[fli4l] Internetzugang nur aus einem Subnet moeglich

Martin Hans martin.hans at directbox.com
Mi Jan 30 09:10:29 CET 2013


schrieb Hans Bachner:
> Hallo Martin,

Servus Hans,
>
>> mit folgender Konfiguration kommen nur Clients aus dem Netz IP_NET_1
>> ins Internet, der Rest nicht. Warum?
>
> Weil du bei den PF_FORWARD Regeln nur IP_NET_1 eingetragen hast?
>
> Ich nehme an, dass zwischen den Netzen 192.168.13/14/15/16.0 normal
> geroutet werden soll.

Ja - wobei ich wohl vergessen habe, zu erwähnen, dass zwischen den 
Netzen nicht der Fli4l routet, sondern ein Windows-Server: also der 
Fli4l sitzt im 192.168.16.0-Netz und über den Server 192.168.16.1 
erreicht er das 13er, 14er und 15er Netz.

> Dann brauchst du beim POSTROUTING noch eine Regel
> in der Art
> POSTROUTING_LIST_n='if:any:eth3 MASQUERADE'

OK - werde ich testen, kann ich nur leider im Moment nicht.

Und das auf einen anderen Standort umsetze, an dem ich keinen 
CompanyConnect, sondern S-DSL (also pppoe) nutze, dann müsste es heißen

PF_POSTROUTING_5='if:any:pppoe MASQUERADE'

oder?

Das hätte ich jetzt getestet, aber leider kommen noch immer nur die 
Geräte ins weite Netz, die im selben Subnetz wie der Fli4l liegen.

> (eth3 bzw. IP_NET_4 ist das Netz zum Internet, richtig?)

Richtig, ja.

> Dein Versuch mit den POSTROUTING Regeln 6 - 8 hat nichts gebracht, weil
> die betreffenden Adressen schon von den Regeln 1 - 3 "abgefangen"
> wurden.
>
> Was willst du eigentlich mit den diversen Regeln für 192.168.0.0/16
> (FORWARD, POSTROUTING) bezwecken? Ich blick da nicht ganz durch...

Wir haben eine Vielzahl von Standorten via Fli4l und OpenVPN vernetzt 
und durch diese Einstellung klappt der Transfer zwischen allen eigenen 
Netzen.

Bin zwar beim Verständnis der Paketfilter schon deutlich weiter 
gekommen, aber richtig Freunde werden wir wohl nie ;-)

Vielleicht gibt's ja noch einen Tipp :-)
>
> Viel Erfolg,
> Hans.

Danke!

Martin



Mehr Informationen über die Mailingliste Fli4L