Verständnis-Problem FritzBox/IPfire/L3-Switch mit VLANs

[qiller]

Hallo zusammen,

hab hier ein Verständnis-Problem. Und zwar kann ich die Frage gleich mal vorweg stellen: Warum brauch ich in der FritzBox keine statischen Routen für die einzelnen VLANs am L3-Switch anlegen, obwohl NAT im IPFire deaktiviert ist?

Und zwar muss ich dazu sagen, dass ich das NAT im IPFire für Green und Orange ausgeschaltet habe (daher werden auch statische Routen in der FritzBox fürs Green- und Orange-Netz benötigt) und die VLANs sich hinter dem Grünen Netz befinden. Das Grüne Netz besteht im Prinzip nur aus 2 IPs (IPFire Green-IP und VLAN 250 IP im L3 Switch) und ist sozusagen ein reines Internet-VLAN. Die einzelnen VLANs (außer natürlich das Green-Netz) sind mit statischen Routen zur jeweiligen VLAN-IP des L3-Switches im IPFire hinterlegt. Ohne diese Routen kennt der IPFire den Weg zu den Nicht-Grün-Hosts nicht (logisch). Zusätzlich gibt es noch Firewall-Regeln im IPFire für die VLAN-Netze, die über den Proxy hinaus Verbindungen zum Internet aufbauen können sollen (ohne diese Regeln kommt man von den VLAN-Clients aus nur bis zum IPFire/Proxy).

Als Gateway in den Clients ist dann überall der L3-Switch mit der entsprechenden VLAN-IP hinterlegt. Im Grunde wird also 3x geroutet (L3-Switch->IPFire->FritzBox[NAT]), bis ein Paket unser Netz verlässt. Dabei wird bzw. soll NAT nur auf der FritzBox durchgeführt/werden. Im L3-Switch ist dann noch eine 0.0.0.0/0-Default Route zur Green-IP des IPFires gesetzt. Der L3-Switch macht kein NAT (das konnte ich schon testen).

Aus mir unerfindlichen Gründen brauche ich allerdings für die einzelnen VLAN-Netze keine statischen Routen in der FritzBox hinterlegen. Woher weiß denn die FritzBox, wo sie das Paket hinschicken soll, wenn sie die VLAN-Netze gar nicht kennt? Kann es sein, dass der IPFire doch ein NAT auf IP-Pakete durchführt, die von den VLAN-Netzen kommen? Kann es sein, dass die Schalter für die Deaktivierung von NAT in der IPFire-GUI tatsächlich nur für das Green-/Blue-/Orange-Netz gelten und IP-Pakete anderer Netze dann trotzdem genatet werden (das ist das, was ich nicht testen konnte)? Falls ja, kann ich das NAT für andere (VLAN-)Netze irgendwie deaktivieren?

[fredym]

Als Gateway in den Clients ist dann überall der L3-Switch mit der entsprechenden VLAN-IP hinterlegt. Im Grunde wird also 3x geroutet (L3-Switch->IPFire->FritzBox[NAT]), bis ein Paket unser Netz verlässt. Dabei wird bzw. soll NAT nur auf der FritzBox durchgeführt/werden. Im L3-Switch ist dann noch eine 0.0.0.0/0-Default Route zur Green-IP des IPFires gesetzt. Der L3-Switch macht kein NAT (das konnte ich schon testen).

du hast die IPFire-Software umgeschrieben, daß an ROT(out) kein NAT mehr stattfindet ? ... WOW !

Was du an der Ausgangsseite machst ( VLAN Flags..oder nicht) ist ehe "Wurscht", wenn es per NAT "nach aussen" geht - normalerweise.
Fritz kennt kein VLAN, auch incoming werden evtl VLAN Flags ignoriert.

Aus mir unerfindlichen Gründen brauche ich allerdings für die einzelnen VLAN-Netze keine statischen Routen in der FritzBox hinterlegen. Woher weiß denn die FritzBox, wo sie das Paket hinschicken soll, wenn sie die VLAN-Netze gar nicht kennt? Kann es sein, dass der IPFire doch ein NAT auf IP-Pakete durchführt, die von den VLAN-Netzen kommen? Kann es sein, dass die Schalter für die Deaktivierung von NAT in der IPFire-GUI tatsächlich nur für das Green-/Blue-/Orange-Netz gelten und IP-Pakete anderer Netze dann trotzdem genatet werden (das ist das, was ich nicht testen konnte)? Falls ja, kann ich das NAT für andere (VLAN-)Netze irgendwie deaktivieren?

Kann es sein, daß du dir nie die Mühe gemacht hast, rauszufinden was VLAN ist, d.h. wie es gehandhabt wird?
Schau dir den Paketaufbau von IP Paketen an, inclusive der für die Tags vorgesehenen Felder.
Da kann was (sinnvolles) drin stehn, muß aber nicht - ist normalerweise bedeutungslos, außer das Gerät wertet die VLAN-Tags zusätzlich aus, dann werde VLANs ggfs. anders behandelt.


Zu VLAN ggfs. bei Wikipedia mal nachlesen, evlt. Links benutzen

Fred
ps: ein schlechter Vergleich wären Radfahrer- und Fußgängerampeln an einer Kreuzung, regeln zusätzlich und anders , aber man kann sie auch weglassen.

[qiller]

du hast die IPFire-Software umgeschrieben, daß an ROT(out) kein NAT mehr stattfindet ? ... WOW !

Wieso umchreiben, die Option ist doch in der Firewall-Options-GUI? Eigentlich habe ich die Option genau so verstanden, dass wenn ein Paket vom Grünen/Blauen/Orange-Netz kommt, dann eben kein (Source-)NAT auf die Rote-Schnittstelle statfindet, wenn man NAT dort abschaltet, sondern die Source-IP des ursprünglichen Absenders beibehalten wird. Daher muss ja auch in der FritzBox eine statische Route angelegt werden, wenn man NAT abschaltet, damit diese auch auf die für die FritzBox unbekannte Source-IP antworten kann. Oder hab ich auch hier nen Denkfehler?

Der restliche Post von dir ist irrelevant und lag auch an meiner schlechten Beschreibung, stell dir einfach nen Router ohne NAT mit mehreren von Grün unterschiedlichen Netzen vor, die aber alle eine Route zur Grünen Schnittstelle haben.

Im Grunde sieht es bei uns so aus:

Code: Select all

FritzBox 
  |
  |
IPFire ----- DMZ
  |
  |(Green-Netz = /30 mit nur 2 IPs, 1x für Grüne Schnittstelle, 1x für L3-Switch)
  |
Router (L3-Switch)
  |             |
  |             |
Client-Netz1 Client-Netz2 ....

Dass die logischen Netze dann per VLANs in einem L3-Switch erstellt werden, ist für den IPFire eigentlich vollkommen egal. Wichtig ist nur, dass die Client-Netze nicht dem Grünen Netz im IPFire entsprechen und mit ihrer ungenateten Source-IP an der grünen Schnittstelle ankommen.

Edit: Hintergrund dieses Threads ist folgendes: Ich möchte ein Doppel-NAT in unserem Netzwerk vermeiden und da unsere FritzBox sich nicht in den Bridge-Modus versetzen lässt (wir müssten dann auch auf einige Funktionen der FB verzichten), bleibt nur das NAT im IPFire zu deaktivieren. Bevor wir den L3-Switch hatten, funktionierte das auch wunderbar. NAT auf Green/Orange deaktiviert, statische Route in der FB angelegt, fertig. Kein Doppel-NAT mehr. Jetzt mit dem L3-Switch als zusätzlichen Router besteht unser Netz aus mehrere Teilnetzen, die vom Grünen Netz natürlich abweichen und meine Vermutung ist eben, dass die NAT-Optionen in der Firewall-GUI sich tatsächlich aussschließlich auf die Netze beziehen, die direkt am IPFire angeschlossen sind, sprich Blau/Grün/Orange. Alle anderen Netze, die per statische Route dem IPFire bekannt gemacht werden, werden genatet. Sozusagen, der Default im IPFire ist für alle Netze "NAT an" und nicht "NAT aus". Kann das sein? Das würde nämlich erklären, warum ich in unserem Fall eine statische Route in der FB für das Orange-Netz eintragen muss, für die ganzen Client-Netze allerdings nicht (theoretisch müsste auch eine Route für das grüne Netz in der FB hinterlegt werden. Da das aber nur als Transportnetz, sprich es befinden sich keine angeschlossenen Hosts im Netz, genutzt wird, kann man die Route auch weglassen).

[Mapa]

Kein positiver Beitrag was fredym da schreibt ...

Aus dem Beitrag, konnte ich nichts positives entnehmen .

Informell = 0% .
Vernünftige sachliche Vorschläge = 0% .
Hilfestellung = 0% .
Aber Andere als Dumm darzustellen = 100% .

Forum Mobbing, nichts anderes !

viewtopic.php?f=4&t=22241#p122151
viewtopic.php?f=6&t=22244#p122152

Gruß
Mapa

[fredym]

du hast die IPFire-Software umgeschrieben, daß an ROT(out) kein NAT mehr stattfindet ? ... WOW !

Wieso umchreiben, die Option ist doch in der Firewall-Options-GUI? Eigentlich habe ich die Option genau so verstanden, dass wenn ein Paket vom Grünen/Blauen/Orange-Netz kommt, dann eben kein (Source-)NAT auf die Rote-Schnittstelle statfindet, wenn man NAT dort abschaltet, sondern die Source-IP des ursprünglichen Absenders beibehalten wird. Daher muss ja auch in der FritzBox eine statische Route angelegt werden, wenn man NAT abschaltet, damit diese auch auf die für die FritzBox unbekannte Source-IP antworten kann. Oder hab ich auch hier nen Denkfehler?

Der restliche Post von dir ist irrelevant und lag auch an meiner schlechten Beschreibung, stell dir einfach nen Router ohne NAT mit mehreren von Grün unterschiedlichen Netzen vor, die aber alle eine Route zur Grünen Schnittstelle haben.

Im Grunde sieht es bei uns so aus:

Code: Select all

FritzBox 
  |
  |
IPFire ----- DMZ
  |
  |(Green-Netz = /30 mit nur 2 IPs, 1x für Grüne Schnittstelle, 1x für L3-Switch)
  |
Router (L3-Switch)
  |             |
  |             |
Client-Netz1 Client-Netz2 ....

also du hast NAT abgeschaltet .. wo denn ??

also hat ROT 192.168.178.11/32
GREEN - 192.168.180.64/30 - korrekterweise /32
BLUE - 192.168.181.0/32
ORANGE - 192.168.182.0/32
(oder so in der Art = Annahme)

ROT kriegt ja nur eine IP - alle da einkommenden Pakete kannst du auf eine beliebige andere IP aus einem anderen Netz routen.
Muß natürlich auch "rückwärts gehen, also vom lokalen Rechner zum Internet, hast du mehr als einen lokalen Rechner mußt du NAT machen!
Also 192.168.180.64 und 192.168.180.65 auf eine IP (ausgehende als Quelle) abbilden (192.168.178.11 eben) reinzu (internet -> Lokal) dann eben per Portforward

Und .. klar kannst du mehrerere VLANs auf eine Hardware-Schnittstelle "binden" - die müssen wieder Routen, da sie sich per Broadcast nicht hören können.
Ob du in dem L3-Switch tagged VLAN verarbeitest oder eben nicht - dein Bier! Kann man machen muß man nicht.
Man kann auch 2 48er Switche stapeln - einen 92er draus machen (oder mehrere) und per Trunk Strippe verbinden (bei Haus-zu-Haus gerne per LWL)

Dass die logischen Netze dann per VLANs in einem L3-Switch erstellt werden, ist für den IPFire eigentlich vollkommen egal. Wichtig ist nur, dass die Client-Netze nicht dem Grünen Netz im IPFire entsprechen und mit ihrer ungenateten Source-IP an der grünen Schnittstelle ankommen.

Edit: Hintergrund dieses Threads ist folgendes: Ich möchte ein Doppel-NAT in unserem Netzwerk vermeiden und da unsere FritzBox sich nicht in den Bridge-Modus versetzen lässt (wir müssten dann auch auf einige Funktionen der FB verzichten), bleibt nur das NAT im IPFire zu deaktivieren. Bevor wir den L3-Switch hatten, funktionierte das auch wunderbar. NAT auf Green/Orange deaktiviert, statische Route in der FB angelegt, fertig. Kein Doppel-NAT mehr.

GREEN und ROT im gleichen Netz - alle 192.168.178 ??

Jetzt mit dem L3-Switch als zusätzlichen Router besteht unser Netz aus mehrere Teilnetzen, die vom Grünen Netz natürlich abweichen und meine Vermutung ist eben, dass die NAT-Optionen in der Firewall-GUI sich tatsächlich aussschließlich auf die Netze beziehen, die direkt am IPFire angeschlossen sind, sprich Blau/Grün/Orange. Alle anderen Netze, die per statische Route dem IPFire bekannt gemacht werden, werden genatet. Sozusagen, der Default im IPFire ist für alle Netze "NAT an" und nicht "NAT aus". Kann das sein? Das würde nämlich erklären, warum ich in unserem Fall eine statische Route in der FB für das Orange-Netz eintragen muss, für die ganzen Client-Netze allerdings nicht (theoretisch müsste auch eine Route für das grüne Netz in der FB hinterlegt werden. Da das aber nur als Transportnetz, sprich es befinden sich keine angeschlossenen Hosts im Netz, genutzt wird, kann man die Route auch weglassen).

Ufff ...
Firewall Optionen kannst (!) du ohne IPs machen nur mit devices, alle Kombinationen zu iptables gibt die GUI eh nicht her!
Zumal .. DHCP Requests usw. haben ja (noch) keine IP


Ansonsten NAT hin oder her .. Fritz als exposed Host schubst eh alle ankommenden Requests auf den exposed Host Port, die nicht schon anderwertig behandelt worden sind.
Eigentlich (!) mußt du bei Fritz nur extra Routen setzen, wenn du aus dem Fritz-Netz NICHT das Standardgateway benutzen willst.

So...ich hoffe, ich habe mich "ausreichend unklar" ausgedrückt, mangels konkreter Beispiele, ein paar Vermutungen hatte ich ja schon extra formuliert.
Was ich immer noch nicht verstehe... auch ein L3-Switch kann als dummer L2-Switch agieren, man muß es ihm nur "sagen", ggfs. Handbuch lesen ;-) ..und auf Hersteller Terminologie achten ;-)


Fred

[qiller]

Denke ich habe meine Antwort gefunden:

Code: Select all

# Outgoing masquerading (don't masqerade IPSEC (mark 50))
		iptables -t nat -A REDNAT -m mark --mark 50 -o $IFACE -j RETURN

		if [ "${IFACE}" = "${GREEN_DEV}" ]; then
			iptables -t nat -A REDNAT -i "${GREEN_DEV}" -o "${IFACE}" -j RETURN
		fi

		local NO_MASQ_NETWORKS

		if [ "${MASQUERADE_GREEN}" = "off" ]; then
			NO_MASQ_NETWORKS="${NO_MASQ_NETWORKS} ${GREEN_NETADDRESS}/${GREEN_NETMASK}"
		fi

		if [ "${MASQUERADE_BLUE}" = "off" ]; then
			NO_MASQ_NETWORKS="${NO_MASQ_NETWORKS} ${BLUE_NETADDRESS}/${BLUE_NETMASK}"
		fi

		if [ "${MASQUERADE_ORANGE}" = "off" ]; then
			NO_MASQ_NETWORKS="${NO_MASQ_NETWORKS} ${ORANGE_NETADDRESS}/${ORANGE_NETMASK}"
		fi

		local network
		for network in ${NO_MASQ_NETWORKS}; do
			iptables -t nat -A REDNAT -s "${network}" -o "${IFACE}" -j RETURN
		done

		# Masquerade everything else
		iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

Ja, der IPFire macht per Default für alle Netze NAT und nur für die in den Firewall-Optionen(@fredyn: guck mal ins Firewall-Menü, da findest du die "Firewall-Optionen") deaktivierten Netzwerke wird es abgeschalten. Damit stellt sich nur die Frage, bekomme ich meine Client-Netze hinter dem L3-Switch auch irgendwie in die Variable "NO_MASQ_NETWORKS" rein (das "local" sieht eher nicht danach aus und den Code direkt ins Firewall-Script zu schreiben klingt auch nach keiner guten Idee :F)? Oder wie müssten die iptables Befehle in der firewall.local für die Bereiche start/stop/reload aussehen?

für Start würd ich mal nen angepasstes Copy&Paste nehmen:

Code: Select all

iptables -t nat -A REDNAT -s 192.168.77.0/24 -o "${GREEN_DEV}" -j RETURN

Ich weiß nur nicht, ob die Regel bei nem "Append" überhaupt noch greift, wenn in der Reihenfolge davor noch die "Masquerade everything else"-Regel ist. Einer ne Idee, wie man das richtig macht?

[fredym]

Denke ich habe meine Antwort gefunden:

Code: Select all

# Outgoing masquerading (don't masqerade IPSEC (mark 50))
		iptables -t nat -A REDNAT -m mark --mark 50 -o $IFACE -j RETURN

		if [ "${IFACE}" = "${GREEN_DEV}" ]; then
			iptables -t nat -A REDNAT -i "${GREEN_DEV}" -o "${IFACE}" -j RETURN
		fi

		local NO_MASQ_NETWORKS

		if [ "${MASQUERADE_GREEN}" = "off" ]; then
			NO_MASQ_NETWORKS="${NO_MASQ_NETWORKS} ${GREEN_NETADDRESS}/${GREEN_NETMASK}"
		fi

		if [ "${MASQUERADE_BLUE}" = "off" ]; then
			NO_MASQ_NETWORKS="${NO_MASQ_NETWORKS} ${BLUE_NETADDRESS}/${BLUE_NETMASK}"
		fi

		if [ "${MASQUERADE_ORANGE}" = "off" ]; then
			NO_MASQ_NETWORKS="${NO_MASQ_NETWORKS} ${ORANGE_NETADDRESS}/${ORANGE_NETMASK}"
		fi

		local network
		for network in ${NO_MASQ_NETWORKS}; do
			iptables -t nat -A REDNAT -s "${network}" -o "${IFACE}" -j RETURN
		done

		# Masquerade everything else
		iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

Ja, der IPFire macht per Default für alle Netze NAT und nur für die in den Firewall-Optionen(@fredyn: guck mal ins Firewall-Menü, da findest du die "Firewall-Optionen") deaktivierten Netzwerke wird es abgeschalten.

NEIN - NAT wird nicht abgeschaltet, es wird nur das Maskieren abgeschaltet;
Masquerade heisst nix anders daß der ausgehend nicht die Originalquell-IP verwendet sondern die ROTe IP

Damit stellt sich nur die Frage, bekomme ich meine Client-Netze hinter dem L3-Switch auch irgendwie in die Variable "NO_MASQ_NETWORKS" rein (das "local" sieht eher nicht danach aus und den Code direkt ins Firewall-Script zu schreiben klingt auch nach keiner guten Idee :F)? Oder wie müssten die iptables Befehle in der firewall.local für die Bereiche start/stop/reload aussehen?

für Start würd ich mal nen angepasstes Copy&Paste nehmen:

Code: Select all

iptables -t nat -A REDNAT -s 192.168.77.0/24 -o "${GREEN_DEV}" -j RETURN

Ich weiß nur nicht, ob die Regel bei nem "Append" überhaupt noch greift, wenn in der Reihenfolge davor noch die "Masquerade everything else"-Regel ist. Einer ne Idee, wie man das richtig macht?

Du verwirrst mich ;-)
VLAN ist ja nur die "Nachbildung" fehlender Hardware..du kannst auch physikalisch (!) 4 Netzwerkkarten einbauen (beim IPCop hier dass dann ROT-Grün-Blau-Grau), VLANs lassen mehrere zu (12 Bit); kann man im Swich auseinandersortieren (muß man aber nicht).
Hier läuft letztlich alles in der IPFire zusammen und genau dort muß umgerouted werden - zusätzlich ein anderes VLAN-Tag gesetzt.

Was auf dem grünen Vlan reinkommt und zum blauen Vlan wieder raus soll - muß dann ja auch das blaue Tag tragen - sonst fühlen sich die blauen Geräte nicht angesprochen!

Zu ROT usw. geht es eigentlich nicht raus, es sei denn, der will ins Internet! Normalerweise werden dort alle (genatteten) so maskiert, daß es aussieht, als kämen sie vom roten IF (also evtl. 192.168.178 -Fritz-Teilnehmer) Zusatzrouten brauchts eigentlich nur, wenn im Fritz-Net noch andere IPs rumgeistern, die nicht zum Fritz-Net gehören.

NAT ist eben nicht MASQ
Mithin richtest du den Switch so ein (entweder Portbasiert oder Tagbasiert) daß die Netze auseinandergepuzzelt werden (nix mit Routing).
War IEEE (??) 802.1Q mit der Beschreibung von Vlans.

Und... ob du MASQ verwendest oder nicht... die VLAN-Tags im Frame haben damit nix zu tun. Ich gehe mal danon aus (nöö weder nachgelesen noch gefunden) daß bei IPFire die VLAN-Tag entfernt werden, wenn es zu einem untagged Netz geht (ROT, oder evtl. ORANGE) und NEU gesetzt werden wenn das Paket auf VLAN12 reinkommt und auf VLAN14 rausgeht (Bezeicher frei erfunden) - das Routing sollte dann innerhalb des Kernel passieren, TAGS werden erst gesetzt/geändert, wenn das Paket über ein (eth)Device versendet wird.

So jedenfall der "normale Gang der Dinge" - vielleicht etwas vereinfacht.
Passiert alles in dem (zusätzlichen eingefügten VLAN Feld) siehe auch IEEE 802.3 Frames.
Masquerade greift an anderer Stelle ein ;-)

Aber wenn "fritz" eh nur Transfernetz ist (lt. Plan nur Internetverbindung) wundert mich das mit den "statischen Fritz-Routen".


Fred
ps: ich lese die ganzen Protokolle auch immer erst bei Bedarf ;-) Ist nicht mein "täglich Brot"; hatte mich vor paar Jahren aber damit "rumgeschlagen"

[qiller]

NEIN - NAT wird nicht abgeschaltet, es wird nur das Maskieren abgeschaltet;
Masquerade heisst nix anders daß der ausgehend nicht die Originalquell-IP verwendet sondern die ROTe IP

https://unix.stackexchange.com/question ... masquerade

Letztendlich wird bei beiden Methoden die Source-IP durch die Red-IP ausgetauscht und das ist genau das, was ich nicht möchte. Auch beim Masquerading muss der IPFire doch irgendeine "NAT-Tabelle" führen um Antworten dem richtigen Host wieder zuzuordnen. Woher soll er sonst auch wissen, zu welchem Host er das Paket weiterleiten soll.

Für mich sieht Masqerade wie ein SNAT aus, nur dass SNAT für bestimmte IPs festgelegt wird, Masquerade für ein komplettes Interface. Daher steht in der IPFire-Gui nämlich auch "Masquerading/NAT" über den Optionen.

Edit: @fredyn: Ich weiß nicht, warum du noch auf den VLANs rumreitest. Die sind sowas von egal, weil der IPFire davon überhaupt nichts sieht. Deswegen schrieb ich auch "stell dir einfach ein Router hinter dem grünen Interface vor, der weitere Teilnetze routet".