY='REJECT'
PF_INPUT_REJ_LIMIT='1/second:5'
PF_INPUT_UDP_REJ_LIMIT='1/second:5'
PF_OUTPUT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_N='0'
PF_OUTPUT_LOG='no'
PF_OUTPUT_LOG_LIMIT='3/minute:5'
PF_OUTPUT_N='0'
PF_OUTPUT_POLICY='ACCEPT'
PF_OUTPUT_REJ_LIMIT='1/second:5'
PF_OUTPUT_UDP_REJ_LIMIT='1/second:5'
PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
PF_POSTROUTING_2='IP_NET_4 MASQUERADE'
PF_POSTROUTING_3='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_4='IP_NET_4 IP_NET_3 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_N='4'
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_PREROUTING_CT_N='0'
PF_PREROUTING_N='0'
PF_USR_CHAIN_N='0'
PORTFW_N='0'

Dankeschön
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72788 ist eine Antwort auf Beitrag #72786] Wed, 10 July 2019 10:58 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Carsten Spieß ist gerade offline  Carsten Spieß
Beiträge: 189
Registriert: January 2013
Senior Member
Hallo Friedhold,

> Auf meinem Client: 192.168.1.120:
> IP-Adresse: 192.168.1.120
> Netzmaske: 255.255.255.0
> Gateway: 172.18.2.99 /auch 192.168.1.99 geht nicht
Das muss 192.168.1.99 sein.
Regel: das Defaultgateway muss _immer_ im gleichen Netz
wie der Client sein, sonst kann er es nicht finden!

> IP_NET_1='{Primacom-v4}'
> IP_NET_2='{O2-v4}'
> IP_NET_3='172.18.2.99/24'
> IP_NET_4='192.168.1.99/24'
> IP_NET_1_DEV='eth0'
> IP_NET_2_DEV='eth1'
> IP_NET_3_DEV='eth2'
> IP_NET_4_DEV='eth2'
> IP_NET_N='4'
o.k.

> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
> IP_ROUTE_2='172.18.2.99/24 172.18.2.99'
> IP_ROUTE_N='2'
Das braucht es m.E. nicht,
die Netze sind über IP_NET_3/4 bekannt.

> PF_FORWARD_1='tmpl:samba DROP'
> PF_FORWARD_2='IP_NET_3 ACCEPT'
> PF_FORWARD_3='IP_NET_4 ACCEPT'
o.k.

> PF_POSTROUTING_1='IP_NET_3 MASQUERADE'
> PF_POSTROUTING_2='IP_NET_4 MASQUERADE'
> PF_POSTROUTING_3='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_4='IP_NET_4 IP_NET_3 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_N='4'
Die 3 und 4 machen das gleiche (BIDIRECTIONAL)
3/4 sollte vor 1 und 2 stehen also:
PF_POSTROUTING_1='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'
PF_POSTROUTING_2='IP_NET_3 MASQUERADE'
PF_POSTROUTING_3='IP_NET_4 MASQUERADE'
PF_POSTROUTING_N='3'

HTH, Gruß
Carsten
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72806 ist eine Antwort auf Beitrag #72788] Thu, 11 July 2019 07:26 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Casten,

Am 10.07.2019 um 10:58 schrieb Carsten Spieß:
>> IP_ROUTE_1='192.168.1.99/24 172.18.2.99'
>> IP_ROUTE_2='172.18.2.99/24 172.18.2.99'
>> IP_ROUTE_N='2'
> Das braucht es m.E. nicht,
> die Netze sind über IP_NET_3/4 bekannt.
>

Ich habe es rausgenommen. Keine Veränderungen.

> Die 3 und 4 machen das gleiche (BIDIRECTIONAL)
> 3/4 sollte vor 1 und 2 stehen also:
> PF_POSTROUTING_1='IP_NET_3 IP_NET_4 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_2='IP_NET_3 MASQUERADE'
> PF_POSTROUTING_3='IP_NET_4 MASQUERADE'
> PF_POSTROUTING_N='3'

Das habe ich auch geändert. Auch keine Veränderung.

Ich komme aus dem IP_NET_4, 192.168.xxx nicht ins Internet. Und auch
nicht ins IP_NET_3, 172.18.xx

Wo kann ich noch schrauben? Was kann ich noch liefern?

Grüße
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72810 ist eine Antwort auf Beitrag #72806] Thu, 11 July 2019 16:07 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
LanSpezi
Beiträge: 1099
Registriert: August 2010
Senior Member
Hallo Friedhold,

Am Thu, 11 Jul 2019 07:26:14 +0200 schrieb Friedhold Schuster:

> Ich komme aus dem IP_NET_4, 192.168.xxx nicht ins Internet. Und auch
> nicht ins IP_NET_3, 172.18.xx
>
> Wo kann ich noch schrauben? Was kann ich noch liefern?

wie sieht auf den Clients des Netzes die IP-Konfiguration aus?

Ist dort die IP des fli4l des Netzes 192.168. sowohl das default-Gateway
als auch die DNS-Server Adresse?

Gruß Peter
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72813 ist eine Antwort auf Beitrag #72810] Thu, 11 July 2019 18:10 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Friedhold Schuster ist gerade offline  Friedhold Schuster
Beiträge: 446
Registriert: October 2011
Senior Member
Hallo Peter,

Am 11.07.2019 um 16:07 schrieb Peter Schiefer:
> wie sieht auf den Clients des Netzes die IP-Konfiguration aus?
>
> Ist dort die IP des fli4l des Netzes 192.168. sowohl das default-Gateway
> als auch die DNS-Server Adresse?

Ja, es ist die IP des jeweiligen Netzes.

Auf meinem Client: 192.168.1.120:
IP-Adresse: 192.168.1.120
Netzmaske: 255.255.255.0
Gateway: 192.168.1.99

was kann ich noch nachsehen?

Grüße
Re: 2 Netzwerkbereiche auf einer NIC [Beitrag #72821 ist eine Antwort auf Beitrag #72813] Fri, 12 July 2019 14:57 Zum vorherigen Beitrag gehen
LanSpezi
Beiträge: 1099
Registriert: August 2010
Senior Member
Hallo Friedhold,

Am Thu, 11 Jul 2019 18:10:43 +0200 schrieb Friedhold Schuster:

>> wie sieht auf den Clients des Netzes die IP-Konfiguration aus?
>>
>> Ist dort die IP des fli4l des Netzes 192.168. sowohl das default-Gateway
>> als auch die DNS-Server Adresse?
>
> Ja, es ist die IP des jeweiligen Netzes.
>
> Auf meinem Client: 192.168.1.120:
> IP-Adresse: 192.168.1.120
> Netzmaske: 255.255.255.0
> Gateway: 192.168.1.99
>
> was kann ich noch nachsehen?

mach doch mal bitte je auf einem Client des jeweiligen Netzes ein
tracert (Windows) bzw. traceroute (Linux) zu der IP eines Clients des
anderen Netzes.

und bitte auch jeweils mit dem Ziel www.fli4l.de bzw. 217.197.80.132

und poste die jeweilige Ausgabe hier.


Gruß Peter
Vorheriges Thema: nformationen zu den wöchentlichen 3.10-Archiven vom 12.07.2019 (r56264)
Nächstes Thema: Informationen zu den wöchentlichen 3.10-Archiven vom 19.07.2019 (r56264)
Gehe zum Forum:
  


aktuelle Zeit: Mon Oct 21 22:20:07 CEST 2019

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.01585 Sekunden