Gateway:PF,Routing und NAT das totale Chaos

[Muhfragezeichen]

Hallo zusammen,
ich stehe vor folgendem Problem:
Ich soll einen Gateway erstellen. Ich besitze ein kleines von der Außenwelt komplett abgeschnittenes Netzwerk in dem sich DNS,DHCP,Web, FTP etc. Server tummeln. Die kleinen süßen Server sind auch sehr glücklich und spielen miteinander das einzige was sie nicht haben ist eine Anbindung über das "Hausnetz" in das Internet. Nun habe ich mir hier eine OpenBSD Kiste hingestellt mit zwei Netzwerkkarten mit den Namen em0 (IP: 192.168.0.1) welches die Karte in das "Internenetz" ist und xl0 (IP 192.168.1.0) welche in zukunft in das "Hausnetz" zeigen soll und via NAT ganz genau auf einen Server einen zweiten Gateway im Hausnetz Routen soll. Außerdem wird noch eine Firewallkonfiguriert, damit keiner meiner Server oder irgentwelche Dienste von außen die chance hat sich durch zu mogeln.

Zum Testen verwende ich nun mein "Internesnetz" und einen Laptop welches das "Hausnetz" darstellen soll und auf dem Apache2 läuft.

Nun kann ich ja grundsätzlich aus meinem Internennetz (IP:192.168.0.0/24) auf das Hausnetz (IP:192.168.1.0/24) nicht zugreifen, weil die Route fehlt.

Und dort beginnen meine Fragen. Muss ich eine Route setzen um aus dem Internennetz auf das Hausnetz zugreifen zu können oder benötige ich bloß die richtigen NAT einstellungen in meiner PF Konfiguration? Oder ergänzt NAT letzendlich einfach nur Routingeinstellungen so, dass er die IP's übersetzt in eine andere IP und die Ports manipulieren kann?
Wie Route Route ich denn allgm. in OpenBSD?! Habe das etwas im Netz gefunden und ich nun spezifisch für mein Netz so gedeutet habe:
route add -net 192.168.0.0/24 192.168.1.2
und ich habe echt keine Ahnung was es gebracht hat laut tests garnichts

Ich hoffe ihr versteht mein Anliegen und könnt mir weiter helfen.

Gruß
Muh?

[Lord_x]

Hallo

Grundsätzlich musst du zuerst das Routing auf der OpenBSD Kiste aktivieren. (sysctl net.inet.ip.forwarding=1)

Wie das genau geht steht hier in diesem Kapitel:
http://www.openbsd.org/faq/de/faq6.html

Zweitens musst du auf dem GW deines "Hausnetzes" ein routing definieren, damit Traffic aus dem Internet an deine IP des OpenBSD GW geschickt wird.

[Muhfragezeichen]

Routing ist bereits aktiviert.
Und ich dachte ich hätte mit
"route add -net 192.168.0.0/24 192.168.1.2 "
bereits eine route difiniert allerdings tut sich halt nichts. Wie Route ich richtig?

[Lord_x]

Zitat:

Zitat von Muhfragezeichen

"route add -net 192.168.0.0/24 192.168.1.2 "

Wo hast du das definiert?

[Muhfragezeichen]

Den Befehl habe ich einfach eingegeben habe gelesen so setzt man Routen bei OpenBSD
route [Kommando] [Adressen]
Komando gibt es folgende sachen: add, delete, change, flush, get, monitor

wenn ich mal route show mache kommt folgendes:
Routing tables

Internet:
Destination Gateway Flags Refs Use Mtu Prio Iface
default 192.168.0.1 UGS 0 62284 - 8 em0
loopback localhost UGRS 0 0 33196 8 lo0
localhost localhost UH 1 459 33196 4 lo0
192.168.0/24 link#1 UC 3 0 - 4 em0
192.168.0.1 00:30:05:7c:7d:97 HLc 1 9 - 4 lo0
192.168.0.3 00:30:05:7d:a3:bc UHLc 0 3 - 4 em0
ds 00:30:05:77:65:c6 UHLc 2 11015 - L 4 em0
192.168.1/24 link#2 UC 1 0 - 4 xl0
ROUTER.my.domain 00:0a:5e:3c:f4:83 UHLc 1 18 - 4 lo0
192.168.1.2 ROUTER.my.domain UGHS 0 0 - 8 xl0
BASE-ADDRESS.MCAST localhost URS 0 0 33196 8 lo0

edit: Das anpingen der von xl0 also 192.168.1.1 funktioniert aus dem Internennetz allerdings klappt es nicht einen rechner der sich dahinter befindet anzupingen in dem fall der Laptop mit 192.168.1.2. Jegliche Firewallregeln und NAT Regeln habe ich mit pfctl -d erstmal aus gemacht. Das pingen vom Gateway auf den Laptop funktioniert auch nur einfach die Route von Internen netz von em0 auf xl0 zu 192.168.1.2 nicht.

