Bridge Please

      Bridge Please

      Hallo an alle,

      ich habe mich in das Thema bereits seit März eingelesen, mit minderem Erfolg. Ich möchte eigentlich den SP-Hybrid nur als LTE-Modem verwenden und idealerweise den eth0-Switch mit dem LTE-Interface so bridgen, dass ich den IP-Verkehr (sowohl normal als auch legacy) direkt aus dem Speedport in PFSense packen kann.

      Leider scheint es mit brctl nicht möglich zu sein, den GRE-Tunnel selber zu bridgen oder mache ich da was falsch?

      Mit freundlichen Grüßen

      Tobias Timpe

      ttimpe schrieb:

      Ich hätte halt gerne die GRE Tunnel IP (also die LTE IP) auf dem eth0-Switch, um den Speedport Hybrid quasi als Modem zu verwenden.
      Ich hab' mich immer gefragt, warum das noch keiner versucht hat ;)
      Eine Bridge zwischen gre1 und einem der LAN-Ports würde ja einer DMZ (besser exposed Host) gleichkommen...

      Irgendjemand hier im Forum hatte br0 aufgebrochen, um die Ports einzeln ansteuern zu können - sollte per brctl möglich sein.
      Eine Bridge zwischen gre1 und dem Port sollte dann per iproute2 möglich sein.

      -- glaube ich, aber bin eher Coder als Netzwerker --

      --> wenn das klappt, hat man allerdings ein Problem bezüglich Telefonie: die Bridge würde ja die LTE-Ausnahmen für VOIP ignorieren.
      (Telefonie am SPH sollte aber weiter funktionieren - und notfalls macht man das Gleiche nochmal für ppp256 auf einem 2. LAN-Port.)

      Eventuell hat @danXde da 'ne Idee zu?

      mfg, emkay

      sorry, dazu kenne ich mich zu wenig mit den Möglichkeiten der Layer2-Konfiguration im Linux aus. Wobei ich mich frage, was will man damit erreichen? OK, Doppelnat ist etwas mühsamer, aber wenn man nicht 1000 Services hat, sollte sich das einrichten lassen. Wenn man nun zusätzlich IPv6 Prefix Delegation einrichtet, bekommt der Client hinter dem nächsten Router ebenfalls IPV6-Adressen zugewiesen.

      Was also ist der Vorteil von Layer2?

      Grüße

      danXde

      mkorte schrieb:

      eMKay77 schrieb:


      Irgendjemand hier im Forum hatte br0 aufgebrochen, um die Ports einzeln ansteuern zu können - sollte per brctl möglich sein.


      Hasst Du ne Idee wer /in welchem Thread das war? Finde über die Suche nichts. ich könnte nämlich genau sowas ganz gut gebrauchen....


      Ich würde es so versuchen:

      brctl delif br0 eth0.2
      brctl delif br0 eth0.3
      brctl delif br0 eth0.4
      brctl delif br0 eth0.5
      brctl delif br0 wl0

      Ich würde aber nicht das Interface herausnehmen, an dem deine Console dranhängt.....

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „ds365“ ()

      @danXde: naja, danach wäre der SPH wirklich nur noch Modem - ein eigener Router dahinter wäre dann simpel. (keine Firewall, keine Portweiterleitungen, ...)

      Gut, wie gesagt (Telekom-)Voip würde nicht so einfach gehen - aber zB. wäre ne Fritzbox dann ungefiltert am Netz. Und das wohl mit weit weniger Aufwand, als per IpTables.
      Hat man aber zB. Router+Telefonanlage, so könnte man eben einen Port auf gre1 bridgen und daran den Router -- und einen Port auf ppp256 und daran die Telefonanlage...

      @mkorte: ich glaub, daß hatte jemand im Chat/Shoutbox erwähnt... er wollte glaub 2 voneinander getrennte LANs aufbauen.

      mfg, emkay

      Ich hätte da noch ne Frage dazu, ich bin nicht so der Schnittstellenspezialist.

      Wenn ich z.B. eth0.2 aus br0 herausnehme und diese Schnittstelle dann mit gre1 über eine neue Bridge verheirate, was passiert dann bei Überlast auf gre1, wird dann gre2 autmatisch dazugeschaltet? Wie bekommt diese neue Bridge dann ihre IP Adressen? Das müsste doch dann die von gre1 sein.

