• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Frage zu NAT im eigenen Netz

SierraX

Well-Known Member
Themenstarter #1
Jetzt hab ich mich so gefreut, dass ich überall an meinen Testnetzwerken Internet via NAT habe, dass ich übersehen habe, dass ich jetzt auch Netzwerk über NAT hab...
Moin erstma und nochmal langsam:
Ich hatte mir ein Testnetzwerk aufgebaut:

mit dem ISP Router sind allerdings noch weitere Rechner verbunden im Grunde auf der gleichen Ebene wie puffy-lab-1. Unter anderem halt auch ein Tunnel-Connector der einen Tunnel zu einem meiner Server im Internet hält. Da ich eine Defaultroute gesetzt habe (was ja 0.0.0.0/0 entspricht) und auf puffy-lab-1 in pf ein NAT eingerichtet wurde (auf em3) bin ich mir etwas unschlüssig wie es jetzt weiter geht. RDR-TO wäre zwar eine möglichkeit... aber dass ist alles andere als schön. Was ich mir jetzt überlegt habe, ist em3 (das z.Z. auf .0/24 Routet dem Netz mit dem ISP router auf .1 ) in 2 virtuelle Netzwerkkarten aufzuteilen die dann unterschiedlich Routen. Also: in der Richtung:
VR1:
.2/29
!route add default .1

VR2:
.253/25
!route add <tunnel netz> .254
!route add .64/26 .254
!route add .32/27 .254
!route add .16/28 .254
!route add .8/29 .254

Hab ich ein Logik loch drin? Gibt es einen eleganteren Weg den ich mal ausprobieren sollte/könnte? Dran arbeiten kann ich erst heut Abend, deshalb die theoretisch Frage, ob dass funktionieren könnte.
 
Zuletzt bearbeitet:

Rakor

Administrator
Mitarbeiter
#5
Ich hab das mal umbenannt. In Zukunft bitte aussagekräftige Titel verwenden. Ich versuche die, wenn ich drüber stolperte, umzubenennen aber es ist hält unnötig und nervig.
 

SierraX

Well-Known Member
Themenstarter #7
Was ist eigentlich die Frage? Das Diagramm und dazu die gekuerzten hostname.if ergeben fuer mich keinen Sinn/Absicht.
Ich bin einfach mal wieder am Sinn und Unsinn eines ISP Kabel Routers hängen geblieben, dem man keine statischen Routen in private Netze übergeben kann.
Da der das nicht kann muss das ja irgendjemand/etwas anders übernehmen. Stimmt schon ich hab viel verlangt sich in meine Denke rein zu versetzen, und dachte auch dass es mit meinem "Solved" zumindest hier getan wäre, weil das Problem ja nicht mehr existiert.
Das Problem war: Ich habe einen SSH VPN Tunnelserver in Jena. Und eine APU2 in München die einen Tunnel zu diesem aufbaut. Daneben das oben dargestellte Netzwerk aus 3 APU4s und 2 Raspi3's ebenfalls in München im gleichen Raum wie die APU2 beide sind mit je mit einem Kabel mit dem ISP Kabel Router verbunden. Bevor ich NAT auf puffy-lab-1 hatte, kam ich problemlos von dem Server in Jena bis zu den Raspi-Lab's. Weil keine default Route existierte und die Route nach Jena so gelegt war, dass sie den ISP Router einfach ignorierte. Nach NAT ging das nicht mehr. Weil danach eine default Route existierte und das Netzwerk in dem sowohl ISP Router / Puffy-Lab-1 / APU2 hingen immer an der NAT IP von Puffy-Lab-1 hängen geblieben ist.
Das mit dem Aufteilen einer NIC auf puffy-lab-1 wie oben angegeben war Blödsinn, weil viel zu kompliziert... aber mein erster Gedanke dazu. Gelöst hab ich das Problem mit einem svlan zwischen APU2 und puffy-lab-1
Ich hab gestern Abend einen Artikel dazu auf einem meiner Blogs geschrieben:
Da ist auch ein Bild des Endzustandes, mit dem sowohl die raspi-lab's ins Internet kommen, als auch Jena problemlos die raspi-lab's erreichen kann.
Artikel zum Thema
 

SierraX

Well-Known Member
Themenstarter #8
Da ist auch ein Bild des Endzustandes, mit dem sowohl die raspi-lab's ins Internet kommen, als auch Jena problemlos die raspi-lab's erreichen kann.
So problemlos wars dann doch nicht... konnte zwar Befehle absetzen und so weiter... aber sobald ich auf dem Ziel etwas mit einer grösseren Ausgabe hatte oder auch nur eine Kleinigkeit per scp kopieren, wollte es auf einmal nicht mehr.
Es hat ein wenig gedauert bis ich drauf gekommen bin, dass es an der zu hohen Standard MTU liegen könnte:
MTU problem bei Verbindungen über svlan0
 

Andy_m4

Well-Known Member
#9
Stimmt schon ich hab viel verlangt sich in meine Denke rein zu versetzen
Das Problem ist eher, dass Du das katastrophal beschreibst. Ich hab es jetzt drei mal gelesen und immer noch nicht verstanden.

Dein Text ist schwer zu lesen.
Keine sinnvolle Unterteilung in Absätze. Rechnernamen und Netznamen könnte man Fett oder kursiv darstellen.
Befehle in Code-Tags.

Auch die Kommentierung was früher falsch gelaufen ist ist eher verwirrend als hilfreich. Also weglassen.
Beschreib einfach den Ist-Zustand und das was Du erreichen willst (Soll-Zustand).
Und das ohne unnötige Umschweife a-la "Ich dachte erst man kann abc aber das hat dann nicht geklappt also hab ich xyz probiert blablubb"
 

SierraX

Well-Known Member
Themenstarter #10
Jaaa is ja gut jetz! Als normaler Member kann ich daran eh nix mehr ändern... ein darauf rumhauen im Thread bringt da auch nix.
 
Zuletzt bearbeitet:

Andy_m4

Well-Known Member
#11
ein darauf Rumhauen im Thread bringt da auch nix.
Ein herum lamentieren ebenso wenig.
Entweder Du lieferst ne vernünftige Beschreibung ab oder Du lässt es halt ganz sein.

Ich versteh auch nicht, warum Du jetzt ein Drama draus machst. Sei doch froh, dass Dir jemand solche Hinweise gibt.

Ich hätte auch einfach gar nix dazu schreiben können und Du hättest Dich gewundert, warum Du keine (brauchbaren) Antworten bekommst.
Wenn Du aber partout keine Ratschläge hören willst, solltest Du auch nicht in Foren fragen.