[Lord_x]

Wenn ich das richtig verstehe! Die Route musst du auf dem "GW" machen. Nicht auf dem OpenBSD Rechner.
Vielleicht hilft dir dieses Bild:


Einfach gesagt funktioniert das so:

CL1 macht eine Anfrage an CLX, also schickt CL1 alles an den "GW". Der "GW" weiss aber, dass er Traffic nach 192.168.2.0 zur IP 192.168.1.50 schicken muss und nicht ins Internet. Von dort übernimmt dann OpenBSD das weitere Routing zu CLX.

Genau so geht das umgekehrt. CLX will ins Internet und schickt dazu allen Traffic zur IP 192.168.2.50. OpenBSD schickt wiederum alles an die IP 192.168.1.1 und von dort geht es an den GW deines Providers oder an die Clients CL1 und CL2, welche er selber ja kennt.

[Muhfragezeichen]

Sehr schöne Grafik aber so sieht es leider bei mir nicht ganz aus. Ich kann auf der Arbeit leider nichts hochladen also versuche ich es anhand deiner erstellten Grafik noch einmal zu erklären.

In den Grundzügen ist sind aber ähnlich nur das CL1 nichts mit CLX zutun haben darf und anders herum weil ich sonst z.B. mit dem DHCP der sich hinter CLX verstecken könnte das Hausnetz larmlege Später soll dann OpenBSD GW mit NAT die IP und Port so manipulieren das im GW nurnoch eine IP Adresse hinzugefügrt werden muss (Das wäre aber nicht mein Bier wie es ab GW weiter geht ins Internet)

Meine Testumgebung sieht aber etwas anders aus.
Die Internet Wolke gibt es nicht

GW wäre momentan der Laptop mit Apache. mit der IP 192.168.1.2

OpenBSD GW hat intern(im Bild unten) die Karte mit der IP 192.168.0.1 und extern(im Bild oben) 192.168.1.1

Mit CLX will ich nun auf GW also den Apache. Ich will ihn anpingen können oder über ssh steuern.
So sieht etwa meine logik aus.
Internes Netz------------OpenBSD GW---------------------------------Hausnetz
CLX--------------------->[192.168.0.1-->192.168.1.1]---------------->192.168.1.2
Diese Grundvorraussetzung muss erstmal bestehen aber die klappt leider nicht.

ich dachte nun über den befehl route add 192.168.0.0/24 192.168.1.1 könnte ich nun auf das Hausnetz 192.168.1.2 zugreifen anpingen oder sonst was. Also anpingen kann ich dann aber nur die Karten 192.168.0.1 und 192.168.1.1 aber nicht 192.168.1.2


Anschließend wollte ich dann über die pf einstellungen nurnoch gewisse ports und wege zulassen und zum schluss über NAT dann irgentwann die Wege so manipulieren das von CLX ne TCP anfrage raus geht, über port 80, der NAT den Port Manipuliert so das es es an den Apache über Port 12345 weiter gibt. Den Apache hab ich dann natürlich so Konfiguriert das wer dann auch nur anfragen über diesen Port annimt so wie es später im Realen System der GW machen würde.

[midnight]

Normalerweise sollte es reichen, die IP in /etc/mygate einzugtragen.

Siehe auch hier: http://www.openbsd.org/cgi-bin/man.c...86&format=html

[Muhfragezeichen]

Welche IP soll denn da rein? Ich hab jetzt mal einfach alle mir erdenklichen Kombinationen dort hineingeschrieben.
192.168.0.1, 192.168.1.1 und 192.168.1.2 in jeglichicher reihenfolge einzeln zusammen alles.
Grundsätzlich steht für mich aber noch immer die Frage offen muss ich das überhaupt so machen? Funktioniert das überhaupt so? Kann ich das ganze auf über PaketFilter machen über NAT Regeln? (bis jetzt hat das mit den NAT Regeln aber auch alles nicht geklappt) Ich hab mir auch bereits zich Howtos, Manuel Pages und Forenbeiträge durchgelesen und es hat bis jetzt nichts weiter geholfen.

Ich muss zugeben ich bin etwas verzweifelt was dieses Routing angeht.

[midnight]

Zitat:

Zitat von Muhfragezeichen

Welche IP soll denn da rein? Ich hab jetzt mal einfach alle mir erdenklichen Kombinationen dort hineingeschrieben.
192.168.0.1, 192.168.1.1 und 192.168.1.2 in jeglichicher reihenfolge einzeln zusammen alles.
Grundsätzlich steht für mich aber noch immer die Frage offen muss ich das überhaupt so machen? Funktioniert das überhaupt so? Kann ich das ganze auf über PaketFilter machen über NAT Regeln? (bis jetzt hat das mit den NAT Regeln aber auch alles nicht geklappt) Ich hab mir auch bereits zich Howtos, Manuel Pages und Forenbeiträge durchgelesen und es hat bis jetzt nichts weiter geholfen.

Ich muss zugeben ich bin etwas verzweifelt was dieses Routing angeht.

Die IP der default route, sprich 192.168.1.2. Der OpenBSD-Server sollte dann aus dem Hausnetz erreichbar sein. Fuer NAT musst Du dann natuerlich noch entsprechende pf-rules definieren.

[Muhfragezeichen]

Der OpenBSD Router ist von beiden Seiten wunderbar ansprechbar auf der jeweiligen Netzwerkkarte. Das ist leider nicht mein Problem. Mein Problem ist es aus dem Internennetz (192.168.0.0/24) etwas aus dem Externen/Hausnetz wie man es auch nennen will (192.168.1.0/24) an zu sprechen. Das merkwürdige am ganzen finde ich, dass ich aus dem Internennetz die Externe Karte anpingen kann (192.168.1.1) aber aus dem Externennetz nicht die Interne Karte (192.168.0.1). Ich bin echt perplex, dass das so schwierig umzusetzen schein auf dem OpenBSD Server. Vor 2 Jahren hab ich das gleiche mit einem Linuxbasierten Router mit 4 Netzwerkkarten gemacht groß anders dürfte das ja nicht sein abgesehn davon des es nun sogar weniger Netzwerkkarten sind.

In der mygate Datei habe ich jetzt wieder 192.168.0.1 eingetragen weil dies ja schließlich der Gate vom Internen zum Haus/Externen Netz ist.

[Muhfragezeichen]

Es sei euch erlaubt mich zu steinigen. Der Standartgateway auf Externenseite wurde nicht eingestellt....
Bin ich erleichtert!
Vielen Dank für eure hilfe und gedult. Die fehler sitzen halt immer vor dem Bildschirm

[Lord_x]

Steinigt ihn!

Nein super das es funktioniert.

[Muhfragezeichen]

So und heute geht es weiter mit NAT.
Die PF Firewall ließ sich einglück überraschend einfach einstellen ich habe erstmal alles verboten und anschließend eine "Whitelist" gemacht mit allen Protokollen und Ports die erlaubt sind.

Nun wollte ich NAT einstellen und hielt mich an dieses HowTo: http://www.openbsd.org/faq/pf/de/nat.html

Dabei entstanden bei mir diese beiden "Verianten" die ich jeweils zum Testen auskommentiert habe.

Code:

#NAT Rule
#NAT uebersetzt alles interne in Externe IP Adresse und soll Port Manipulieren
#xl0=externe Karte em0=interne Karte
#Variante1
pass out on 192.168.1.1 from 192.168.0.0/24 to any nat-to 192.168.1.1
#Variante2
match out on xl0 from 192.168.0.0/24 to any nat-to 192.168.1.1
pass out log on xl0 from 192.168.0.0/24 to any

Bei Variante 1 kann ich nichtmehr über Port 80 auf meinen Webserver und bei Variante 2 manipuliert er laut Apache acces.log die Quell IP nicht. Woran könnte das liegen? Was habe ich falsch gemacht?

pfcftl -s state sagt mir:

Code:

all tcp 192.168.0.36:33333 -> 192.168.1.2:80 ESTABLISHED:ESTABLISHED

So sollte es doch auch eig. sein?!

[midnight]

Es fehlt ein u.a. `pass in' in deinen rules. Wenn Du NAT von deinem internen Netz in dein Hausnetz machen moechtest, musst Du in den rules ein `pass in' von deinem internen Netz auf den Server machen und ein `pass out' von deinem Server in dein Hausnetz.