1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

APU2 und Routing...

Dieses Thema im Forum "OpenBSD - Allgemein" wurde erstellt von wolle, 10 Januar 2017.

  1. wolle

    wolle New Member

    Registriert seit:
    10 Januar 2017
    Beiträge:
    5
    Hallo zusammen,

    ich hab mir vor kurzem eine APU2 zugelegt und bräuchte jetzt mal eure Hilfe mit dem Routing. Das Netzwerk sieht ungefähr so aus:
    Code:
                                           /-------- em1
    INTERNET --- Seedport --- em0 --- APU2 --------- em2
                                           \-------- athn0
    
    em0 bekommt die IP vom Speedport (ich hab zu viel Angst die APU direkt ans Netz zu hägen).
    dhcpd benutzt em1, em2 und athn0 für die Vergabe von IPs.

    Mein Problem:
    Ich bekomme über athn0 eine IP für meinen (Windows) Laptop.
    Ein Ping auf 192.168.1.1 funktioniert einwandfrei.
    Ein Ping auf 8.8.8.8 funktioniert nicht (Request timed out).
    Ich nehme an, das eine Route zwischen den beiden Subnetzen erstellt werden soll. Ich hatte das mal versucht, aber irgendwann ging dann garnichts mehr... ich kann nicht sagen welcher Versuch das jetzt schon ist...

    Die Konfiguration bis jetzt:

    hostname.em0
    dhcp
    up

    hostname.em1 & hostname.em2
    up

    hostname.athn0
    media autoselect mode 11a mediaopt hostap
    nwid wifi
    wpakey ifiwifiw
    wpaprotos wpa2
    chan 36
    up

    hostname.vether0
    inet 192.168.1.1 255.255.255.0 192.168.1.255

    hostname.bridge0
    add vether0
    add athn0
    add em1
    add em2
    up

    sysctl.conf
    net.inet.ip.forwarding=1

    dhcpd.conf
    subnet 192.168.1.0 netmask 255.255.255.0 {
    option domain-name-servers 192.168.1.1;
    option routers 192.168.1.1;

    range 192.168.1.10 192.168.1.50;
    }

    pf.conf
    set skip on lo

    block return # block stateless traffic
    pass # establish keep-state

    # By default, do not permit remote connections to X11
    block return in on ! lo0 proto tcp to port 6000:6010

    match in all scrub (no-df random-id max-mss 1440)

    match out on em0 inet from !(vether0:network) to any nat-to (em0:0)

    pass in on egress inet proto tcp from any to (egress) port ssh

    Ich hatte auch schon nsd, unbound und httpd am Laufen nur das mit dem Weiterleiten ins Internet ging nicht...

    Habt ihr ne Idee was fehlt? Das ist alles noch recht neu für mich.
     
  2. TCM

    TCM Well-Known Member

    Registriert seit:
    14 März 2005
    Beiträge:
    1.195
    WTF? Aber ein ranziger Speedport ist OK? Definitiv die falsche Sichtweise.

    Zum Problem: Der Speedport wird keine Route zu 192.168.1.1/24 haben. Ich bin nicht mal sicher, ob die Dinger sowas überhaupt können.

    Da du NAT machst, sollte das kein Problem sein. Ich muss noch mal genauer gucken. Wo wird eigtl auf dem APU eine Route gesetzt?
     
  3. wolle

    wolle New Member

    Registriert seit:
    10 Januar 2017
    Beiträge:
    5
    Ich krieg noch nichtmal das Routing zum Laufen und du willst das ich das Ding ans Netz häng :ugly:
    Die Route hab ich bis jetzt manuell eingegeben:
    route add 192.168.2.0 192.168.1.1
    route add 192.168.1.0 192.168.2.1

    Aber entweder hab ich die man-page falsch verstanden oder etwas anderes läuft noch schief...
     
  4. SierraX

    SierraX Active Member

    Registriert seit:
    18 Juli 2003
    Beiträge:
    2.303
    Ort:
    München
    Also die Grösse der Netze solltest du vielleicht bei deinem route add schon noch angeben
     
  5. TCM

    TCM Well-Known Member

    Registriert seit:
    14 März 2005
    Beiträge:
    1.195
    Mit dem NAT bräuchtest du theoretisch nur eine Default-Route zum Speedport, die er eigtl. mit der IP vergeben sollte.
     
