5
M0n0wall ping von Subnetz zu Subnetz funktioniert nicht
Hallo ich bin neu in der Welt der Netzwerktechnik. Vor kurzem habe ich mir ein Alix.2d13 mit m0n0wall besorgt.
Ich habe versucht nach der Anleitung von aqui mein Netzwerk aufzubauen.
Der grobe Netzwerkaufbau soll dabei wie folgt aussehen.
mit den Änderungen:
vr0: LAN 10.14.7.1 /24
Subnet mask: 255.255.255.0
DHCP eingerichtet: 10.14.7.100-150
vr2: Gasthaus (=Opt1) 172.18.9.1 /24
Subnet mask: 255.255.255.0
DHCP eingerichtet: 172.18.9.100-150
Router als AP: 172.18.9.2
Das Netzwerk "LAN" ist für meinen privaten Gebrauch gedacht und "Gasthof" soll als CP dienen. Dabei möchte ich von LAN aus, Zugriff auf das Subnet Gasthof haben. Zu Test-Zwecken habe ich in beiden Netzwerken alles erlaubt.
Nun zum Problem:
Ich habe an die Firewall einen Laptop (LAN) und einen als AP eingestellten Router (Gasthof) angehängt. Vom Laptop aus lässt sich das WebGUI über beide Interfaces aufrufen, aber ich komme nicht auf den Router.
Deshalb habe ich den Router gegen einen weiteren Laptop getauscht. DHCP funktioniert, beide Laptops haben eine IP-Adresse zugewiesen bekommen. Leider ergibt sich hier das gleiche Bild. Von beiden Laptops kann ich WebGUI über beide Interfaces öffnen, aber beim gegenseitigen pingen gibt es eine Zeitüberschreitung der Anforderung.
Danke für eure Hilfe,
Reitzi
Nachtrag 27.02.2012 12Uhr:
Ich hänge hier noch die zwei von mir beschriebenen Szenarien an, da ich nicht weiß wie ich die Bilder in eine Beitragsantwort hinein bekomm.
Szenario1:
Szenario2:
Bei dem Router handelt es sich um TP-Link WR1043ND mit DD-WRT v24-sp2 Firmeware der als AP konfiguriert wurde.
mit den Änderungen:
vr0: LAN 10.14.7.1 /24
Subnet mask: 255.255.255.0
DHCP eingerichtet: 10.14.7.100-150
vr2: Gasthaus (=Opt1) 172.18.9.1 /24
Subnet mask: 255.255.255.0
DHCP eingerichtet: 172.18.9.100-150
Router als AP: 172.18.9.2
Das Netzwerk "LAN" ist für meinen privaten Gebrauch gedacht und "Gasthof" soll als CP dienen. Dabei möchte ich von LAN aus, Zugriff auf das Subnet Gasthof haben. Zu Test-Zwecken habe ich in beiden Netzwerken alles erlaubt.
Nun zum Problem:
Ich habe an die Firewall einen Laptop (LAN) und einen als AP eingestellten Router (Gasthof) angehängt. Vom Laptop aus lässt sich das WebGUI über beide Interfaces aufrufen, aber ich komme nicht auf den Router.
Deshalb habe ich den Router gegen einen weiteren Laptop getauscht. DHCP funktioniert, beide Laptops haben eine IP-Adresse zugewiesen bekommen. Leider ergibt sich hier das gleiche Bild. Von beiden Laptops kann ich WebGUI über beide Interfaces öffnen, aber beim gegenseitigen pingen gibt es eine Zeitüberschreitung der Anforderung.
Danke für eure Hilfe,
Reitzi
Nachtrag 27.02.2012 12Uhr:
Ich hänge hier noch die zwei von mir beschriebenen Szenarien an, da ich nicht weiß wie ich die Bilder in eine Beitragsantwort hinein bekomm.
