xDSL.at

von **klaus1** » Fr 20 Jul, 2007 18:25

Hallo!

Bitte euch um Hilfe bei meinem Netzwerk:

---ROUTER(192.168.0.1)---Router2(192.168.10.1)------Router3-Bridge(192.168.10.240)

PCs:
Router2 Privates NETZ: 192.168.10.x
Router3 Privates NETZ: 192.168.11.x

Alle Subnetze: 255.255.255.0

Problem: Kein Zugriff von PC auf Router2 zu PC auf Router3 und umgekehrt.
Welche Einstellungen in form der firewall.user (iptables befehle) sind hier exakt nötig?

Danke,
Klaus

von **wicked_one** » Sa 21 Jul, 2007 10:13

Nachdem Router3 nach deiner Angabe eine Bridge ist, kann der PC auf keinen Fall die IP 192.168.11.x haben...

oder ich hab etwas falsch verstanden.

von **jutta** » Sa 21 Jul, 2007 11:22

soll das sowas aehnliches werden? http://xDSL.at/viewtopic.php?t=34580

wenns nicht ein reines uebungsbeispiel ist: was ist der tiefere sinn daran, zwei netze durch router zu trennen und dann doch wieder alle clients auf alle anderen clients zugreifen zu lassen?

von **klaus1** » Sa 21 Jul, 2007 13:31

Ist kein Übungsspiel, sondern realität, ich habe am ROUTER 192.168.0.1 (mein Internet Zugang von SIL.AT) einen WLAN Router2 dran hängen, dort aufgrund der Reichweite eine Bridge die über die IP: 192.168.10.240 sowie 192.168.11.1 erreichbar ist. (hat zwei WLAN Netze, deshalb).

mfg

von **jutta** » Sa 21 Jul, 2007 13:41

was meinst du mit "bridge" - eine ethernet-bridge oder eine wlan-bridge?
und wo spielt da die iptables firewall mit?

grundsaetzlich ist eine bridge dadurch gekennzeichnet, dass beide enden im selben ip-netz sind. 192.168.10.xx und 192.168.11.xx werden daher nicht passen.

an sich brauchst du aber gar keine router, weil das zyxel schon einer ist. verwende die geraete doch als access-point.

von **klaus1** » Sa 21 Jul, 2007 13:45

Hi Danke für die Zahlreiche Diskussionsrunde.

Also nochmal genauer und ausführlicher meine Topologie.
Es schaut so aus, dass
ROUTER1 fix vorgegeben und konfiguriert ist von meinem ISP. Dieser hat eben einen DHCP laufen und versorgt mich mit NAT in die Außenwelt.
Der Router2 von mir besitzt 2 Interfaces:

ETHERNET: 192.168.0.22 (Fixe IP eingestellt).
WLAN: 192.168.10.x (hier läuft ein DHCP, der Router reagiert auf 192.168.10.1)

ROUTER3 ist aufgrund der geringen WLAN Reichweite von Router2 eingesetzt.
Dieser besitzt 2 WLAN Interfaces mit folgenden IPs:
192.168.11.x und wird per 192.168.10.240 mit dem Router2 über WLAN verbunden.
Die Clients erhalten die IP 192.168.11.x per DHCP und aben als Gateway 192.168.11.1 eingestellt.

Clients des Router2 erhalten den Gateway 192.168.10.1 und eine IP im 192.168.10.x Bereich.

Alle Subnetz Masken sind auf 255.255.255.0 eingestellt.

Die Internet Verbindung läuft auf ALLEN Clients problemlos.
Es liegt hier nur ein Firewall problem vor.

Router 2 und 3 sind sog. FON ROUTER.
Beispielsweise schaut die firewall.user auf Router2 so aus:

Code: Alles auswählen: config_load remote config_get ssh method ssh config_get webif method webif config_get rssh method rssh WAN="$wan_ifname" LAN="$lan_ifname" iptables -F input_rule iptables -F output_rule iptables -F forwarding_rule iptables -t nat -F prerouting_rule iptables -t nat -F postrouting_rule ### BIG FAT DISCLAIMER ## The "-i $WAN" is used to match packets that come in via the $WAN interface. ## it WILL NOT MATCH packets sent from the $WAN ip address -- you won't be able ## to see the effects from within the LAN. ### Open port to WAN and LAN ## -- This allows port 22 to be answered by (dropbear on) the router #iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT #iptables -A input_rule -i $WAN -p tcp --dport 22 -j ACCEPT ### Open Webinterface to WAN (available to LAN only by default) #iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 80 -j ACCEPT #iptables -A input_rule -i $WAN -p tcp --dport 80 -j ACCEPT ### Port forwarding ## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2 # iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80 # iptables -A forwarding_rule -i $WAN -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT ### DMZ ## -- Connections to ports not handled above will be forwarded to 192.168.1.2 # iptables -t nat -A prerouting_rule -i $WAN -j DNAT --to 192.168.1.2 # iptables -A forwarding_rule -i $WAN -d 192.168.1.2 -j ACCEPT if enabled $rssh && enabled $ssh then iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT iptables -A input_rule -i $WAN -p tcp --dport 22 -j ACCEPT fi if enabled $webif then iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 80 -j ACCEPT iptables -A input_rule -i $WAN -p tcp --dport 80 -j ACCEPT

von **jutta** » Sa 21 Jul, 2007 13:56

> Dieser besitzt 2 WLAN Interfaces mit folgenden IPs:
192.168.11.x und wird per 192.168.10.240 mit dem Router2 über WLAN verbunden.

ok, dann verwendest du ihn als router. kann man ihn auch als bridge oder repeater konfigurieren? (dh nur mit einer wartungs-ip) das wuerde das leben sehr erleichtern.

eigentlich brauchst du naemlich nur einen einzigen router: das zyxel.

dem router2 gibts du die lan-ip 192.168.0.2, dem router3 die lan-ip 192.168.0.3. (wan-ip entweder freilassen oder irgendeinen phantasiewert einsetzen, der nicht stoert. zb 192.168.25.x)

dann steckst du das vom modem kommende kabeln in einen lan-port des router2. den wan-port laesst du frei.

schau dir die beispiele von diskette an http://www.diskette.at/faq/Single_multiuser.htm

xDSL.at

Routing problem iptables

Routing problem iptables

Wer ist online?