233er als DSL Router verwenden ?

[binary trust]

hi,

hab einen 233er installiert.
dsl und netzwerk funtz bereits aber wie kann ich nun einstellen das alle pc´s über diesen rechner ins internet gehen ?

eth0 = netzwerk
eth1 = tdsl
betriebssystem: suse 8.1


bin über jede hilfe dankbar!

[dspeicher]

masquerading heißt das stichwort!

solltest du auf http://sdb.suse.de etwas zu finden!

[wirsing]

Masquerading alleine bringt noch nicht viel - ein DNS-Server (z.B. ISC BIND) ist auch noch wichtig, und für Autokonfiguration ist DHCP (z.B. ISC DHCP) sinnvoll.

[robertw]

Wozu braucht er einen eigenen DNS-Server? Er muss nur seinen Clients vor dem Router sagen, auf welchen DNS-Server im Internet sie ihre Namensauflösung machen sollen. Und davon gibt es nun wirklich genug.

Wenn mehrer Client über den Router ins Netzwerk sollen, wäre eventuell auch NAT wichtig.

Eine Firewall kann auch nicht schaden.

DHCP macht die Sache "schick" in der Konfiguration (aber bei wenigen Clients nicht unbedingt einfacher).

Und Proxies könnten auf drauf, und, und, und... Das führt jetzt wohl langsam etwas zu weit.

@binary trust: Goggle mal nach "linux router" und Du wirst im I-Net mit mehr Informationen zu diesem Thema überschüttet, als Du in Deinem Leben umsetzen kannst.

Robert

[wirsing]

Wozu braucht er einen eigenen DNS-Server? Er muss nur seinen Clients vor dem Router sagen, auf welchen DNS-Server im Internet sie ihre Namensauflösung machen sollen. Und davon gibt es nun wirklich genug.

Normalerweise hat man zwei bei seinem Provider. Aber: DNS läuft über UDP und ist damit wieder schwierig zu NATten. (Mir fällt da eigentlich nur ein Portforward auf einen festen Source-Port ein. Bei BIND ist der ja noch einstellbar - aber wie siehts unter Windoze aus?)

Wenn mehrer Client über den Router ins Netzwerk sollen, wäre eventuell auch NAT wichtig.

Masquerading ist eine spezielle Form des Source NAT, bei der mehrere Original-Source-IPs auf eine einzige neue Source-IP genattet werden. Cisco nennt das auch Port Address Translation.

Eine Firewall kann auch nicht schaden.

Also das gehört bei NAT ja fast dazu.

DHCP macht die Sache "schick" in der Konfiguration (aber bei wenigen Clients nicht unbedingt einfacher).

Also ich fahre zumindest auf meinem Rechner Dual-Boot, und wenn ich mal unter Windoze bin (was selten genug vorkommt), will ich nichts mehr reinfummeln dass es geht. DHCP tut einfach - auch wenn Clients dazukommen oder neu installiert werden.

Und Proxies könnten auf drauf, und, und, und... Das führt jetzt wohl langsam etwas zu weit.

BIND ist in dem Fall ja als Recursive Proxy konfiguriert...

[robertw]

Normalerweise hat man zwei bei seinem Provider. Aber: DNS läuft über UDP und ist damit wieder schwierig zu NATten. (Mir fällt da eigentlich nur ein Portforward auf einen festen Source-Port ein. Bei BIND ist der ja noch einstellbar - aber wie siehts unter Windoze aus?)

DNS benutzt erst UDP und dann, falls darüber keine Namensauflösung funktioniert, TCP. Ich nutze bei mir einen Windows-DNS, der nur über den DSL-Router (Hardwarerouter, UPD blockiert) ein Forwarding macht - ohne Probleme. Sowohl mit den Windows- also auch mit den Linux-Clients.

Also ich fahre zumindest auf meinem Rechner Dual-Boot, und wenn ich mal unter Windoze bin (was selten genug vorkommt), will ich nichts mehr reinfummeln dass es geht. DHCP tut einfach - auch wenn Clients dazukommen oder neu installiert werden.

Trotzdem behaupte ich, dass in einem Heimnetz nicht so häufig Clients dazu kommen und sich andere Einstellungen, die man via DHCP verschickt (Router-, DNS-Adressen) auch nicht so häufig ändern. Bei zwei bis drei Clients dürfte sich der Aufwand, einen DHCP-Server zu konfigurieren und der Aufwand, die Clients richtig zu konfigurieren, die Waage halten (sogar bei Windows-Clients). Aber ich gebe zu, ich benutze für meine drei Rechner auch DHCP - und die snur aus einem Grund: Weil es geht. :-)

Robert

[wirsing]

Also mit einem Hardwarerouter kannst du ja gar nicht mitreden
Und soweit ich weiß nutzt DNS TCP hauptsächlich für AXFR (Abkürzungen herumschmeißen macht Spaß - AXFR=Zonetransfer), die RFC sagen zur Verwendung, dass man UDP für kleine Pakete (=Anfragen) nutzen sollte, TCP für Zonetransfers.

Bist du dir sicher Robert, dass dein Rechner DNS over TCP fährt und nicht im Hardwarerouter ein DNS-Proxy eingebaut ist? das ist doch das normale Prozedere? Hast du schon mal in den Datenstrom geschnüffelt?

[binary trust]

leute heute, was geht denn hier ab ?
will einfach nur wissen wie ich die anfragen aus dem netzwerk an denn router weiterleiten kann und was ich da konfigurien muss, danke!