Szenario1:
Szenario2:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181090
Url: https://administrator.de/contentid/181090
Printed on: April 26, 2024 at 06:04 o'clock
5 Comments
Latest comment
Moin
auch wenn ich durch dein Konstrukt gerade mal een nicht so ganz durchsteige (es ist doch immer wieder klasse, wenn Zecihnungen veröffentlicht werde, deren INhalt nicht zum text passt...): Dein Problem ist in 99 % der Fälle darauf zurückzuführen, dass im jeweiligen Subnetz die Riute zum anderen netz fehlt.
Gruß
Hubert
auch wenn ich durch dein Konstrukt gerade mal een nicht so ganz durchsteige (es ist doch immer wieder klasse, wenn Zecihnungen veröffentlicht werde, deren INhalt nicht zum text passt...): Dein Problem ist in 99 % der Fälle darauf zurückzuführen, dass im jeweiligen Subnetz die Riute zum anderen netz fehlt.
Gruß
Hubert
Guten Morgen Hubert,
ich hatte bereits verschiedene Static Routes eingerichtet, jedoch ohne Erfolg.
Brauche ich die Static Route damit ich vom einen ins andere Netzwerk komme.
Aus dem Handbuch der m0n0wall:
4.3.2. Static Routes
Static routes are necessary when you have a subnet behind another router on any of your internal networks. Static routes are never required for directly connected networks or if the network in question is reachable through your WAN interface's default gateway.
The Static Routes sub section allow the user to set up static routes in order to reach network that must use a gateway different from the default one. By pressing the + icon, the system allows the user to add new static routes.
Die Zeichnung die ich von aqui übernommen habe zeigt das Konstrukt wie es einmal aussehen soll. Momentan habe ich einfach nur zwei Laptops an der m0n0wall.
Grüße,
Reitzi
ich hatte bereits verschiedene Static Routes eingerichtet, jedoch ohne Erfolg.
Brauche ich die Static Route damit ich vom einen ins andere Netzwerk komme.
Aus dem Handbuch der m0n0wall:
4.3.2. Static Routes
Static routes are necessary when you have a subnet behind another router on any of your internal networks. Static routes are never required for directly connected networks or if the network in question is reachable through your WAN interface's default gateway.
The Static Routes sub section allow the user to set up static routes in order to reach network that must use a gateway different from the default one. By pressing the + icon, the system allows the user to add new static routes.
Die Zeichnung die ich von aqui übernommen habe zeigt das Konstrukt wie es einmal aussehen soll. Momentan habe ich einfach nur zwei Laptops an der m0n0wall.
Grüße,
Reitzi
Nein, eine statische Route ist Unsinn, die benötigst du nicht ! Vergiss die und lösch sie gleich wieder !
Die Monowall macht NAT ( IP Adress Translation) am WAN Port, deshalb "sieht" der Internet Router die beiden IP Netze gar nicht, denn Pakete aus diesen netzen kommen am Internet Router durch das NAT immer mit der WAN IP Adresse der Monowall als Absender IP bei ihm an, logischerweise.
Nein, vermutlich hast du nur, wie fast immer in solchen Szenarien mit einem NET Router statt Modem vor der Firewall (WAN Port), schlicht und einfach vergessen den Haken beim Filtern der RFC 1918 ( private_IP_Netze ) im WAN Port Setup zu deaktivieren !!
Dein Verbindungsnetz (WAN Port Mono auf Internet Router) ist mit ziemlicher Sicherheit ein IP Netz aus diesem Bereich. (Leider teilst du uns das ja nicht mit
)
Wenn dieser Default Filter also nicht deaktiviert ist werden alle eingehenden Pakete aus solchen Netzen gnadenlos geblockt !
Nimm das also raus und dann klappts auch mit dem Zugriff aus deinen beiden LAN Segmenten auf den Internet Router !
Achtung: Wenigstens vom Gastnetz solltest du das aber mit einer FW Regel später wieder verbieten !!
