[fli4l] fl?==?utf-8?Q?i4l als reiner Ethernet-Ro?==?utf-8?Q?uter

Martin Dresbach martin.dresbach at arcor.de
Do Mär 19 07:57:05 CET 2015 

Hallo Matthias.

Erst einmal zu Vorsicht eine Verständnisfrage:
Dein IPCop verwaltet also vier Netze, richtig?

Also:
1) WAN (pppoe)
2) Sein verwaltetes LAN 1 (aaa.aaa.aaa.aaa/bb)
3) Sein verwaltetes LAN 2 (xxx.xxx.xxx.xxx/yy)
4) Anbindung an den Fli (192.168.12.0/24)

Wenn es so ist, muss der Fli noch die nötigen Routen eingetragen
bekommen. Natürlich muss der IPCop auch das entsprechende Forwarding
zwischen den Netzen erlauben und die entsprechende Route zum IP_NET_2
haben. Da ich von IPCop aber keine Ahnung habe, musst du dich da selber
drum kümmern. Rein logisch müsste die Route auf dem IPCop folgenden
aufbau haben:

Zielnetz: 192.169.13.0/24
Gateway: 192.168.12.11
Schnittstelle: 192.168.12.10

Auf der Seite vom Fli brauchst du auf jeden Fall zusätzlich zur
Default-Route noch Routen in die anderen Netze des IPCop.
Also insgesamt sollte das dann in etwa so aussehen:

IP_ROUTE_N='3'
IP_ROUTE_1='0.0.0.0/0 192.168.12.10' # default route zum IPCop
IP_ROUTE_2='aaa.aaa.aaa.aaa/bb 192.168.12.10' # Route zum
IPCop-verwalteten LAN 1
IP_ROUTE_3='xxx.xxx.xxx.xxx/yy 192.168.12.10' # Route zum
IPCop-verwalteten LAN 2


Außerdem muss der Fli auch das Forwarding in die IPCop-verwalteten
Netze erlauben. Bisher kommst du mit deiner FORWARD-Regel nämlich genau
bis zum IPCop (und somit auch ins WAN), aber nicht in seine anderen
Netze.
Entweder erlaubst du also einfach eine uneingeschränkte Kommunikation
in alle Netze (Lösung 1), oder gibst die zugelassenen Netze explizit an
(Lösung 2).

Lösung 1:

PF_FORWARD_N='1'
PF_FORWARD_1='any any ACCEPT BIDIRECTIONAL' # freie Kommunikation


Lösung 2:

PF_FORWARD_N='3'
PF_FORWARD_1='IP_NET_2 IP_NET_1 ACCEPT BIDIRECTIONAL' # freie
Kommunikation
PF_FORWARD_2='IP_NET_2 aaa.aaa.aaa.aaa/bb ACCEPT BIDIRECTIONAL' # freie
Kommunikation zum IPCop-verwalteten LAN 1
PF_FORWARD_3='IP_NET_2 xxx.xxx.xxx.xxx/yy ACCEPT BIDIRECTIONAL' # freie
Kommunikation zum IPCop-verwalteten LAN 2


Und noch aus reiner Neugier:
Warum betreibst du eigentlich das SNAT? Musst du das zwingend für den
IPCop machen? Das gesamte Routing sollte nämlich auch ohne diese Form
der Paketänderung funktionieren (falls der IPCop da nicht einen Riegel
vorschiebt).

Ich hoffe ich konnte dir helfen.

Liebe Grüße,
Martin

Mehr Informationen über die Mailingliste Fli4L