  6. Rakor

    Rakor Moderator Mitarbeiter

    Registriert seit:
    17 September 2009
    Beiträge:
    1.875
    Ort:
    Mannheim
    Hat der Speedport eine Rückroute in dein privates Netzwerk?
     
  7. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    140
    Hab genau dieses Setup zu Hause am laufen, erhalte vom Speedport, auf das ich keinen Zugriff hatte via DHCP eine IP auf mein Board und vergebe von dort ein eigenes Subnetz.

    Für was ein bridge-Interface bzw. vether0 ?

    Code:
    match out on egress inet from !(egress:network) to any nat-to (egress:0)
    
    (kA ob der Syntax passt, kanns eben nicht überprüfen).

    Falls möglich bitte mal ein
    Code:
    pfctl -vvnf /etc/pf.conf
    
    posten, mit dem output könnte ich mehr anfangen.
     
    Zuletzt bearbeitet: 11 Januar 2017
  8. wolle

    wolle New Member

    Registriert seit:
    10 Januar 2017
    Beiträge:
    5
    Jaa!! Mit deiner Zeile funktioniert das schon viel besser!
    Die route Kommandos + deine Zeile + und in der dhcpd.conf den Eintrag doman-name-server auf den Speedport gesetzt. Jetzt funktioniert's!
    Ich dachte die bridge sei nötig, damit die Interfaces Pakete untereinander austauschen können?

    Hm ich dachte die route Kommandos seien temporär. Hab gerade neu gestartet und alles funktioniert immer noch.
     
  9. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    140
    Hab von sowas kaum Ahnung, vorsicht Halbwissen:
    Glaub du würdest den Job ein Netzwerk-Layer tiefer erledigen mit einer bridge (evtl ressourcensparender?), so erledigts halt deine Firewall. Bin kein Fan von vielen Configs, darum mach ich sowas lieber über pf.

    Falls du wirklich vom Speedport weg möchtest, nimm einen anderen DNS. Habe das zu Hause über dnscrypt und unbound erledigt (verschlüsselte DNS-Anfragen + Cache).

    Hatte dazu schonmal einen Thread:
    http://www.bsdforen.de/threads/dnscrypt-openbsd-router.33067/#post-286329
    Auch wenn da keine geistigen Glanzleistungen von meiner Seite drin stehen
     
  10. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    140
    Braucht man die? Wüsste nicht an der route was konfiguriert zu haben
     
  11. wolle

    wolle New Member

    Registriert seit:
    10 Januar 2017
    Beiträge:
    5
    Vielleicht braucht man die auch nicht und ich hab mir das nur eingebildet...
    Ich hatte mit nsd und unbound einen lokal am Laufen damit ich auch ohne IPs auf Webserver und co. zugreifen kann. Da ich aber so viel herumkonfiguriert habe und trotzdem nicht ins Netz kam, hab ich nochmal von vorn angefangen. Warum benutzt du dnscrypt und nicht nsd?
    Ich werd später mal vether0 und bridge0 entfernen, mal schauen was passiert.
     
  12. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    140
    Kenne nsd nicht (habs nie genutzt).
    Dnscrypt fragt die DNS verschlüsselt ab, ich möchte nicht, dass mein Provider auch nur den geringsten Funken mitlesen kann! Dnscrypt läuft weiterhin im Standard mit priv-Seperation und Chroot
     
  13. wolle

    wolle New Member

    Registriert seit:
    10 Januar 2017
    Beiträge:
    5
    Eine Sache die mir bei bridge0 und vether0 aufgefallen ist, ist dass ich
    bei Configs wie dhcpd.conf als Interface ein einfaches vether0 angeben kann
    und alle anderen Interfaces werden dann auch bedient (funktioniert z.B. auch mit minidlna).

    Aber eine Frage hab ich noch: Wenn ich jetzt doch den Speedport ersetzen wollte,
    bräuchte ich dann eine zusätzliches VDSL Modem für die APU oder kann die APU das auch alleine?
     
  14. derOliver

    derOliver Systemheld

    Registriert seit:
    31 Dezember 2014
    Beiträge:
    251
    ja du brauchst ein DSL Modem. Kannst aber auch den Speedport im PPPoE Modus betreiben und als reines Modem verwenden.