APU2 und Routing...

wolle

Member
Hallo zusammen,

ich hab mir vor kurzem eine APU2 zugelegt und bräuchte jetzt mal eure Hilfe mit dem Routing. Das Netzwerk sieht ungefähr so aus:
Code:
                                       /-------- em1
INTERNET --- Seedport --- em0 --- APU2 --------- em2
                                       \-------- athn0
em0 bekommt die IP vom Speedport (ich hab zu viel Angst die APU direkt ans Netz zu hägen).
dhcpd benutzt em1, em2 und athn0 für die Vergabe von IPs.

Mein Problem:
Ich bekomme über athn0 eine IP für meinen (Windows) Laptop.
Ein Ping auf 192.168.1.1 funktioniert einwandfrei.
Ein Ping auf 8.8.8.8 funktioniert nicht (Request timed out).
Ich nehme an, das eine Route zwischen den beiden Subnetzen erstellt werden soll. Ich hatte das mal versucht, aber irgendwann ging dann garnichts mehr... ich kann nicht sagen welcher Versuch das jetzt schon ist...

Die Konfiguration bis jetzt:

hostname.em0
dhcp
up

hostname.em1 & hostname.em2
up

hostname.athn0
media autoselect mode 11a mediaopt hostap
nwid wifi
wpakey ifiwifiw
wpaprotos wpa2
chan 36
up

hostname.vether0
inet 192.168.1.1 255.255.255.0 192.168.1.255

hostname.bridge0
add vether0
add athn0
add em1
add em2
up

sysctl.conf
net.inet.ip.forwarding=1

dhcpd.conf
subnet 192.168.1.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;

range 192.168.1.10 192.168.1.50;
}

pf.conf
set skip on lo

block return # block stateless traffic
pass # establish keep-state

# By default, do not permit remote connections to X11
block return in on ! lo0 proto tcp to port 6000:6010

match in all scrub (no-df random-id max-mss 1440)

match out on em0 inet from !(vether0:network) to any nat-to (em0:0)

pass in on egress inet proto tcp from any to (egress) port ssh

Ich hatte auch schon nsd, unbound und httpd am Laufen nur das mit dem Weiterleiten ins Internet ging nicht...

Habt ihr ne Idee was fehlt? Das ist alles noch recht neu für mich.
 
ich hab zu viel Angst die APU direkt ans Netz zu hägen

WTF? Aber ein ranziger Speedport ist OK? Definitiv die falsche Sichtweise.

Zum Problem: Der Speedport wird keine Route zu 192.168.1.1/24 haben. Ich bin nicht mal sicher, ob die Dinger sowas überhaupt können.

Da du NAT machst, sollte das kein Problem sein. Ich muss noch mal genauer gucken. Wo wird eigtl auf dem APU eine Route gesetzt?
 
Ich krieg noch nichtmal das Routing zum Laufen und du willst das ich das Ding ans Netz häng :ugly:
Die Route hab ich bis jetzt manuell eingegeben:
route add 192.168.2.0 192.168.1.1
route add 192.168.1.0 192.168.2.1

Aber entweder hab ich die man-page falsch verstanden oder etwas anderes läuft noch schief...
 
Mit dem NAT bräuchtest du theoretisch nur eine Default-Route zum Speedport, die er eigtl. mit der IP vergeben sollte.
 
Hat der Speedport eine Rückroute in dein privates Netzwerk?
Hab genau dieses Setup zu Hause am laufen, erhalte vom Speedport, auf das ich keinen Zugriff hatte via DHCP eine IP auf mein Board und vergebe von dort ein eigenes Subnetz.

Für was ein bridge-Interface bzw. vether0 ?

match out on em0 inet from !(vether0:network) to any nat-to (em0:0)
Code:
match out on egress inet from !(egress:network) to any nat-to (egress:0)
(kA ob der Syntax passt, kanns eben nicht überprüfen).

Falls möglich bitte mal ein
Code:
pfctl -vvnf /etc/pf.conf
posten, mit dem output könnte ich mehr anfangen.
 
Zuletzt bearbeitet:
Jaa!! Mit deiner Zeile funktioniert das schon viel besser!
Die route Kommandos + deine Zeile + und in der dhcpd.conf den Eintrag doman-name-server auf den Speedport gesetzt. Jetzt funktioniert's!
Ich dachte die bridge sei nötig, damit die Interfaces Pakete untereinander austauschen können?

Hm ich dachte die route Kommandos seien temporär. Hab gerade neu gestartet und alles funktioniert immer noch.
 
Ich dachte die bridge sei nötig, damit die Interfaces Pakete untereinander austauschen können?
Hab von sowas kaum Ahnung, vorsicht Halbwissen:
Glaub du würdest den Job ein Netzwerk-Layer tiefer erledigen mit einer bridge (evtl ressourcensparender?), so erledigts halt deine Firewall. Bin kein Fan von vielen Configs, darum mach ich sowas lieber über pf.

Die route Kommandos + deine Zeile + und in der dhcpd.conf den Eintrag doman-name-server auf den Speedport gesetzt. Jetzt funktioniert's!
Falls du wirklich vom Speedport weg möchtest, nimm einen anderen DNS. Habe das zu Hause über dnscrypt und unbound erledigt (verschlüsselte DNS-Anfragen + Cache).

Hatte dazu schonmal einen Thread:
http://www.bsdforen.de/threads/dnscrypt-openbsd-router.33067/#post-286329
Auch wenn da keine geistigen Glanzleistungen von meiner Seite drin stehen
 
Vielleicht braucht man die auch nicht und ich hab mir das nur eingebildet...
Ich hatte mit nsd und unbound einen lokal am Laufen damit ich auch ohne IPs auf Webserver und co. zugreifen kann. Da ich aber so viel herumkonfiguriert habe und trotzdem nicht ins Netz kam, hab ich nochmal von vorn angefangen. Warum benutzt du dnscrypt und nicht nsd?
Ich werd später mal vether0 und bridge0 entfernen, mal schauen was passiert.
 
Eine Sache die mir bei bridge0 und vether0 aufgefallen ist, ist dass ich
bei Configs wie dhcpd.conf als Interface ein einfaches vether0 angeben kann
und alle anderen Interfaces werden dann auch bedient (funktioniert z.B. auch mit minidlna).

Aber eine Frage hab ich noch: Wenn ich jetzt doch den Speedport ersetzen wollte,
bräuchte ich dann eine zusätzliches VDSL Modem für die APU oder kann die APU das auch alleine?
 
Zurück
Oben