# Routing zwischen zwei Netzen (versch. NICs) UND Internet

## Mr_Maniac

Hallo!

Demnächst bekomme ich "schnelleres DSL" und in Zuge dessen habe ich bereits die erforderliche Hardware bekommen:

Einen Speedport W700V der T-Com...

Da ich lieber meinen kleinen 200MHz-PC als Router/Server nehme, läuft der W700V momentan mit "Minimal-Features", nämlich nur als PPPoE-Modem via "PPPoE-Pass-Through".

Und nun zu meiner Frage / Meinem eventuellem Vorhaben:

Da der W700V ja nun ein Multi-Funktions-Gerät mit allem drum und dran ist, würde ich ihn gerne bei Bedarf auch als W-LAN-Access-Point nutzen.

Die Verkabelung am Router-PC sieht folgendermaßen aus:

zwei NICs - eth0 (z.Zt. ohne IP): W700V als Modem und eth1 (192.168.0.254) ins LAN.

Ich hatte eth0 nun testweise mal eine IP gegeben (192.168.2.254) und konnte sogar sofort von meinem PC aus (aus dem 192.168.0.x-Netz heraus) auf den Router zugreifen.

Ist mein Vorhaben ohne Sicherheits-Risiken möglich? Ich möchte den W700V weiterhin als Modem betreiben, aber eben auch - bei Bedarf - als W-LAN-Access-Point.

Es sollte zwischen den beiden NICs/Netzen hin- und her geroutet werden und das W-LAN-Netzwerk sollte auch über meinen Router ins Internet kommen.

Meine momentanen iptables-Regeln gibt es hier (Text-Datei - mit iptables-save ausgelesen):

http://home.arcor.de/mr_maniac/ANDERES/Linux/iptables.txt

Auch über sinnvolle Ergänzungen/andere Vorschläge zu den iptables würde ich mich freuen  :Smile: 

----------

## zworK

Ich habe quasi das gleiche Szenario hier seit über einem Jahr problemlos im Einsatz.

- Speedport W700V als Modem und WLAN Access Point mit WPA

- 200MHz Pentium MMX als Router mit 2 NICs (mit 2 C-Netzen). eth0 bedient das LAN, eth1 das WLAN sowie DSL.

Mein Router übernimmt die DSL Einwahl sowie den DHCP-Server fürs LAN und WLAN. Alle Clients aus dem LAN und WLAN können miteinander kommunizieren und kommen ins Internet.

Am Speedport selbst habe ich eigentlich alles abgeschaltet. Lediglich "PPPoE Passthrough" und WLAN inkl. WPA-Verschlüsselung sind aktiv.  Am Router habe ich dann den DHCP-Server (dnsmasq) um das neue C-Netz fürs WLAN erweitert. Standardgateway und DNS-Server zeigen dann so bei den WLAN-Clients auf den Router und surfen über selbigen.

Sicherheitstechnisch fahre ich momentan eine relativ niedrige Alarmstufe. Zwischen WLAN <-> Router <-> LAN gibt es keine Restriktionen, weil eigentlich alle Rechner letztendlich unter meiner Kontrolle liegen (, das hoffe ich zumindest  :Very Happy: ). Ein Schwachpunkt ist halt das WLAN, aber mit WPA und gutem Passwort sehe ich da momentan für das private Heimnetz noch kein Risiko. Ich lasse mich aber auch gern eines besseren belehren   :Smile: .

Anfangs hatte ich aber auch strenge iptables Regeln, die den WLAN-Clients nur Internetzugriff erlaubten. Sprich nur FORWARD zwischen eth1 und ppp0 war erlaubt, sowie INPUT/OUTPUT für IMCP, DHCP und DNS. Da sich meine WLAN-Nutzung jedoch stark erhöht hat, habe ich die Regeln Stück für Stück wieder entfernt.

Wie du dein Regelsatz erweiterst/anpasst, würde ich von der Art der WLAN-Nutzer abhängig machen.

----------

## Mr_Maniac

Das ist ja tatsächlich meinem Vorhaben SEHR ähnlich  :Smile: 

Nur dass ich ein bisschen mehr Dienste über meinen Router anbiete  :Wink: 

Aber das sollte ja egal sein...

W-LAN Benutzer würde es übrigens momentan nur einen geben... Und das auch nur manchmal...

Allerdings... Wenn man erst mal die Hardware hat, überlegt man sich halt mal, sie auch einzurichten  :Wink: 

Ach ja... Als ich meiner zweiten NIC die IP-Adresse zugewiesen hatte und auf den Router zugriff, fingen die LEDs "Status" und "Online" an zu blinken wie wild (und ich hatte erst das Blinken von Status und Festnetz wegbekommen  :Wink:  ).

Es war fast so, als ob der Router versucht hätte, trotz fehlender Zugangsdaten eine Verbindung aufzubauen... Ist das bei dir ähnlich gewesen?

----------

## zworK

Ich habe hier auch einiges an Diensten auf der Kiste. Nur fürs Routing könnte ich mir den Aufwand samt Strom auch gleich sparen  :Smile: 

Ich muss auch noch 2 Sachen korrigieren:

- Ich habe keinen W700v sonder einen W701v. Somit habe ich AVM Hardware und nicht Siemens.

- Ich habe PPPoE Passthough nicht eingeschaltet, sondern NAT ausgeschaltet, was so den Speedport zum Modem macht.

 *Mr_Maniac wrote:*   

> Ach ja... Als ich meiner zweiten NIC die IP-Adresse zugewiesen hatte und auf den Router zugriff, fingen die LEDs "Status" und "Online" an zu blinken wie wild (und ich hatte erst das Blinken von Status und Festnetz wegbekommen  ).
> 
> Es war fast so, als ob der Router versucht hätte, trotz fehlender Zugangsdaten eine Verbindung aufzubauen... Ist das bei dir ähnlich gewesen?

 

Habe ich hier nicht. Ob das aber an der unterschiedlichen Hardware liegt, kann ich jetzt nicht sagen. Anfangs hatte ich auch ein schnell blinkendes Status-LED. Grund dafür war die "Automatische Konfiguration" unter "Hilfsmittel". Einmal ausgeschaltet blieb die Status-LED aus. "Online" ist dauerhaft an.

----------

## Mr_Maniac

 *zworK wrote:*   

> 
> 
> - Ich habe PPPoE Passthough nicht eingeschaltet, sondern NAT ausgeschaltet, was so den Speedport zum Modem macht.
> 
> 

 

Dann ist der Speedport aber DOCH ein Router, oder? Nur, dass du HINTER dem Router NOCH einen Router hast... Oder verstehe ich da was falsch?

Bei mir wäre es ja so, dass ich eth0, eth1 UND ppp0 habe...

Und mein kleiner Router wählt sich ein (nicht der Speedport).

Deswegen habe ich ja Bedenken:

ppp0 und eth0 sind ja dann mehr oder weniger EINE NIC (Okay... ppp0 ist eher virtuell).

Und mich hatte es ja auch gewundert, dass ich sofort zugriff auf die Web-Oberfläche meines Routers hatte, als ich die IP an eth0 vergeben hatte. Schließlich ist keine Weiterleitung an eth0 in der iptables vorgesehen... Nur an ppp0...

----------

## zworK

 *Mr_Maniac wrote:*   

>  *zworK wrote:*   
> 
> - Ich habe PPPoE Passthough nicht eingeschaltet, sondern NAT ausgeschaltet, was so den Speedport zum Modem macht.
> 
>  
> ...

 

Nein, da verstehst du mich falsch. Ich habe hier auch eth0, eth1 und ppp0.

eth0: 192.168.0.1/24 - normales LAN

eth1: 192.168.2.2/24 - Verbindung zum Speedport (192.168.2.1) für WLAN

ppp0: Internet

PPPoE Passthrough brauchst du nur bei aktivem NAT am Speedport. Ist NAT ausgeschaltet lässt sich PPPoE Passthrough auch garnicht aktivieren (so ist es zumindest am W701v). Teste es selbst, indem du die NAT-Funktionalität am Speedport ausschaltest. Du solltest die Meldung bekommen, dass du das Gerät nur noch als DSL-Modem benutzen kannst. Genauso habe ich den Speedport auch im Einsatz: als Modem für meinen Router/Server der sich einwählt und als WLAN Access Point. Auch hier übernimmt mein Router NAT und DHCP (beides am Speedport aus). Letztendlich sollte es aber für den Router/Server egal sein, ob über PPPoE Passthrough oder als Modem.

 *Mr_Maniac wrote:*   

> Deswegen habe ich ja Bedenken:
> 
> ppp0 und eth0 sind ja dann mehr oder weniger EINE NIC (Okay... ppp0 ist eher virtuell).

 

Richtig. Es geht alles über ein NIC, aber mit unterschiedlichen Protokollen: TCP/IP und PPPoE. Aber auf der Ebene kenne ich mich nicht allzu gut aus um da ins Detail gehen zu können.

