[Wien] WAN einstellungen auf meiner Firewall ....

[Petr Koval]

Am 07.04.12 schrieb (spam-protected) <(spam-protected)>:
> Hallo Leute,
>
> hab nun ja meinen Knoten laufen und wollte auf meiner Firewall folgendes
> konfigurieren:
>
> LAN Port AirGrid (einer AirGrid) 193.238.159.8
> LAN Port Firewall – Funkfeuer (Sophos UTM im Load Balancing Mode zwischen
> Kabsi und Funkfeuer): 193.238.159.82/24

Mach bitte nichts unüberlegtes. Ich weiss nicht wieviel du von normalem
Routing zweier Ethernet Segmente mittels Netz IP/IP/Maske
und ausgehandelter Broadcast IP, falls es nicht die letzte ist
und einem Routing von OLSR weisst.

OLSR macht es unter Anderem möglich zwei Netze die die selbe IP Range sind
mit einander zu routen, wass man z.b. statisch gar nicht kann.
Dafür müssen alle Teilnehmer des Routing Segments mit einander OLSR
auch kommunizieren.
Zusätzlich können dank von OLSR miteinander auch Schnittstellen
zweier verschiedenen IP Ranges kommunizieren, was bei statischen,
besser gesagt auf der reinen Hardware/IP Ebene die Schnittstelle nicht können.
Aber.

> Hab nun versucht die AirGrid als Gateway einzutragen, da sie ja im gleichen
> Subnetz auf einem Switch hängt, aber diese routet dann nicht.

Genau das ist das, was ich vorher angesprochen habe.
Will man zwei Ethernet Seiten (Netze) mit einander ohne OLSR durchrouten,
geht es nicht.

Die eine Lösung ist NAT, private Range und public IP Forward zu einer
privaten IP,
mit
a) Masquerade, d.h. alle LAN Systeme, die zwar mit public IP erreicht werden
senden zum Internet Ziel mit einer der selben IP
bzw.
b) SNAT (Source IP NAT), wo beim Senden jedem LAN System beim Senden
in das Internet seine private IP genauso in die public IP unter der er
erreichbar ist
gesetzt wird.

Problem

Eigentlich nur im Fall, wenn man in schpeziellen Flääne die public IP
auf dem TCP/IP Stack des LAN Systems benötigt

Wo ist es der Fall?

IPv6-in-IPv4 Tunneling z.b. 6to4
oder IP-IP Tunneling
und teilweise IP4/Gre Tunnels
wenn der NAT Router das PROTO GRE Forward gegenüber dem genateten LAN
System nicht unterschtützt z.b. PPTP

Wo ist es dagegen nicht der Fall

WebServer/Mailserver etc.

lediglich bei Mailservern muss man gezwungener Weise
den Reverze Host facken
damit absendende Hostname und Reverse IP übereinstimmen


> Glaub hier muss man noch irgendwo einstellen, dass die Firmware auch als
> Router läuft und quasi die Brücke zwischen OLSR und dem lokalen /24 Netz
> herstellt. Mir ist schon bewusst, dass dadurch alle anderen IPs von fremden
> Knoten für mich nicht erreichbar sind (von der Firewall aus gesehen), aber
> das macht mir eigentlich nichts aus bzw. könnte man hier auch eine kleinere
> Subnetzmask nehmen.

Die Brücke (Bridge) ist an sich nur zum Empfehlen
wenn man mit OLSR ausgestattete (LAN) Systeme, also direkt an das WAN
anbinden möchte. Ohne OLSR ist es jedoch nicht möglich.

Bei einem public IP nach LAN Forward und SNAT wenn notwendig
sonst simples NAT, müssen die via public IP im LAN angesprochene Systeme
das OLSR nicht beherschen.

Ich habe gestern das Gegenteil versucht zu lösen.
Wie ich LAN System, also ein System das zwar via IP Forward erreichbar ist
und via NAT mit der Welt kommunizieren kann, dennoch mit seinem NAT Router
in eine OLSR Kommunikation bringe um es weiter anderwertig nutzen zu können.

Aber das ist weider ein anderes Märchen.

Bitte nenne, was genau du benötigst und lass uns den absolut minimalen
notwendigen Aufwand leisten.

lg Petr


> Wie ist denn hier die richtige Konfiguration?
>
> lg
>
> Alex