      Wenn ich dann im SPH die Defaultroute über ppa256 statt gre1 laufen lasse, müsste doch die Rest br0 Schnittstelle weiter verwendbar sein, oder?

      Danke @ds365, ich schau mir das mal an.

      eMKay77 schrieb:


      @mkorte: ich glaub, daß hatte jemand im Chat/Shoutbox erwähnt... er wollte glaub 2 voneinander getrennte LANs aufbauen.


      Genau das möchte ich auch. Nutze zwei VLANS, eins privat, eines für Gäste (+ noch ein weiteres VLAN für meine Überwachungskameras). Die ersten beiden sollen beide ins Internet können, ohne dass die Bridge im Speedport die beiden wieder verbindet.

      DNS, DHCP, etc. mach ich schon selbst für die Netze.

      Gruß,
      mkorte

      @mkorte das sollte umsetzbar sein....zumindest erstmal portbasiert.
      1. die Interfaces von "br0" trennen
        1. brctl delif br0 eth0.4
        2. brctl delif br0 eth0.5
      2. neue brX anlegen
        1. brctl addbr br4
        2. brctl addif br4 eth0.4
        3. brctl addbr br5
        4. brctl addif br5 eth0.5
      3. brX mit IP-Adresse ausstatten
        1. ifconfig br4 inet 192.168.y.1 netmask 255.255.255.0
        2. ifconfig br5 inet 192.168.z.1 netmask 255.255.255.0
          (IPv6 ist dann etwas umfangreicher zu konfigurieren, da Du ja dann eigenen /64 aus dem /56 definieren und per RA verteilen müsstest, Achtung, Datenschutzstufe <>0 ändert für das primäre Netz nach 24 h dem Adressbereich, das muss da zusätzlich beachtet werden.)
      4. iptables dann entsprechend deinem benötigten Regelwerk angepasst wird.
        1. ....feel free.
      Kontrollieren kannste den Layer2 dann mit brctl show. Layer3 wie üblich mit ifconfig brX (X=4,5)

      Das Ganze dann sicher noch in ein Bootskript packen....

      @ttimpe ...Layer2 aus der Box rausbekommen... keine Ahnung, wie das gehen soll. Bisher habe ich das so verstanden, das der GRE- Tunnelendpunkt (Layer3) im Router ist, somit muss der Router - also der SP-H - die IP halten und auch eine Layer-3 forwarding-Entscheidung fällen. Ergo kann man die Pakete nicht zu einer undefinierten IP weiterleiten.

      Grüße

      danXde

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „danXde“ ()

      Viel Erfolg!

      So ist der Aufbau nicht vertragskonform. Könnte auch sein, das Telekom irgendwann mal gegencheckt und solche Betriebsmodi unterbindet. Da der SP-H ebenfalls ein DSL-Modem besitzt sehe ich nicht wirklich einen Vorteil den Hybrid-Modus zu trennen.


      Für den Fall, das Du es mit DoppelNAT versuchst und den SP-H bis auf DSL, LTE, Hybrid und DynDNS nix machen läßt, könntest Du es damit versuchen:

      Quellcode

      1. #
      2. # RouterIP festlegen
      3. #
      4. ROUTERIP="192.168.x.x"
      5. #
      6. # Wer alles zu Router weiterleiten moechte
      7. #
      8. ipt iptables -A FORWARD -d $ROUTEIP/32 -i ppp256 -p udp -m multiport --dport 1:65535 -j ACCEPT
      9. ipt iptables -A FORWARD -d $ROUTERIP/32 -i gre+ -p tcp -m multiport --dport 1:65535 -j ACCEPT
      12. #
      13. # Wer alles zur Router weiterleiten moechte
      14. #
      15. ipt iptables -t nat -A PREROUTING -i gre+ -j DNAT --to-destination $ROUTERIP
      16. ipt iptables -t nat -A PREROUTING -i ppp256 -j DNAT --to-destination $ROUTERIP


      Grüße

      danXde

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „danXde“ ()