[d.goersch]

Moins,


DNS lässt sich selbstverständlich prima NAT'ten, und auch UDP ist imho routing und somit NAT-fähig!
Vielleicht verwechselst du das mit WINS? Jenes läuft über Broadcasts die sich natürlich weder routen noch NAT'ten lassen.
Nichts desto trotz ist ein DNS-Server auf dem Router allein aus Geschwindigkeitsgründe sinnvoll, NAT'ten brauchts Zeit, zuviel Zeit für nur eine DNS-Abfrage. Man sollte aber bei dem eigenen Nameserver daran denken als Forwarder die Nameserver des Provider einzutragen, sonst ist der schöne Geschwindigkeitsvorteil wieder dahin, weil über die relativ langsame Leitung das grosse weite Netz (Root-NS, Nic-NS, Auth-NS) befragt wird.
Zum Thema DHCP kann man sich streiten... ich selber Nutze DHCP, da ich schonmal was am Router änder, und dann keine Lust hab das bei allen Clients zu ändern, aber idR ist DHCP in einem Heim-Netz mit bis zu 5 Rechner eigentlich unnötig, zumal unbedarfte Linuxer zum Einrichten des DHCP-Servers länger brauchen als für die manuelle Konfiguration der Clients ;)

Und nochwas: Wieso ist das bei einem Hardware-Router etwas anderes? Dieser nutzt auch nix anderes als normales NAT.

@binary trust: Bei Interesse kann ich dir mal Beispiel-Konfigurationen für Bind und DHCPD schicken.

[captaincrunch]

Schau dir am besten mal Das LinuxRouterProject ( http://www.linuxrouter.org/ ) an. Da findest du sämtliche Infos, und kannst dich nebenbei noch ziemlich gut in die gesamte Thematik einlesen ...

[robertw]

Also mit einem Hardwarerouter kannst du ja gar nicht mitreden
Und soweit ich weiß nutzt DNS TCP hauptsächlich für AXFR (Abkürzungen herumschmeißen macht Spaß - AXFR=Zonetransfer), die RFC sagen zur Verwendung, dass man UDP für kleine Pakete (=Anfragen) nutzen sollte, TCP für Zonetransfers.

Bist du dir sicher Robert, dass dein Rechner DNS over TCP fährt und nicht im Hardwarerouter ein DNS-Proxy eingebaut ist? das ist doch das normale Prozedere? Hast du schon mal in den Datenstrom geschnüffelt?

Zitat aus RFC 883 ("Domain Names - Implementation and Specification" von 1983!) - Abschnitt "Appendix 3 - Internet specific field formats and operations"

Message transport
The Internet supports name server access using TCP [10] on server port 53 (decimal) as well as datagram access using UDP [11] on UDP port 53 (decimal).

Bereits in der allerersten DNS-RFC war UDP und TCP definiert. Und dies zieht sich auch durch die aktuellen Dokumente (zum Beispiel RFC 1035, Abschnit 4.2 aus 1987).

Und das es wirklich funktioniert, weiss ich auch ohne am Datenstrom zu schnüffeln - mein DNS-Server im Internet blockt UDP 53 und die Namensauflösung funktioniert, ohne Wunder, ohne Probleme.

[flo]

Code: Select all

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

iptables -A POSTROUTING -t nat -j MASQUERADE -o ppp0
# and additionally the following lines to get at least a minimum of security:
#iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ppp0
#iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ppp0

# DSL-Masquerading-Eintrag
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

-- > Hab ich mir aus dem SuSE-Zeug rauskopiert, copyright also nciht bei mir.

Setzt voraus, daß die DSL-Einwahl über ppp0 läuft ...

Zu der BIND-Problematik: Bind9 mit Multiview-Zones und der Kittel ist geflickt, sogar reverselkp im Netz geht dann einwandfrei.

Grüße,

flo.

[[monk]]

Code: Select all

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

iptables -A POSTROUTING -t nat -j MASQUERADE -o ppp0
# and additionally the following lines to get at least a minimum of security:
#iptables -A INPUT -j DROP -m state --state NEW,INVALID -i ppp0
#iptables -A FORWARD -j DROP -m state --state NEW,INVALID -i ppp0

# DSL-Masquerading-Eintrag
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

uuahahaaaa
lasst mal bitte TCPMSS in ruhe =)

Wie alt ist denn die Linuxversion ?
MSSClamping ist zumindest beim rp-pppoe nicht mehr notwendig. da er die pakete bereits auf 1452 clampt.

also wenn ihr mich fragt dann müsste folgendes reichen um den rechner routen zu lassen:

Code: Select all

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

[flo]

Monk, die Linux-Version ist SuSE 8.0, war aber definitiv anders nicht zum Laufen zu bringen, weil manche Seiten damit Probleme hatten, z.B. GMX war nicht aufrufbar.

Grüße,

flo.


EDIT: Kann sein, daß es mit rp-pppoe geht - ich setze das mit einer FritzCard DSL ein, deswegen auch das SuSE ... habe ich nicht dran gedacht, sorry ...

[lutz.wolf]

Hallo binary trust

Also ich weiß nicht was hier los ist. Dein Frage ist wie du die anderen Rechner im Netzwerk dazu bringst deinen Router zu benutzen.

1. Die IP des Routers als Gateway bei den anderen eintragen.
2. Die bzw. den DNS-Server (meisst die deines Providers) bei den Kisten in der Netzwerkkonfiguration eintragen.
3. ich habe fertig :-D

Gruß Lutz

[dspeicher]

kann mich da ihm nur anschließen... manche machens komplizierter als es ist. du kannst ruhig auf jeden client die t-online nameserver eintragen. und wenn jetzt jemand kommt und sagt das geht nicht, dann ähm.... krieg ich ne krise *g*

:lol: