brauche Hilfe bei RouterKonfiguration

[Vlad Tepesch]

hallo,
Ist/war:
^^^^^^
der IL2 und das 10.0.0.x subnetz itst vorhanden und funktioniert einwandfrei.
die ISDN-Verbindung funktioniert auch für alle Rechner sowohl über WLAN als über Kabel.
(dhcp deaktiviert, dns aktiviert, firewall testhalber deaktiviert)


Soll:
^^^
Hinzugekommen ist ein l-54g, der den Zugriff aufs Internet ermöglichen soll.
(DHCP aktiviert)
Die auf ihm conecteten Clients sollen untereinander keinerlei Zugriff aufeinander haben
und auch soll kein Zugriff auf das auf das 10.0.0.x-Netz möglich sein.
Die Clients sollen wirklich nur auf das Internet zugreifen können.



problem/ist:
^^^^^^^^^
Auf dem L54g:
----------------
Firmware 5.20xxx
isolierter modus --> Routing erforderlich
unter wlan-sicherheit wurde die Kommunikation der Stationen untereinander verboten
firewall ist (noch) deaktiviert
Als DMZ-Adresse ist 10.0.0.100 - 255.255.255.0 festgelegt und an das LAN-Interface gebunden
als Intranet-Adresse ist 10.0.1.100 festgelegt und an das Wlan-Interface gebunden.
dhcp:
ist für das wlan-interface aktiviert
mit adressbereich 10.0.1.120 - 10.0.1.170 konfiguriert
als gateway und dns ist 10.0.1.100 eingegeben.
dns ist aktiviert, wobei alles auf 10.0.0.1 weitergeleitet wird
routing:
lokale adressen nicht routen:
IP: 10.0.1.0 NM: 255.255.255.0 Route: 0.0.0.0
alles andere an den isdn-Router
IP: 255.255.255.255 NM: 0.0.0.0 Route:10.0.0.1 mask:nein

das Problem nun ist, das es nicht so funktioniert wie gedacht! Warum?
geb ich eine webAdresse auf einem Rechner ein (der per WLAN am l-54g hängt),
wird das Paket offenbar durchgeroutet, der ISDN-Router baut eine Verbindung auf, was er nur macht,
wenn eine netzfremde Zieladresse angesprochen wird.
Allerdings bekommt der Rechner rechner nie eine Antwort.
Hab auch schon probiert auf dem IL2 eine Rückroute zum l-54g angelegt, brachte aber auch nix.
(IP: 10.0.1.0 NM:255.255.255.0 R:10.0.0.100 mask:nein) weiß aber nicht, ob das nötig ist,
schließlich weiß der ROuter ja theoretisch, von wo er das paket erhalten hat

Bitte:
^^^^
Es wäre echt cool, wenn jemand einen Lösungsvorschlag für das oben beschriebene Soll hätte und.
die Konfigurationsschritte ausgehend von einem ge-reset-eten L-54g beschreiben könnte
(am besten mit Lanconfig, oder dem WebConfig), oder kurz und verständlich, was an den getätigten
Konfigurationen falsch ist.

[eddia]

Hallo Vlad Tepesch,

Hab auch schon probiert auf dem IL2 eine Rückroute zum l-54g angelegt, brachte aber auch nix.
(IP: 10.0.1.0 NM:255.255.255.0 R:10.0.0.100 mask:nein) weiß aber nicht, ob das nötig ist,
schließlich weiß der ROuter ja theoretisch, von wo er das paket erhalten hat

Nein - das weiss er nicht. Die Route muss schon sein. Du hast jedoch am L-54 das Routing ins Netz 10.0.1.0 verboten. Nimm das raus.

Gruß

Mario

[Vlad Tepesch]

Auch wenn ich alle Sperren ala lokale Pakete nicht weiterleiten rausnehme funktioniert es nicht

Das eigenartige ist ja, wenn ich aus dem 10.0.1.x-Nezt ein trace oder Ping auf zb http://Google mache, erhält er die Google-Ip (DNS funzt also scheinbar), jedoch stopt der Trace am il2, obwohl aus dem 10.0.0.x-Netz jeder Rechner über den IL2 ins netz kann

Gruß
Vlad

[eddia]

Hallo Vlad,

Das eigenartige ist ja, wenn ich aus dem 10.0.1.x-Nezt ein trace oder Ping auf zb http://Google mache, erhält er die Google-Ip (DNS funzt also scheinbar), jedoch stopt der Trace am il2, obwohl aus dem 10.0.0.x-Netz jeder Rechner über den IL2 ins netz kann

dann hast Du irgendwo ICMP blockiert - eventuell an den Stationen im 10.0.1.0 Netz. Mach einfach mal einen trace auf den Routern mit:

trace # ip-router @ icmp

und setze einen ping aus dem Netz 10.0.1.0 ab. Dann siehst Du eigentlich genau, wo die Antwort hängenbleibt.

Gruß

Mario

[Vlad Tepesch]

hi,
wenn icmp geblockt wird, dann sollten eigendlich nur traces und pings hängenbleiben, und normale http oder ftp -zugriffe sollten funktionieren.
die gehen aber leider auch nicht.

könnte es sein, dass die goggle-ip eventuell im windows dns-cache liegt , und nur deshalb der rechner die ip kriegt?

den trace kann ich grad leider nicht ausprobieren, da ich nicht vor ort bin

kannst du vielleicht mal alle routen aufzählen, die auf beiden routern liegen sollten?
der IL 2 hat ne Defaultroute auf die isdn-gegenstelle
ne rückroute zum l54 (10.0.1.0 255.255.255.0 --> 10.0.0.100)
und ne sperrroute für pakete aus seinem (10.0.0.0 NM: 255.255.255.0) netz

der l54 ne defaultroute zum il2(255.255.255.255 0.0.0.0 --> 10.0.0.1)

gruß
Vlad

[eddia]

Hallo Vlad,

wenn icmp geblockt wird, dann sollten eigendlich nur traces und pings hängenbleiben, und normale http oder ftp -zugriffe sollten funktionieren.
die gehen aber leider auch nicht.

das ist schon klar - nur kommst Du mit ICMP solchen Problemen schneller näher.

könnte es sein, dass die goggle-ip eventuell im windows dns-cache liegt , und nur deshalb der rechner die ip kriegt?

Google hat nur eine TTL von 64. Das altert also sehr schnell aus allen Caches raus. Der Unterschied liegt bei Deiner DNS-Konfiguration. Da ist für die Clients aus dem Netz 10.0.1.0 der L54 als DNS-Server eingestellt. Und der hat offenbar keine Probleme, die Namen aufzulösen.

der IL 2 hat ne Defaultroute auf die isdn-gegenstelle
ne rückroute zum l54 (10.0.1.0 255.255.255.0 --> 10.0.0.100)
und ne sperrroute für pakete aus seinem (10.0.0.0 NM: 255.255.255.0) netz

der l54 ne defaultroute zum il2(255.255.255.255 0.0.0.0 --> 10.0.0.1)

Die Routen sind schon richtig. Die Sperrroute dagegen nicht.

Gruß

Mario

[Vlad Tepesch]

Nachdem ich alles noch mal neu programmiert hab und im Router das ICMP-redirects senden abgeschalten hab schien es zu funktionieren, zugriff aufs internet, kein zugriff aufs Kabelnetz, also so wies sein sollte.

Ich dachte, die sperrouten sind da, um zu vermeiden das Pakete aus dem eigenen netz auf die andere Seite des Routers weitergeleitet werden, was sinnlosen traffic zur folge hätte, deswegen sind sie ja auch in der Standardkonfiguration schon eingestellt
Bitte korrigier mich, wenn ich falsch liegen sollte.

Vielen Dank!
Vlad