Ich habe einen Server mit Lubuntu und der IP-Adresse 192.168.1.11/24. Der DHCP-Server läuft und vergibt IPs für das gesamte Subnetz.
192.168.1.1 ist mein Heimrouter, der den gesamten anderen Datenverkehr an 192.168.0.1 weiterleitet, den Router meines ISPs.
Alles funktioniert wie erwartet, der Route-Befehl gibt mir
Destination Gateway Genmask Flags Metric Ref Use Iface
default router.asus.com 0.0.0.0 UG 100 0 0 enp0s31f6
192.168.1.0 * 255.255.255.0 U 100 0 0 enp0s31f6
Daher wird der gesamte Datenverkehr über 192.168.1.1 geleitet.
Jetzt versuche ich, eine zweite Netzwerkkarte im Server einzurichten. Die einzige Aufgabe dieser Netzwerkkarte wäre, DHCP-Adressen für das Subnetz 192.168.0.0/24 zu vergeben, sonst nichts.
Mein Problem: Sobald ich die statische IP-Adresse auf 192.168.0.2 konfiguriere, wird die Routing-Tabelle aktualisiert:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.1 0.0.0.0 UG 100 0 0 enp0s31f6
192.168.0.0 * 255.255.255.0 U 100 0 0 enx00e04c20e315
192.168.1.0 * 255.255.255.0 U 100 0 0 enp0s31f6
Das ist natürlich sinnvoll, da enx00e04c20e315 jetzt zum Subnetz 192.168.0.0/24 gehört und es sicherlich schneller ist, diese Route für das Subnetz zu verwenden.
Ich habe versucht, die Route manuell zu löschen, aber es hat nicht geklappt.
Wie kann ich enx00e04c20e315 so konfigurieren, dass es nur DHCP-Anfragen verarbeitet und den gesamten übrigen Datenverkehr trotzdem über enp0s31f6 leitet?
Hintergrund
Das Setup ist vielleicht ein bisschen seltsam, deshalb möchte ich ein paar Hintergrundinformationen geben. Ich verwende VLANs, um das Netzwerk zu trennen. Es gibt ein Standard-VLAN 1, in dem sich die meisten Ports befinden. Und dann gibt es ein VLAN 2 für WAN. Nur der WAN-Port meines Routers und der ISP-Router sind Teil von VLAN 2.
Ich versuche, auf meinem Router ein Gast-WLAN einzurichten. Damit das funktioniert, muss sich auf der WAN-Seite des Routers, also auf VLAN 2, ein DHCP-Server befinden. Deshalb richte ich eine zweite Netzwerkkarte ein und füge sie ebenfalls zu VLAN 2 hinzu. Wenn sich jetzt ein Gastgerät verbindet, sollte es die DHCP-Adresse vom Server erhalten und direkt über 192.168.0.1 gehen, ohne jemals das interne Netzwerk zu erreichen.
Vielen Dank
Antwort1
Eine Möglichkeit hierfür wäre, einen DHCP-Server in einer VM auf Ihrem System einzurichten und die zweite Netzwerkkarte mit der VM zu verbinden. Geben Sie dieser VM eine IP-Adresse im Netzwerk 192.168.0.0/24. Sie kann dann Adressen in diesem Netzwerk verteilen, bleibt aber von Ihrem Hauptnetzwerk sicher isoliert. Sie können eine Netzwerkkarte mit einer VM verbinden, ohne ihr eine IP-Adresse zuzuweisen, und sie so aus Ihren Host-Routingtabellen heraushalten.
Beachten Sie, dass dies immer noch nicht vollständig sicher ist, da Ihr Hauptsystem weiterhin anfällig für Layer-2-Angriffe aus dem Gastnetzwerk wäre und ein Angriff auf die VM möglicherweise aus der VM ausbrechen könnte, wenn ein Hypervisor-Fehler vorliegt. Wie wichtig diese Überlegungen für Sie sind, hängt davon ab, wie sicher Sie dies genau gestalten möchten.