Routing von/nach privatem Linknetz und NAT gleichzeitig

07/11/2008 - 15:17 von Peter Mairhofer | Report spam
Hi,

Ich habe ein offizielles /29-er Subnet. Geroutet wird mir dieses aber
über ein privates Linknetz im Bereich 172.x.x.x (RFC1918). D.h. das
DSL-Modem weist mir bei der Einwahl eine private IP zu ("WAN"-Interface)
um auf dem anderen Ende ("LAN"-Seite) befindet sich das offizielle /29er
Netz. Das funktioniert natürlich gut, solange nie Pakete innerhalb
dieses Netzes produziert werden, die kommen dann natürlich nicht aus.
Aber zum Weiterleiten von den Paketen mit öffentlichen Adressen
funktioniert es gut.

Nun möchte ich das Routing selbst übernehmen. Das DSL Modem selbst soll
nun auf der WAN-Seite seine normale 172-er IP bekommen und auf der LAN
Seite weise ich abermals ein privates Linknetz zu, z.B. 10.1.1.0/24.

Nun hàtte ich gerne einen Linuxrouter (genauer: WRT54GL mit OpenWRT) der
mir das Routing zwischen Linknetz und meinem offiziellem Subnet erledigt
und gleichzeitig Firewall macht (iptables).

Soweit sollte das kein Problem sein, jedoch möchte ich jetzt
*zusàtzlich* mit der öffentlichen IP mein privates LAN NATten. Der Plan
sieht also so aus:

if0: 10.1.1.1/24 Linknetz kommend vom Modem.
if1: öffentliche IP/29 Die erste öffentliche IP meiner Range. DMZ.
if2: 192.168.200.121/24 Mein privates Netz.

if0 führt ins Internet, allerdings dürfen da jetzt nur Pakete durch die
öffizielle IP Adressen haben. if1 wird die "DMZ". Die erste IP meiner
/29-er Range wird diesem Interface zugewiesen und dient den anderen
Maschinen die dann an if1 hàngen als default-Gateway.

Schließlich gibt es das interne Netzwerk an if2 das MASQERADE mit
"öffentliche IP/29" machen soll. Problem: Das Paket mit der öffentlichen
IP darf nun nicht bei if1 raus sondern bei if0.

Weiters habe ich ein Problem mit dem Gateway selbst. Auch hier möchte
ich ins Internet, muss Pakete aber mit der Absenderadresse von if1 nach
if0 verschicken.

Ich hoffe es ist klar was ich meine. Hàtte ich 2 Router hintereinander
wàre das ja kein Problem: Der erste routet zwischen Linknetz und /29er
Netz und macht Firewall ohne jegliches NAT. Der zweite nimmt sich eine
beliebige IP aus dem /29er Bereich und NATtet damit ins private Netz.

Aber ich hàtte gerne ein Geràt (WRT54GL). Làsst sich das lösen?
Hoffentlich auch anstàndig?

Irgendwie komme ich auf keine Lösung... :-(

lg
Peter
 

Lesen sie die antworten

#1 Michael Ziegler
08/11/2008 - 00:13 | Warnen spam
Peter Mairhofer wrote:
[snip viel]



Shorewall dürfte sowas können:
| http://www.shorewall.net/manpages/s...-masq.html
Interessant ist der Parameter "Address".

Schwierig wird hier eher die Rückrichtung, hierfür fügt Shorewall wohl
die IP auf die die Pakete umgeschrieben werden dem ausgehenden Interface
hinzu um dann DNAT betreiben zu können...

Zum Thema anstàndige Lösung:
NAT selbst ist schon ein Fake, wenn man diesen dann noch mit solchen
anderen Fakes kombiniert kann da meines Erachtens nach keine anstàndige
Lösung bei rauskommen - YMMV.

Grüße
Michael

Ähnliche fragen