modem zwischen router und splitter ansprechen (routing problem?)

B

britneyfreek

Member
hallo leute.

ich möchte mein modem, dass hinter meinem bsd-router hängt (also zwischen router und splitter) im internen netz ansprechen können (modem bietet ein telnet interface).

mein netzwerk-layout müsst ihr euch wie folgt vorstellen:

Code: 
  wlan (10.10.20.*)             lan (10.10.10.*)
  |                             |
  |                             |
  |                             |
  + ath0 (10.10.20.1)           + fxp1 (10.10.10.1)
----------------------------------
| router                         |
----------------------------------
    + fxp0 (192.168.1.200, wan-adresse vom isp)
    |
    |
    |
    +(192.168.1.1)
   ---------
   | modem |
   ---------
    |
    |
    |
    isp

  1. router hat 2 interfaces (lan und wlan), routing zw. d. netzen funzt einwandfrei
  2. das wan-interface (192.168.1.200) wird von mpd als pppoe-schnittstelle zum modem verwendet
  3. das modem selbst könnte auch einzeln als router verwendet werden, hat die ip 192.168.1.1

jetzt kommts: auf dem router direkt kann ich das modem (192.168.1.1) anpingen und eine telnet verbindung aufbauen und mich einloggen.
von (windows-)clients in den internen netzen geht das nicht.

meine frage: warum? welche magische route fehlt mir zu diesem zweck?

meine routing-tabelle des routers:
Code: 
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            gw.des.isp         UGS         0  3994935    ng0
10.0.0.0           link#1             UC          0        0   fxp0
10.0.0.255         ff:ff:ff:ff:ff:ff  UHLWb       1     4795   fxp0
10.10.10.0         link#3             UC          0        0   fxp1
10.10.10.10        00:00:85:d1:ab:fe  UHLW        1    34095   fxp1   1088
rechner-a          00:1e:8c:3a:fc:81  UHLW        1  5972153   fxp1    755
10.10.10.255       ff:ff:ff:ff:ff:ff  UHLWb       1     4909   fxp1
10.10.20.0         link#2             UC          0        0   ath0
rechner-b          00:15:00:22:46:9a  UHLW        1  1256818   ath0    659
10.10.20.255       ff:ff:ff:ff:ff:ff  UHLWb       1    22322   ath0
localhost          localhost          UH          0   691392    lo0
192.168.1.0        link#1             UC          0        0   fxp0
192.168.1.200      00:01:29:18:f9:16  UHLW        1        0    lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWb       1      176   fxp0
gw.des.isp         meine.wan.ip       UH          1        0    ng0

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UHL         lo0
fe80::%lo0         fe80::1%lo0        U           lo0
fe80::1%lo0        link#5             UHL         lo0
ff01:5::           fe80::1%lo0        UC          lo0
ff02::%lo0         fe80::1%lo0        UC          lo0
 
Kann es sein, dass dem Modem die Routen für den Rückweg fehlen?

Ich denke, du müsstest dort noch zwei Routen anlegen:
Destination Gateway
10.10.10.10/24 192.168.1.200
10.10.10.20/24 192.168.1.200
 
@florian88
daran hab ich ja noch garnicht gedacht, klingt logisch. berichte später.

@manga
mja doch, vom router direkt komme ich ja aufs modem.

stay tuned...
 
rückrouten sollten bekannt sein, bekommt er ja beim anpingen gesagt wohin das paket soll.

ich nehm an, das du von fpx0 aus mit der internen adresse pingst.
 
Manga schrieb:
rückrouten sollten bekannt sein, bekommt er ja beim anpingen gesagt wohin das paket soll.
Zum Vergrößern anklicken....
Beim Pingen werden keine Routinginformationen übertragen. Ein Computer erzeugt auch keinen neuen Eintrag in der Routingtabelle, wenn er ein Paket aus einem bis dahin unbekannten Netz erhält. Sicherheitstechnisch wäre das eine Katastrophe.

Manga schrieb:
ich nehm an, das du von fpx0 aus mit der internen adresse pingst.
Zum Vergrößern anklicken....

Ich habe nicht berücksichtigt, dass der Router NAT macht. Das macht das Ganze etwas komplizierter.

Ich gehe davon aus, dass dein Eintrag
in der pf.conf zur Zeit in etwa so aussieht:
Code: 
nat on $fxp0 from ($fxp1:network) -> ($fxp0)

Wenn du nun von 10.10.10.1 dein Modem anpingst, schreibt dir der Router das Paket um. Dann ist die Quelladresse die WAN-Adresse vom ISP und die Ziel IP 192.168.1.1. Sollte klar sein, dass das nicht geht.

Damit du auf dem Modem keine Route anlegen musst, würde ich dir folgende Konfiguration vorschlagen:
Code: 
nat on $fxp0 from ($fxp1:network) to ! 192.168.1.0/24 -> ($fxp0)
nat on $fxp0 from ($fxp1:network) to 192.168.1.0/24 -> 192.168.1.200

Viel Erfolg beim Ausprobieren!!!
Wenn es nicht klappt könntest du uns vielleicht noch deine pf.conf geben?!?!?
 
@Manga:
Ich glaube wir reden irgendwie aneinander vorbei.

Also ich sehe folgendes Problem:
Wenn er vom internen Netz 10.10.10.x über den Router nach 192.168.1.1 will, hat er 2 Möglichkeit:
1. Der Router macht NAT.
Dann kommuniziert der Router über die IP 192.168.1.200 mit 192.168.1.1 -> Das Modem braucht keine Route zu 10.10.10.x

2. Der Router routet.
Das Modem (192.168.1.1) erhält ein Paket (sagen wir Ping) von der Quell IP 10.10.10.5. Da das Paket über den Router kommt, hat es als Quell MAC die MAC von fxp0. Nun will das Modem antworten. Aber woher soll es wissen, das es das Netz 10.10.10.x über den Router 192.168.1.200 erreicht? Ich denke, dazu muss man auf dem Gerät manuell eine Route anlegen.
Das Modem kann nicht einfach davon ausgehen, weil das Paket von Router kam, sende ich meine Antwort auch dahin zurück. Routen werden nur gelernt, wenn man entsprechende Routingprotokolle einsetzt. Ansonsten könnte eine beliebige Person im LAN, sich z.B. die IP von Google einstellen, dich dann einmal anpingen und danach würdes du jedesmal auf dem Rechner dieser Person landen, wenn du google aufrufst.

Wenn ich irgendwo einen Denkfehler habe, sag mir bitte bescheid.

lg
Florian
 
1. Der Router macht NAT.
Dann kommuniziert der Router über die IP 192.168.1.200 mit 192.168.1.1
Zum Vergrößern anklicken....

ich glaube eher er nimmt die externe ip, sonst kommt er ja nicht weit, falls er mal ins inet will.

2. ich glaube es gibt 3 möglichkeiten den weg zu finden
1. ich kenne das ziel (hier der fall, im arp cache nachschaun)
2. ich kenne das gateweay (siehe routingtabelle)
3. ich hab keine ahnung, dann nehm ich defaultgateway.

Ansonsten könnte eine beliebige Person im LAN, sich z.B. die IP von Google einstellen, dich dann einmal anpingen und danach würdes du jedesmal auf dem Rechner dieser Person landen, wenn du google aufrufst
Zum Vergrößern anklicken....


würde auch passieren wenn die adressen im selben netz liegen, ansonsten wird das standardgateway gefragt und das teilt dann die richtige route mit.
 
Manga schrieb:
ich glaube eher er nimmt die externe ip, sonst kommt er ja nicht weit, falls er mal ins inet will.
Zum Vergrößern anklicken....
Deswegen würde ich versuchen 2 NAT Regeln anzulegen, damit, wenn das Modem adressiert werden soll, 192.168.1.200 als Quell-IP verwendet wird.
Ein Paket mit Quell-IP $EXT_IP und Ziel-IP 192.168.1.1 würde nicht funktionieren, da Quell-IP und Ziel-IP in unterschiedlichen Netzen liegen. Wenn das Modem keine besondere Konfiguration hat, wird es nur mit Rechnern kommunizieren, die im 192.168.1.0/24 Netz liegen.
2. ich glaube es gibt 3 möglichkeiten den weg zu finden
1. ich kenne das ziel (hier der fall, im arp cache nachschaun)
Zum Vergrößern anklicken....
Nein, das mit dem ARP-Cache funktioniert nur, wenn kein Router im Spiel ist. Das Modem sieht keine MAC-Adressen hinter dem Router und die Rechner hinter dem Router kennen die MAC des Modems nicht. Wenn die Geräte über einen Router verbunden sind, verwenden sie als Ziel-MAC immer die MAC des Routers. Der Router schaut sich dann die Ziel-IP jedes Paketes an und versieht das Paket mit der entsprechenden Ziel MAC des Endgerätes.
2. ich kenne das gateweay (siehe routingtabelle)
Zum Vergrößern anklicken....
Da er auf dem Modem keine extra Route für das Netz eingerichtet hat, kennt das Modem kein Gateway für das Netz 10.10.10.0/24
3. ich hab keine ahnung, dann nehm ich defaultgateway.
Zum Vergrößern anklicken....
Wenn das Modem überhaupt einen Defaultgateway eintetragen hat, wird das sicherlich das Gateway des ISP sein. Aber ich bezweifele das es auf dem Modem ein Gateway gibt. Im Grunde genommen braucht das Modem ja nichtmal ne IP. Die dient hier nur dem Management.

würde auch passieren wenn die adressen im selben netz liegen, ansonsten wird das standardgateway gefragt und das teilt dann die richtige route mit.
Zum Vergrößern anklicken....
Ich habe nicht ganz verstanden wie du das meinst. Aber ein Router wird nicht nach einer Route gefragt und antwortet dann. Einem Router wird ein Paket geschickt und dieser leitet es dann weiter zum Ziel oder zum nächsten Router.
 
Wenn das Modem keine besondere Konfiguration hat, wird es nur mit Rechnern kommunizieren, die im 192.168.1.0/24 Netz liegen.
Zum Vergrößern anklicken....

wie bereits im ersten post erwähnt.


zur mac:

das modem sieht das paket vom router und bekommt dessen mac mitgeteilt,
also interessiert es sich gar nicht weiter für ip, da die mac im selben segment liegt.
manche router verwerfen allerdings Pakete die von anderen netzen kommen aus sicherheitsgründen, mit routingproblemen dürfte das weniger zu tun haben.


Zitat:
würde auch passieren wenn die adressen im selben netz liegen, ansonsten wird das standardgateway gefragt und das teilt dann die richtige route mit.
Ich habe nicht ganz verstanden wie du das meinst. Aber ein Router wird nicht nach einer Route gefragt und antwortet dann. Einem Router wird ein Paket geschickt und dieser leitet es dann weiter zum Ziel oder zum nächsten Router.
Zum Vergrößern anklicken....

das paket wird in diesem fall an das standardgateway gesendet...
 
das modem sieht das paket vom router und bekommt dessen mac mitgeteilt,
also interessiert es sich gar nicht weiter für ip, da die mac im selben segment liegt.
Zum Vergrößern anklicken....
Nur wenn der Router NAT macht und als Quell-IP 192.168.1.200 verwendet.

Ansonsten versucht das Modem auf ein Paket von 10.10.10.X zu antworten.
Dazu schaut es in seine Routingtabelle:
Ist 10.10.10.X in meinem Netz? Nein, ich brauche einen Router.
Habe ich eine Route für 10.10.10.X? Nein.
Habe ich ein Default Gateway? Nein, ich verwerfe das Paket.

Das Modem kennt die MAC des Routers. Aber allein die Tatsache, dass es von dieser MAC ein Paket von der IP 10.10.10.X erhalten hat, führt nicht dazu, dass das Modem in Zukunft Pakete für 10.10.10.X an die MAC des Routers adressiert. Dazu müsste der Router auf dem Modem als Defaultgateway eingetragen sein. Wenn ich britneyfreek richtig verstanden habe, ist er sich nicht sicher, ob er das gemacht hat.
 
nicht zanken ;)

es liegt wohl an der fehlenden route auf dem modem.
denn ich kann mich vom router (fxp0, 192.168.1.200) auf dem modem via telnet einloggen (192.168.1.1) und einen ping absetzen:
Code: 
$ping 192.168.1.200

Request Timed out
Request Timed out
Request Timed out
Request Timed out
-------------------- Ping Statistics --------------------
4 packets transmitted, 0 packets received, 100 percent packet loss

jetzt muss ich nur noch herausfinden, wie ich eine route hinzugefügt und in den flash geschrieben bekomme.
das modem ist das hier: http://bit.ly/bSmhkb
 
Dass du vom Router 192.168.1.200 nicht anpingen kannst, liegt wahrscheinlich eher an der Firewall. 192.168.1.200 und 192.168.1.1 liegen ja im selben Netz, dann brauchst du keinen Router. Sonst würde ja auch telenet nicht funktionieren.

Was passiert denn von du vom Router aus 10.10.10.X anpingst?
Wenn es an der Route liegt, sollte sowas wie
"No Route to Host"
kommen.
 
ja, das sollte eher an der firewall liegen... ich habe auf dem modem als standard-route jetzt mal den router eingetragen (192.168.1.200) und *bing*: ich kann von allen clients aus auf das webinterface des modems zugreifen und das dingen von überall aus anpingen.

the downside: die firmware scheint mächtig verbugt und verkackt die default-route nach einem neustart immer (auch wenn ich die änderung ins flash schreiben lasse).

an interessierte, dies lässt sich auf der telnet console wie folgt ändern:
Code: 
delete ip route ip 0.0.0.0 mask 0.0.0.0
create ip route ip 0.0.0.0 gwyip 192.168.1.200 mask 0.0.0.0

da die standard-routing-tabelle des modems aber so aussieht, als wenn der ping vom modem zum router auch ohne änderungen funzen müsste, ist evtl wirklich die firewall das problem.
warum funktioniert der ping dann aber mit geänderter standard-route?

werde meine pf.conf und die modem-routen nachher mal posten und mir deinen post #8 näher ansehen... werd jetzt erstmal nach haus.

