[fli4l] dnsmasq, mehrere (V)lan-Netze separat?

Hans Bachner hans at bachner.priv.at
Mo Jan 15 00:11:08 CET 2018


Hallo Kay,

Kay Martinen schrieb am 14.01.2018 um 22:02:
> Am 14.01.2018 um 20:47 schrieb Hans Bachner:
>> Kay Martinen schrieb am 14.01.2018 um 19:03:
>>>
>>> Frage: Hat denn jemand den dnsmasq mit mehreren netzsegmenten über VLANs
>>> im Einsatz? Oder über mehrere Echte Karten? Und keine Probleme?
>>
>> im Büro habe ich einen fli4l mit insgesamt vier Netzwerkkarten im
>> Einsatz (WAN / Produktion / DMZ / Gäste), auf dem der dnsmasq
>> einwandfrei funktioniert.
>>
>> Da beim Einsatz von VLANs direkt auf dem fli4l jedes VLAN ein eigenes
>> "Device" ethX.N bekommt und ein eigenes IP_NET_n konfiguriert hat, macht
>> es konfigurationstechnisch für den dnsmasq keinen Unterschied.
>
> Das ist schon klar. Man muß je nach Karte nur aufpassen OB die es kann -
> und mit oder ohne MTU Anpassung.

Ja, klar - ich dachte, das hättest du schon abgeklärt. Schlampig 
gelesen; du schreibst ja extra:
>>> Hat denn jemand den dnsmasq mit mehreren netzsegmenten über VLANs
>>> im Einsatz? Oder über mehrere Echte Karten?

> In meinen Futro S200 passt nur eine Extra Karte. Da ginge nur VLAN. Aber
> evtl. nehme ich einen anderen Rechner der dann aber deutlich Größer
> werden würde. Da würden dann mehrere NICs rein passen.

Ich verwende einen älteren Igel mit einer Quadport-NIC. Weiß nicht, was 
in dem grade drin ist; habe schon mit Karten von Sun, D-Link und alten 
DEC/Compaq Karten getestet.

>> Bei mir werden per DHCP Adressen im Produktions- und im Gästenetz
>> verteilt, in der dns_dhcp.txt sind daher zwei DHCP Ranges definiert:
>> DHCP_RANGE_1_NET='IP_NET_2'
>> DHCP_RANGE_2_NET='IP_NET_4'
>> mit Ranges aus den Adressbereichen der jeweiligen VLANs.
>>
>>> Ich nehm an die weiteren Netzsegmente tauchen dann in der WEBUI auch
>>> separat auf, auch mit den vergebenen leaaes, oder?
>>
>> jein - die Leases stehen in einer gemeinsamen Tabelle, in der Spalte
>> "Network" steht dann (bei mir) entweder IP_NET_2 oder IP_NET_4.
>
> So lange man die daran unterscheiden kann ist das ja okay. Sind die
> leases da denn nach IP aufsteigend sortiert - oder nach Netzwerk?

die sind nach Ablaufzeitpunkt der Leases sortiert.

>> Die Tabelle "DHCP-Ranges" hat eine Zeile pro Netzwerk.
>
> äh, ja klar. Das ist auch hier separat für das eine. Vermutlich tauchen
> zwei ranges in einem Netzwerk da auch zusammen auf. Hab's noch nicht
> probiert, ist auch nicht so wichtig.

Ich hab nur eine Range pro Netz, kann daher dazu nichts sagen.

>> Die Tabelle "DHCP-Hosts" mit den zwar über DHCP verteilten, aber fest
>> zugeordneten Adressen sowie der Möglichkeit, Adressen (außerhalb der
>> Range) dynamisch zu ergänzen, gibt es einmal pro Netzwerk.
>>
>> Zusammengefasst: DHCP für mehrere Subnetze im LAN funktioniert wie
>> erwartet und ohne irgendwelche Tricks oder Kopfstände.
>
> Danke Hans. Das ist ja genau das was ich brauchte zu hören.
> Dann kann ich ja mal los legen mir das entsprechend zusammen zu klöppeln. ;)
>
> Noch eine Frage: Kannst du bei dir zur Laufzeit auch Firewall regeln
> hinzu fügen um von einem Segment ins andere zu kommen, oder nur
> portweiterleitungen vom WAN in eines oder mehrere der Netzsegmente?

Über das Webinterface kann man keine Firewall-Regeln definieren. Wenn 
ich da wirklich einmal was zur Laufzeit brauche, gehe ich mit SSH auf 
den Router und geb den passenden iptables-Befehl ein

> Ich glaube die Weiterleitung von einem ins Andere Segment muss man in
> der Konfig machen und dann den FLI updaten - inkl. Downtime für Reboot...

Grundsätzlich solltest du das natürlich in der Basiskonfiguration schon 
mal mit drin haben (passende Regeln für FORWARD zwischen den Netzen im 
LAN). Wenn es sein muss, geht es aber auch im laufenden Betrieb (siehe 
oben).

Für die Unterstützung mehrerer Netze planst du aber sinnvollerweise 
ohnehin ein Update der Konfiguration ein - wenn du alles "on the fly" 
machst, merkst du Fehler in der Konfiguration erst nach dem nächsten 
Stromausfall. Und wenn du eine Netzwerkkarte einbauen musst, ist ein 
Shutdown sowieso zwangsläufig erforderlich.

Viel Erfolg beim Umbau,
Hans.


Mehr Informationen über die Mailingliste Fli4L