Hier der Screenshot bei pfSense. (Das ist bei Monowall identisch, ganz unten bei den Einstellungen des WAN Interfaces.)
Wie du deinen Router richtig konfigurierst damit er als simpler AP funktioniert sagt dir dieses Tutorial:
Kopplung von 2 Routern am DSL Port
Die Monowall macht NAT ( IP Adress Translation) am WAN Port, deshalb "sieht" der Internet Router die beiden IP Netze gar nicht, denn Pakete aus diesen netzen kommen am Internet Router durch das NAT immer mit der WAN IP Adresse der Monowall als Absender IP bei ihm an, logischerweise.
Nein, vermutlich hast du nur, wie fast immer in solchen Szenarien mit einem NET Router statt Modem vor der Firewall (WAN Port), schlicht und einfach vergessen den Haken beim Filtern der RFC 1918 ( private_IP_Netze ) im WAN Port Setup zu deaktivieren !!
Dein Verbindungsnetz (WAN Port Mono auf Internet Router) ist mit ziemlicher Sicherheit ein IP Netz aus diesem Bereich. (Leider teilst du uns das ja nicht mit
)Wenn dieser Default Filter also nicht deaktiviert ist werden alle eingehenden Pakete aus solchen Netzen gnadenlos geblockt !
Nimm das also raus und dann klappts auch mit dem Zugriff aus deinen beiden LAN Segmenten auf den Internet Router !
Achtung: Wenigstens vom Gastnetz solltest du das aber mit einer FW Regel später wieder verbieten !!
Hier der Screenshot bei pfSense. (Das ist bei Monowall identisch, ganz unten bei den Einstellungen des WAN Interfaces.)
Kopplung von 2 Routern am DSL Port
Statische Routen braucht man in diesem Fall nicht, weil ja die m0n0wall Router für beide Netzwerke ist.
Bei dir scheint einfach ne Firewall auf den Notebooks aktiv zu sein, die die Kommunikation verhindert. Denn so wie es eingestellt ist, ist es richtig.
Bei dir scheint einfach ne Firewall auf den Notebooks aktiv zu sein, die die Kommunikation verhindert. Denn so wie es eingestellt ist, ist es richtig.
Danke für eure Anworten!
Ich habe oben in meinem Beitrag zwei Bilder eingefügt, die die genannten Szenarien erklären sollen.
Szenario1:
tikayevent hatte recht, die Windowsfirewall hat den Ping verhindert. Ich dachte, da es sich hier um private IP-Adressen handelt, blockt die Win-Firewall den Ping nicht. Mit deaktivierter Win-Firewall funktioniert der Ping einwandfrei.
Szenario2:
Auch mit deaktivierter Win-Firewall komme ich vom LAN-Netzwerk (10.14.7.0/24) nicht auf den Router (172.18.9.2). Muss ich, da ich von einem anderem Netzwerk aus auf dem Router zugreife, den WebGUI-Fernzugriff aktivieren? Ich habe leider immer noch nicht verstanden wie die Wonowall die zwei Netzwerke miteinander verknüpft.
Ich habe oben in meinem Beitrag zwei Bilder eingefügt, die die genannten Szenarien erklären sollen.
Szenario1:
tikayevent hatte recht, die Windowsfirewall hat den Ping verhindert. Ich dachte, da es sich hier um private IP-Adressen handelt, blockt die Win-Firewall den Ping nicht. Mit deaktivierter Win-Firewall funktioniert der Ping einwandfrei.
Szenario2:
Auch mit deaktivierter Win-Firewall komme ich vom LAN-Netzwerk (10.14.7.0/24) nicht auf den Router (172.18.9.2). Muss ich, da ich von einem anderem Netzwerk aus auf dem Router zugreife, den WebGUI-Fernzugriff aktivieren? Ich habe leider immer noch nicht verstanden wie die Wonowall die zwei Netzwerke miteinander verknüpft.