Re: Netzwerkproblem
Am Montag, 21. März 2005 17:40 schrieb Reinhold Fischer:
> Hi!
>
> Am Donnerstag, 3. März 2005 18:31 schrieb Richard Mittendorfer:
> > Also sprach Reinhold Fischer <news4reini1a@aon.at> (Thu, 3 Mar 2005
> >
> > 16:38:07 +0100):
> > > Hi!
> >
> > hi.
>
> Danke für eure Hilfe, leider besteht das Problem immer noch.
>
> Ich versuche nochmals zu erklären, was ich eigentlich will.
>
> Ich habe 2 Server (debian, suse), die 2 Netzwerkkarten haben.
> Über das eine Adresse soll ich die Server direkt erreichen, wenn ich
> im selben Netzwerk bin, über die andere Adresse soll ich die Server
> indirekt über die Firewall erreichen.
> Bei "suse" funktioniert das, bei "debian" nicht.
Ich nehme noch mal deine Zeichung aus der ersten Mail (leicht
abgewandelt)
10.x.y.z-Netz ,------[firewall]------, 195.x.y.z-Netz (öffentlich)
| |
[client1]-------+--[debian || debian]--+-----[client2]
| | \
`----[SuSE || SuSE]----' \
|
Ist das hier ein Switch oder
hängen alle Rechner auf der
rechten Seite nur irgendwie
mit am Internet (evtl. weitere
Router dazwischen)?
Der Debian- und der SuSE-Server hängen sowohl im LAN (10.x.y.z) als auch
im öffentlichen Netz (195.x.y.z), routen aber nicht (IP-Forwarding aus,
Bridging aus (!)). Erst durch die Firewall (3. Rechner in beiden
Netzen) werden beide Netze miteinander verbunden.
Von client1 kommst du über die Firewall auf die SuSE, aber nicht auf den
Debian.
Hab ich das so richtig verstanden?
> Ich vermute, warum es bei "debian" nicht funktioniert ist, das beim
> Verbindungsaufbau über die Firewall das Antwortpaket dann nicht
> wieder zurück über die Firewall gesendet wird, sondern direkt über
> das andere Interface und daher nie eine TCP/IP-Session aufgebaut
> werden kann.
Die Wegewahl ist für eine IP-Verbindung egal. Hin- und Rückweg wie auch
verschiedene Pakete in die gleiche Richtung können über verschiedene
Wege laufen, ohne dass es die Kommunikation stört. Das ist ja das tolle
am IP-Protokoll.
> Kann ich irgend wo im Kernel festlegen, wenn ein Paket über ein
> Interface hereinkommt, dann soll die Antwort auch über dieses
> Interface hinausgehen?
Routing-Tabelle. Das Antwortpaket geht immer an die Absenderadresse
zurück, und wo das dann rausgeht entscheidet das Routing.
Um von client1 über die Firewall mit der 195.er Seite des Debain (oder
der SuSE) zu kommunizieren gibt es zwei Möglichkeiten:
1. Die Firewall NATet, die Pakete kommen also für den Debian von der
Firewall und er schickt sie dahin zurück.
oder
2. Auf dem Debian ist für das 10er-Netz eine Route über die Firewall
eingerichtet und die direkte Route über die andere Netzwerkkarte wird
deaktiviert.
In allen anderen Fällen wird ein Paket an den 195er Debian-NIC aufgrund
der Defaultroute im 10er Netz über die Firewall geleitet. Ohne
Source-NAT bleibt die Absender-IP aber erhalten und eine Antwort geht
an eine 10er-IP-Adresse (client1) und damit direkt über den 10er
Debian-NIC. Auch das sollte problemlos funktionieren.
Was bei dir wirklich läuft, kannst du am besten mit einem Sniffer
nachvollziehen (es reicht schon iptraf auf der Firewall und/oder auf
dem Debian).
Wenn es bei der SuSE-funktioniert und beim Debian nicht, dann liegt es:
- an der Firewall (die sperrt entweder alles oder zumindest den Verkehr
zum Debian) oder
- daran, dass zwischen Firewall und 195er Debian-NIC noch weitere Router
existieren, die ein 10er IP-Paket nicht routen (Internet)
Die Suse scheint dann aber trotzdem eine interne Verbindung zwischen
10er und 195er NIC herzustellen, weshalb du auch über die 195er NIC
drauf zugreifen kannst.
Zieh doch mal das Kabel an dem 195er NIC der SuSE ab - kommst du dann
von client1 immer noch über die 195er IP drauf?
Wenn ja, routet die SuSE selbst.
Debian macht das natürlich nicht - so, wie es sich gehört ;-)
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: