Router bzw. Netzwerk "durchschleifen" funktioniert nicht

  • Hallo Forum,
    bei meiner Suche habe ich leider nichts passendes gefunden, auch bei google nicht.
    Folgendes Problem: Der Raspberry Pi hängt mit einer festen IP-Adresse an einer Fritzbox. Nun will ich für spätere Zwecke ein "Pi-Netzwerk" aufbauen das wie folgt funktionieren soll: Der genannte Ras-Pi steht quasi als Server da. Er ist bereits aus dem I-net erreichbar, Apache und owncloud läuft. Nun will ich über eine USB-Netzwerkkarte ein Netzwerk aufbauen, indem andere Pi´s z.B. über einen tcp-socket Daten an den Server geben können. Die Pi´s in diesem Netzwerk können ins Internet (durch den Server), der Zugriff von außen soll nicht möglich sein (Das ist mit iptables oder firehol möglich aber noch nicht das Problem)

    isc-dhcp-server ist auch installiert und eingerichtet. in der /etc/sysctl.conf ist net.ipv4.ip_forward=1 auskommentiert.
    System ist das aktuelle Raspbian

    Das Problem ist nur: Ich bekomme absolut keine "Durchschleifung" des Internets zustande. Ping Befehl an den Pi-Server geht, jedoch nicht an die Fritzbox. Google aufrufen geht auch nicht.

    Config des isc-dhcp-servers:


    Code
    subnet 192.168.50.0 netmask 255.255.255.0 {
    range 192.168.50.10 192.168.50.250;
    option broadcast-address 192.168.50.255;
    option routers 192.168.50.1;
    default-lease-time 600;
    max-lease-time 7200;
    option domain-name "local";
    option domain-name-servers 8.8.8.8, 8.8.4.4;
    }


    /etc/network/interfaces:


    kann mir jemand sagen wo hier der Fehler liegt? Danke!

    Ersetzt der Pi das Licht bei Nacht, ist es der Prozessor der gleich kracht :)

  • Router bzw. Netzwerk "durchschleifen" funktioniert nicht? Schau mal ob du hier fündig wirst!

  • Hallo Dave,

    Wenn ich das so lese und davon ausgehe, dass du alles richtig konfiguriert hast, dann kommt mir als erstes die Rückroute in den Sinn. Dein Ping kommt vermutlich an der Fritzbox an, aber diese kennt den Rückweg ins 50er Netz nicht, daher kommt deine Antwort nicht an... Du brauchst eine statische Route auf der Fritz Box.

    Einmal editiert, zuletzt von PabloFiasko (22. November 2016 um 22:21)

  • kann mir jemand sagen wo hier der Fehler liegt?


    Was versprichst Du Dir davon, wenn Du das so kompliziert löst? Warum dürfen die anderen PIs nicht im gleichen Fritzbox-Netz werkeln, wie der PI-Server?

  • In erster Linie ein sicherheits Faktor. In dem pi Netz sollen später mal pis zur home Automation hängen. Zweitens will ich die Netzwerk Auslastung im normalen Netz gering halten da auch TV und Telefon darüber läuft.

    Das mit der Rück Route muss ich mal probieren

    Gesendet von meinem HTC One mit Tapatalk

    Ersetzt der Pi das Licht bei Nacht, ist es der Prozessor der gleich kracht :)

  • Wenn du einen DHCP-Server aufgesetzt hast, übermittelst du ja auch den Gateway an die in diesem Netz hängenden Systeme.

    Wenn du den "PI-Router" an einer FritzBox hast, müssen die Geräte in diesem Netz natürlich auch wissen, wie sie die Systeme im PI-Netz erreichen sollen.
    Denn das ist für die ein Router.
    Du kannst entweder bei jedem gerät im F!B-Netz die Route zum PI-Netz und den PI als Gateway eintragen, oder (einfacher und schmutziger), auf der F!B eine Feste Route (Netzwerkeinstellungen) eintragen.
    Hier wird das PI-Netz, die Subnetzmaske und der PI als Gateway eingetragen.

    Schmutziger, weil nun jeder Verkehr erst einmal zur F!B geht, da die anderen Systeme vom PI-Netz nichts wissen, und die F!B das dann zum PI weiterleitet.
    Einfacher, weil man es eben nur bei der F!B machen muss.

    Computer ..... grrrrrr

  • Das hört sich doch schon mal ganz gut an und wenn ich die Hilfe der fb lese liegt hier der Hund begraben. Werde ich mal ausprobieren hab nur heute leider nicht viel Zeit, Melde mich dann wieder

    Gesendet von meinem HTC One mit Tapatalk

    Ersetzt der Pi das Licht bei Nacht, ist es der Prozessor der gleich kracht :)


  • Wenn du einen DHCP-Server aufgesetzt hast, übermittelst du ja auch den Gateway an die in diesem Netz hängenden Systeme.


    Was ich aber im Moment bei seiner Idee nicht verstehe, welchen Sicherheitsgedanken er dabei hat und vor allem, wie er den damit erreichen will. Mir kommt es eher so vor, dass er mit 2 Netzen und beide mit Zugang ins Web und beide irgendwie zueinander durchgeroutet eher undurchschaubare Sicherheitslücken öffnet. Möglicherweise öffnet er einem Holepunching (habe ich auch gerade erst gelernt) Tür und Tor und kriegt nichts davon mit. Wenns zwei Netze sein müssen, da denke ich, eines ist unbedingt ein (i.ü.S.) Intranet, also ohne Internet, und das andere ist ein normales Netz mit Internetzugang. Aber wenn beide Netz einen Interzugang haben, hat das doch auch überhaupt keinen Einfluss auf die von ihm erwähnnt Netzlasteinsparung durch die Trennung... da kann doch gar nix eingespart werden.

    Ich würde das nicht so lösen... und falls er auch schon einen IPv6-Account hat, dann erst recht nicht. Er muss halt den Server explizit härten und die Dienste ordentlich einstellen. Auf dem Server mit Apache und Owncloud würde ich via Paketfilter generell allen Output mit dem SYN-Flag ins Internet dropen, ausser die Domains für die Update-Mirrors. Ebenso wird aller Input mit SYN-Flag gedropt, der nicht auf Port 80 oder 443 geht. Sofern dann die Ports auf dem Router ordentlich eingestellt sind und auf den Smart-PIs keine unnötigen Dienste laufen, was soll da noch passieren?

    Was meinst Du dazu? :s

    Einmal editiert, zuletzt von WinterUnit16246 (23. November 2016 um 14:47)

  • Das Internet soll ja nur für apt-get durchkommen. Aber ich glaube ich Bau einfach ein zweites Netzwerk auf und verbinde es falls nötig einfach mit der fb. Is glaub ich einfacher als mit dem durchleiten.

    Trotzdem danke für die Tipps!

    Gesendet von meinem HTC One mit Tapatalk

    Ersetzt der Pi das Licht bei Nacht, ist es der Prozessor der gleich kracht :)

  • Problem gelöst: einfach mit ner alten Fritzbox ein Sub-Netz aufgebaut, funktioniert Top! :) Danke nochmal!

    Gesendet von meinem HTC One mit Tapatalk

    Ersetzt der Pi das Licht bei Nacht, ist es der Prozessor der gleich kracht :)

  • Update: fritz box fürs subnetz wieder raus geschmissen, bremst dem Zugriff aus dem Internet zu sehr ab. Dann halt wieder wie bisher :)

    Ersetzt der Pi das Licht bei Nacht, ist es der Prozessor der gleich kracht :)

  • 1. in der /etc/sysctl.conf ist net.ipv4.ip_forward=1 auskommentiert.

    Du meinst wohl eher einkommentiert.

    2. Nur Forwarding wird Dir da nichts bringen. Du willst die anderen PIs über den einen ins Netz lassen aber nichts rein zu den anderen PIs.

    ok, einfach. Forwarding hast Du ja schon aktiviert. Kannst Du aber noch mal checken: cat /proc/sys/net/ipv4/ip_forward
    Sollte 1 bei rauskommen. Falls nicht echo "1" >> /proc/sys/net/ipv4/ip_forward
    Dann alles was raus geht von den anderen PIs maskieren; iptables Masquerading ist das was Du sichst.
    Per IPtables noch generell das FORWARD für das interne Interface nach draussen hinzufügen und fertig ist die Laube.

    Damit sparst Du Dir das lästige setzen von Routen auf anderen Rechnern im ersten Netz. Oder das generelle Routern z.B. an der Fritzbox.
    Über Fritzbox wäre eh die dümmste Idee, weil das Routen ansich geht, aber Sicherheit z.B. wenn man einzelnen Rechnern den Zugriff auf das 2. Netz untersagen will.... geht nicht.
    Dafür müsste man dann eh auf dem PI was machen. Also einfach direkt alles richtig am PI konfigurieren.

  • Ich habe im Internet für mehrere Tage, um zu finden, wie man das Problem zu beheben. Nachdem ich Ihren Beitrag gelesen habe, kenne ich den einfachsten Weg, um mit diesem Problem umzugehen. Vielen Dank.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!