Netzwerk-IPs

f0x

Punk
Hallo,
ich konfiguriere gerade meine alte Alix-Box (OpenBSD5.3) als Firewall zwischen Router und dem Rest des Netzwerkes und hätte da einige Fragen, vor allem bezüglich der IP-Adressen auf den jeweiligen Netzwerkkarten.

Code:
vr0 ist mit dem Router verbunden.
vr1 ist mit dem WLAN verbunden.
vr2 ist mit dem Kabelnetz verbunden.

1. Wenn ich nun vr1 und vr2 miteinander kommunizieren lassen möchte sowie sämtlichen Internetverkehr nach vr0 leiten will, müssen vr0, vr1 und vr2 sowie die IP des Routers dann alle im selben Netz sein?
Also zb:
Code:
Router: 192.168.0.1
vr0 192.168.0.2
vr1 192.168.0.3
vr2 192.168.0.4

2. Ich würde eigentlich gerne einen DHCPD auf meiner Alix laufen haben, kann ich DHCPD allen Netzwerkkarten zuteilen? Kann ich die IP-Benennung der einzelnen Karten sowie die des Routers über die dhcpd.conf festlegen oder müssen die Manuell eingestellt werden? Reicht es evtl nur eine manuell einzustellen?

3. Wie würde die PF aussehen? Weis nicht sogenau wie ich die NAT Protokolle schreiben soll damit alle miteinander kommunizieren können, jedoch vr0 stark nach meinen Regeln gefiltert wird, die andern beiden aber nicht.... (Meine letzte pf.conf habe ich bei 4.3 geschrieben, bin da etwas eingerostet was die Neuerungen angeht, habe nach und nach lediglich nacheditiert aber das alles nichtmehr im Kopf...)

4. Wäre es evtl einfacher vr1 nicht zu nutzen und stattdessen den Access Point auch direkt an den Kabel-LAN-Switch mitanzuschließen und dann via IP zu filtern? (ist warscheinlich eine Glaubensfrage)

LG
f0x
 

CommanderZed

OpenBSD User
Teammitglied
Hi,

Grundsätzlich routet ein router nur zwischen netzen, nicht für ips die im gleichen netz liegen.

dein Router macht bereits nat und alles? Du möchtest zwischen lan / wlan nichts filtern? Dann wäre folgendes sinnvol:

1. Netzwerkbrücke zwischen vr1 und vr2, so das die in ein Subnetz kommen, netwerkbrücke bekommt 192.168.0.1/24, den dhcp konfigurierst du so das er adressen auf der brücke verteilt. evtl. solltest du auch noch nen nameserver* auf der 192.168.0.1 laufen lassen, so das alle clients auf vr1 und vr2 den 192.168.0.1 als dns-server und default gateway bekommen
*(Den Nameserver lässt du entweder auf den DNS-Server vom richtign Router, oder auf den von deinem Provider o.ä. vorwarden

2. Das andere Bein, vr0 kommt in das Netz von deinem Router - sagen wir mal der router hat 192.168.55.1 dann würdest du dem vr0 die 192.168.55.2 geben. Dem Router auf 192.168.55.1 gibts du einen routing-eintrag für das Netz 192.168.0.0/24 auf den Router 192.168.0.2. Auf den 192.168.55.2 gibts du eine default-route auf 192.168.55.1 und aktivierst routing und pf. Hier kannst du nun pakete filtern zwischen den beiden Netzen, konfiguration je-nach-dem was du sperren möchtest.

Einziges Problem: Du kannst beim "richtigen" Router 192.168.5.1 nicht selber routen ändern. In dem Fall musst du NAT machen.
 
Oben