UCS c't Edition mit 2 Netzwerkkarten

UCS - Univention Corporate Server
#1

Guten Abend zusammen,

ich hatte diese Frage im c’t-Forum schon gestellt, auch Antwort bekommen nur, dort ist das Forum deaktiviert worden und ich Depp habe natürlich die Antwort nicht extern gespeichert… :frowning:
Es geht um Folgendes:
Mein Server hat 2 Netzwerkkarten, eth0 (192.168.3.2) als LAN-Anbindung und eth1 (192.168.2.100) für das WAN.
Nun hat zwar der Server Zugang zum Internet aber die Clients stehen “draußen”. Wie stelle ich es an, dass die Kommunikation LAN <-> WAN funktioniert?

Viele Grüße

Stefan

/etc/univention/templates/files/etc/network/interfaces
Schul DC Anzahl der Netzwerkkarten
#2

Hallo,

damit der Server Pakete zwischen den Netzen routen kann, muss das IPv4 Forwarding aktiviert sein:echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/ipv4forwarding.conf sysctl -p /etc/sysctl.d/ipv4forwarding.conf

(Das Heise-Forum funktioniert mittlerweile auch wieder.)

Grüße
Janis

#3

Herzlichen Dank,

dann kann ich jetzt weiter “experemtieren” ;-).

Viele Grüße und schöne Feiertage
Stefan

#4

Ich bin wohl doch zu blöd:
Das IP-Forwarding habe ich, wie beschrieben, eingerichtet. Nichts desto Trotz kommen die Clients nicht ins Internet.
Ein ping vom Client auf beide Netzwerkkarten zeigt, dass eth1 (die am DSL-Router hängt) nach wie vor nicht gefunden wird (Zielhost nicht erreichbar).
Was ist jetzt schon wieder mein Fehler, bzw. wo kann ich nachschauen ob irgend etwas “hängt”?

Vielen Dank nochmal
Stefan

#5

Die Clients bekommen den Server per DHCP als Default-Gateway zugewiesen?

#6

Ups, das hatte ich vergessen zu schreiben (blöde Migräne): Die Clients erhalten vom Server keinen Standardgateway mitgeteilt. Diesen habe ich dann beim Client manuell in die Netzwerkeigenschaften eingetragen und dabei, neben der Server-IP, auch die IP des Routers ausprobiert.
Was komischerweise immer funktioniert ist die IP-Adressauflösung bei einem ping gegen Webseiten. So ist bei ping heise.de [193.99.144.85] mit 32 Bytes Daten…" Da geht also irgendetwas “durch”, kommt aber nicht sauber zurück?!

#7

Hallo,

folgende Konfiguration sollte funktionieren:

Client -> eth0-UCS-eth1 -> DSL Router -> Internet

Der Client hat eine IP Adr. aus dem internen Netz, wie auch eth0 am UCS System. Das UCS System hat auf eth1 eine Adresse aus dem Bereich des Routers.
Auf dem Client ist die Adresse von eth0 des UCS Systems als Gateway eingetragen. Auf dem UCS System ist das IP Forwarding wie oben beschrieben aktiviert und der Router als Gateway eingetragen.

ucr get gateway ucr set gateway=<IP Adr. Router>

Hier würde ich vermuten, dass das IP Forwarding noch nicht korrekt eingerichtet wurde. Dies können Sie mit dem folgenden Befehl prüfen:

cat  /proc/sys/net/ipv4/ip_forward

Die Ausgabe sollte “1” sein.

Mit freundlichen Grüßen
Tobias Scherer

#8

Hallo Herr Scherer,

und vielen Dank für die weihnachtliche Mühe.
Leider will der Server nicht wirklich mitspielen:
Der Gatewayeintrag ist korrekt:

ucr get gateway 192.168.2.1
Ebenso ist das Forwarding aktiv:

cat /proc/sys/net/ipv4/ip_forward 1
Die Windowsclients zeigen sich davon jedoch unbeeindruckt und auch mit manueller Eingabe des Gateways findet keine Verbindung ins Internet statt. Das Einzige, was mir dazu noch einfällt ist ein defekter Switch, den werde ich morgen einmal tauschen und dann erneut berichten.
Einstweilen nochmals herzlichen Dank

Viele Grüße
StefanM

#9

Sch…!
Auch ein anderer Switch bringt keine Verbesserung.
Vielleicht mache ich auch einen Denkfehler oder habe das Ganze von Anfang an falsch beschrieben, meine Netzwerkkonfiguration sieht jedenfalls so aus:

INTERNET -> DSL-Router (192.168.2.1) -> eth1 (192.168.2.100)
eth0 (192.168.3.2) -> Switch -> PC (192.168.3.x)

Ping vom Server (eth1) auf DSL-Router: Okay
Ping vom Server auf eth0: Okay
Ping vom Server auf PC: 100% packet loss

Der PC erhält eine DHCP-Adresse aus der Range 192.168.3.11 - 192.168.3.210
Subnetz: 255.255.255.0
DHCP-Server: 192.168.3.2
DNS-Server: 192.168.3.2
Standardgateway: LEER

Ping vom PC auf eth0: Okay
Ping vom PC auf eth1: Zielhost nicht erreichbar
Ping vom PC auf DSL-Router: Zielhost nicht erreichbar

Eigentlich dachte ich, Netzwerktechnik habe ich einigermaßen “drauf” aber hier stehe ich echt auf dem Schlauch :-(.
Für jeden weiteren Denkanstoß bin ich dankbar ;-).

StefanM

#10

Hallo,

wie sieht es aus, wenn Sie das Gateway UCS eth0 (192.168.3.2) per DHCP an den Client verteilen?
Gibt es evtl. noch irgendwelche Firewall Komponenten auf dem Client?

Mit freundlichen Grüßen
Tobias Scherer

#11

Hallo,

evtl. wird das forwarding zwischen 192.168.2.0 und 192.168.3.0 von den iptables Regeln auf dem UCS System nicht erlaubt? Ggf. müssen die weitergeleiteten Pakete (Richtung Router) auch noch entsprechend maskiert werden:

revsys.com/writings/quicktips/nat.html
karlrupp.net/de/computer/nat_tutorial
linuxhomenetworking.com/wiki … One_NAT.29

emg

#12

Hallo Herr Scherer,
hallo emg.

Nochmals DANKE für die Unterstützung.

Mit den Einträgen

 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

und dem manuellen Eintrag des Standardgateways 192.168.2.100
klappt es jetzt auch mit dem Internet.
Damit fängt das neue Jahr schonmal gut an :slight_smile:

Viele Grüße
StefanM

#13

Hallo zusammen,

bei Aufsetzen eines UCS habe ich exact das gleiche Problem. Lösen konnte ich es (temporär) ebenfalls durch den Befehl

 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Jedoch ist diese Lösung leider nicht von Dauer. Nach einem Neustart des Servers muss ich das Ganze nochmal tun.

Woran kann das liegen, kann man das nicht auch dauerhaft einrichten? Ideen sehr willkommen…

Gruß!

#14

Schreib dir diesen iptables Aufruf in ein Script nach /etc/security/packetfilter.d. Vergiss das chmod +x $DATEI nicht. Dann wird es bei jedem service
service univention-firewall restart ausgeführt.

#15

Use UCS as a gateway

#16

Ah… So geht’s :wink:

Besten Dank zusammen!

Mastodon