 *Mr_Maniac wrote:*   

> Und mich hatte es ja auch gewundert, dass ich sofort zugriff auf die Web-Oberfläche meines Routers hatte, als ich die IP an eth0 vergeben hatte. Schließlich ist keine Weiterleitung an eth0 in der iptables vorgesehen... Nur an ppp0...

 

Verwechselst du hier Masquerading mit IP-Forwarding?. Anhand deiner IP-Tables Regeln sehe ich da spontan nichts, was ein FORWARD zwischen den Interfaces verbietet oder explizit erlaubt.

----------

## Mr_Maniac

 *zworK wrote:*   

> 
> 
> PPPoE Passthrough brauchst du nur bei aktivem NAT am Speedport. Ist NAT ausgeschaltet lässt sich PPPoE Passthrough auch garnicht aktivieren (so ist es zumindest am W701v). Teste es selbst, indem du die NAT-Funktionalität am Speedport ausschaltest. Du solltest die Meldung bekommen, dass du das Gerät nur noch als DSL-Modem benutzen kannst.

 

Okay... Sowas hat der W700V gar nicht  :Wink: 

Ich kann zwar NAT-Regeln einstellen, aber NAT abstellen kann ich gar nicht...

Das einzige das - wie gesagt - geht ist: PPPoE Passthrough an und Zugangsdaten löschen...

 *Quote:*   

> Verwechselst du hier Masquerading mit IP-Forwarding?. Anhand deiner IP-Tables Regeln sehe ich da spontan nichts, was ein FORWARD zwischen den Interfaces verbietet oder explizit erlaubt.

 

Schon.. Aber müsste man nicht erst etwas in die Routing-Tabelle eintragen oder ähnliches, damit zwischen den zwei Interfaces (und verschiedenen IP-Ranges!) hin- und her-geroutet wird?

Normaler Weise sollte sowas doch nicht "einfach so" gehen, oder? *Verwirrt bin*

Habe übrigens gerade wieder eine IP an eth0 vergeben. Sobald ich auf die Web-Oberfläche des Routers zugreife, fangen schon wieder "Status" und "Online" an zu blinken... Und im Protokoll des Routers steht ja auch, dass er sich anscheinend verbinden möchte... Seltsam...

Wenn dem so ist: Kann das eigentlich irgendwelche Folgen für mich haben (Sperrung meines Anschlusses oder ähnliches)?

----------

## zworK

 *Mr_Maniac wrote:*   

>  *zworK wrote:*   Verwechselst du hier Masquerading mit IP-Forwarding?. Anhand deiner IP-Tables Regeln sehe ich da spontan nichts, was ein FORWARD zwischen den Interfaces verbietet oder explizit erlaubt. 
> 
> Schon.. Aber müsste man nicht erst etwas in die Routing-Tabelle eintragen oder ähnliches, damit zwischen den zwei Interfaces (und verschiedenen IP-Ranges!) hin- und her-geroutet wird?
> 
> Normaler Weise sollte sowas doch nicht "einfach so" gehen, oder? *Verwirrt bin*

 

Was die Clients im LAN betrifft, bei denen sollte das über die Default-Route abgewickelt werden. Am Router werden die Pakete dann über IP-Forwarding durch die Routing-Einträge ans ensprechende Interface weitergeleitet. 

Aber beim Speedport hast du natürlich recht  :Smile: . Der bräuchte für das andere C-Netz auch einen Routingeintrag. Ich kann im Speedport unter NAT einen Standardserver eintragen. Hast du die Option auch und vielleicht deinen Router eingetragen? Habe ich selbst nicht aktiviert und auch aus dem LAN keinen Zugriff auf den Speedport.

 *Mr_Maniac wrote:*   

> Habe übrigens gerade wieder eine IP an eth0 vergeben. Sobald ich auf die Web-Oberfläche des Routers zugreife, fangen schon wieder "Status" und "Online" an zu blinken... Und im Protokoll des Routers steht ja auch, dass er sich anscheinend verbinden möchte... Seltsam...
> 
> Wenn dem so ist: Kann das eigentlich irgendwelche Folgen für mich haben (Sperrung meines Anschlusses oder ähnliches)?

 

Dazu kann ich leider nicht viel sagen. Du könntest mal ins ip-phone-forum schauen. Vielleicht findest du da etwas über das merkwürdige Einwähl-Verhalten. Ein Mehrfacheinwahl soll wohl laut Hörensagen/lesen möglich sein, was sich der Provider dann entsprechend bezahlen lässt. Aber auch darüber weiß ich zuwenig.

----------