Was passiert denn von du vom Router aus 10.10.10.X anpingst?
Zum Vergrößern anklicken....
du meinst "vom modem aus"? das geht nicht, da er ja standard-mäßig keine route hat.

UPDATE
ich habe meinem pf jetzt mal gesagt, dass er auf fxp0 auch alle pakete reinlassen soll.
jetzt geht auch der ping vom modem in beliebige interne netzte (also 192.168.1.0 und 10.10/16).
 
Zuletzt bearbeitet:
Florian88 schrieb:
Also ich sehe folgendes Problem:
Wenn er vom internen Netz 10.10.10.x über den Router nach 192.168.1.1 will, hat er 2 Möglichkeit:
1. Der Router macht NAT.
Dann kommuniziert der Router über die IP 192.168.1.200 mit 192.168.1.1 -> Das Modem braucht keine Route zu 10.10.10.x
Zum Vergrößern anklicken....
ja, der router macht nat und zwar wie folgt (pf.conf)
Code: 
# virtual interface created by mpd5
wan_if = "ng0" 
# nat, except $wan_if packets
nat on $wan_if from !($wan_if) to any -> ($wan_if)

Florian88 schrieb:
2. Der Router routet.
Das Modem (192.168.1.1) erhält ein Paket (sagen wir Ping) von der Quell IP 10.10.10.5. Da das Paket über den Router kommt, hat es als Quell MAC die MAC von fxp0. Nun will das Modem antworten. Aber woher soll es wissen, das es das Netz 10.10.10.x über den Router 192.168.1.200 erreicht? Ich denke, dazu muss man auf dem Gerät manuell eine Route anlegen.
Zum Vergrößern anklicken....
vllt ne dumme frage, aber routet ein router nicht sowieso immer?
deshalb muss man im betriebssystem (hier freebsd) das ip-forwarding doch einschalten(?).
 
Was soll das denn für ein ominöser ISP sein? Ist das ein Bastelnetz deiner Schulklasse?

1. Die Beschreibung deines Netzes passt nicht zu deinem Routingtable.
2. Dein Modem ist ein ADSL-Router.
3. Schau dir mal genau an wo du NAT machst.
4. Ich geb dir mal pauschal den :huth:.

Sorry wenn das jetzt nach RTFM geklungen hat.


mfg
morph
 
Hey morph,

also ganz so hart musst du mit ihm auch nicht in die Kritik gehen. Es mag vielleicht sein, dass er ein paar Verständnisschwierigkeiten im Bezug auf Routing und NAT hat, aber wenn du ihn schon kritisierst, dann sei wenigstens konstruktiv. Jeder fängt mal klein an!!!

Er versucht den DSL-Router als Modem zu benutzen, und das Routing/NAT soll dann sein OpenBSD-Router übernehmen. Ich finde die Idee grundsätzlich in Ordnung. Für mich sind die DSL-Router von AVM und co. immer Blackboxen. Wenn etwas nicht funktioniert, weiß man nie woran es liegt, weil man immer davon ausgehen muss, dass die gängigen Router der ISPs doch noch irgendetwas in der Firewall blocken o.ä.

Wieso bist du der Meinung, es handelt sich um ein Bastelnetz?
Das er sein (DSL-)Modem als Router benutzen könnte, aber die Routingfunktion deaktiviert hat, hat er zu Anfang mal erwähnt. Ich denke es gibt viele die eine ähnliche Konfiguration verwenden. Die zweite IP-Adresse auf dem Wan-If braucht er ja nur, weil das DSL-Modem ein Managementinterface hat, auf das er zugreifen möchte.

Mir ist nicht aufgefallen, dass es in der Routingtabelle auch noch ein ng0 Interface gibt. Das hat wohl irgendetwas mit PPP zu tun. Leider habe ich in diesem Bereich keine Erfahrungen. Ich habe noch nie einen DSL-Router konfiguriert. Deshalb kann ich nur allgemeine Aussagen treffen, was Routing und NAT betrifft.

@britneyfreak: Ich habe jetzt noch einen Termin. Ich werde heute Nacht nochwas zu deinen NAT-Regeln schreiben.
Wenn du bis dahin noch etwas probieren möchtest, kannst du versuchen, 2 NAT-Regeln wie in meinem Beitrag Nr. 6 beschrieben einzurichten. Ob du Interface fxp0 oder ng0 verwenden musst, musst du selbst heraus finden.

lg
Florian
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben