Hi zusammen,
ich brauche dringend dank eurer (@RolandB s) Hilfe tut mein subnetting wieder.
Im letzten Thread (Migration mit Subnets) war mir klar geworden, dass man das schon verstehen sollte, damit man wenn Not am Mann ist, weiß wo man suchen muss. (Danke: @baumhof, @jochen und @rettich)
struktur soll sein:
-
10.16.0.0/12
ist das übergeordnete Netz - Ich mache lauter kleine
/24
Netzwerke daraus (weil so mein Switch konfiguriert wurde) - Das Servernetzwerk ist die
10.16.1.0/24
, die IP des Servers10.16.1.1
, die IP der OpnSense10.16.1.254
die IP des L3-Switches:10.16.1.253
und.254
in dem jeweiligen Subnetz - Das Beispiel-Subnetzwerk ist die
10.16.16.0/24
- Unabhängig davon sind Netzwerke für DMZ/WLAN etc. zu handhaben, die man außerhalb betreiben will.
subnets.csv
Die Konfigurationsdatei dazu sollte wohl so aussehen:
# server subnet definition
10.16.1.0/24;10.16.1.253;10.16.1.100;10.16.1.200;SETUP
10.16.12.0/24;10.16.12.254;10.16.12.100;10.16.12.110;MIGRATION;
10.16.14.0/24;10.16.14.254;;;MIGRATION;
10.16.16.0/24;10.16.16.254;;;MIGRATION;
10.16.17.0/24;10.16.17.254;10.16.17.100;10.16.17.150;MIGRATION;
10.16.18.0/24;10.16.18.254;10.16.18.100;10.16.18.150;MIGRATION;
Route von einem Client in 10.16.16.0
, wie soll die aussehen?
$ netstat -rn
Kernel-IP-Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt Iface
0.0.0.0 10.16.16.254 0.0.0.0 UG 0 0 0 enp2s0
10.16.16.0 0.0.0.0 255.255.255.0 U 0 0 0 enp2s0
Route von einem Client im 10.16.1.0
Netzwerk:
$ netstat -rn
Kernel-IP-Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt Iface
0.0.0.0 10.16.1.253 0.0.0.0 UG 0 0 0 enp2s0
10.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp2s0
oder muss hier die 10.16.1.253
als GW stehen?
Routing des Servers im eigenen Subnetz
$ netstat -rn
Kernel-IP-Routentabelle
Ziel Router Genmask Flags MSS Fenster irtt Iface
0.0.0.0 10.16.1.254 0.0.0.0 UG 0 0 0 eth0
10.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.16.16.0 10.16.1.253 255.255.255.0 UG 0 0 0 eth0
- Auf Serverseite ist im Routing nicht erkennbar, dass sich das gesamte Netz über ein
10.16.x.x/12
Bereich erstreckt: Der Server gehört dem10.16.1.x/24
Netz an. - In das
10.16.16.x/24
Netz routet der Server über die IP des L3-Switches. - Alle internen Anfragen gehen ohne Routing raus, alles andere an die Firewall.
Die korrespondierende netplan sieht so aus:
network:
ethernets:
eth0:
addresses:
- 10.16.1.1/24
dhcp4: false
dhcp6: false
gateway4: 10.16.1.254
nameservers:
addresses:
- 10.16.1.1
- 10.16.1.254
search:
- linuxmuster.humboldt-gymnasium.ka.schule-bw.de
routes:
- to: 10.16.16.0/24
via: 10.16.1.253
Routing der Firewall
Hier erstmal die Frage: Welche IP hat das Interface LAN ? https://github.com/linuxmuster/linuxmuster-base7/wiki/Ersteinrichtung-der-Appliances#opnsense-firewall hier hat Thomas ja die 10.16.1.254/12
vergeben. Ich nehme an, das ist richtig. Meine Firewall kommt aber damit noch nicht nach 10.16.16.0/24
. So scheint es zu funktionieren:
- Gateway erstellen „L3_Switch“ Gateway, parameter, siehe Bild
- Manuelle Route erstellen (10.16.14.x ist ein zweites subnetz)
Danach sieht meine Route so aus:
root@firewall:~ # netstat -rn
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default 141.xx.yy.gw UGS em0
10.16.0.0/12 link#2 U em1
10.16.1.254 link#2 UHS lo0
10.16.14.0/24 10.16.1.253 UGS em1
10.16.16.0/24 10.16.1.253 UGS em1
127.0.0.1 link#5 UH lo0
141.xx.yy.net/29 link#1 U em0
141.xx.yy.zz link#1 UHS lo0
Routing des L3-Switches
Hm, schwierig: Der L3-Switch hat ja je eine IP-Adresse im jeweiligen Subnetz. Ich habe auch eine Routing-Regel, die auf 10.16.1.254
zeigt als default-gw, denke ich.
Was das subnetz angeht, gibt es ja eigentlich keine Routing-regel sondern nur eine Zugriffsregel, nämlich dass 1. alle Rechner aus dem subnetz Richtung 10.16.1.1
dürfen und dass 2. allen Rechner die Richtung 10.16.0.0/12
danach verboten wird. Modulo Helper für DHCP und WOL.
Hintergrund des ganzen:
- Ich habe rebootet und die Clients kommen nicht mehr zur Firewall (für den Proxy z.B. usw.)
- Wenn ich jetzt linuxmuster-import-subnets aufrufe, dann habe ich mir die Firewall-routing und die des Servers bereits zerschossen. Ein weiterer Aufruf von linuxmuster-import-subnets funktioniert dann nicht mehr.
- Ich muss also rauskriegen, wie es richtig geht und von Hand setzen.
- netplan ist bescheuert.
VG, Tobias