Ich habe mir mit Debian 9 ein Gateway zusammen gebastelt hinter dem mein eigentliches heimisches Netzwerk ist. Dieses Gateway hängt an einer Fritzbox die ich vor kurzem bekam wegen Provider wechsel. Das Web Interface der Fritzbox funktioniert, wenn der Client im selben Subnet ist.

Mein Gateway funktioniert auch, ich kann auf Seiten im Internet problemlos zugreifen kann. Aber die Clients im Netz hinter dem Gateway können das Admin Interface der Fritzbox nicht erreichen. Ich habe zwar noch so ein schäbiges EEE-PC ding rumfliegen aber das beudetet wieder Arbeit da was drauf zu installieren und Stecker rumstöpseln usw. Das is so ne billige Fritzbox mit einer Lanbuchse.


Fritz Gateway Client(s)
10.10.10.10 < - > 10.10.10.20
10.20.20.20 <-> 10.20.20.XX


Alles statische IPs, auf dem Gateway läuft dnsmasq als DNS-Proxy. Der Paketfilter Routet mit MASQUERADE

iptables -t nat -A POSTROUTING -o $iface_internet -j MASQUERADE

In der Config von dnsmasq habe ich folgendes eingetragen

address=/fritz.box/10.10.10.10

Was kann ich machen und dabei die Trennung der Netze aufrecht erhalten?

Es müsste doch so ablaufen das wenn ich fritz.box im Browser eingebe dann müsste der das ja eigentlich an das Gateway schicken wie bei jeder anderen Webadresse. Der DNS-Proxy liefert die IP zurück und damit wird dann wieder der request abgegeben. Dieser müsste doch jetzt wieder an das Gateway gehen und der routet den weiter zur Fritzbox die dann darauf anspringen sollte !?!

Die Fritzbox ist als Gateway im Netzwerk-Interface eintragen das mit der Fritzbox verbunden ist. Das andere Netzwerk-Interface hat entsprechend keinen Eintrag da dieses Interface selbst das Gateway für die Clients ist.

2 Sachen sind möglich,
NAT auf deinem "Gateway" machen
eine statische Backroute in der FB einstellen(würde ich bevorzugen).

Die FB ist ja in einem anderen subnetz und weiß ohne nat (kommt die Anfrage ja aus 10.20er subnetz)ja nicht wohin sie antworten muss.

unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> Statische Routingtabelle

Netzwerk: 10.20.20.0
Maske: 255.255.255.0
Gateway: 10.10.10.20

eintragen, dann sollte es gehen


Frage: wenn du sowas machst, warum nimmst dann nicht eine "fertige" Geschichte wie Opensense,Pfsense...., das würde vieles einfacher machen.

Verstehe nicht so ganz die Idee dahinter. Du brauchst kein eigenes Subnetz, um die Geräte zu isolieren. Wenn du schon ein Debian mit iptables dazwischen hast, kannst du die Geräte einfach mit der Firewall und entsprechenden Regeln isolieren.

Ich werd das am Freitag mit dem Backroute Testen. Hatte heute schon genug IT gefummel auf der Arbeit.

Wollte gerne was eigenes basteln anstatt was fertig zu nehmen, als Spaß, Herausforderung usw. Vor dem Providerwechsel hatte ich noch ein einfaches DSL Modem, da hat mein Gateway auch noch die Einwahl übernommen. Hatte damals halt diverse Tutorials dazu gelesen und fands interessant die Netze zu trennen so das wenn sich ein Gerät zwischen Router und Gateway dran klemmt, nicht die anderen Geräte im Subnet sieht bzw nach deren Services broadcasten kann.