FBF 7050: separates WLAN möglich?

[mettwurscht]

Hallo,

zur Zeit habe ich folgende Konstellation:

An meinem ADSL-Anschluss hängt die FBF, die als Router für's LAN fungiert. Zusätzlich hängt ein Linux-Server im LAN. Dieser Linux-Server hat zwei NIC: eth0 für's normale LAN und eth1, an dem ein WLAN-AP hängt (nicht die FBF).

Der WLAN-AP ist komplett ungesichert, weil die Sicherung des LAN vor dem WLAN im Linux-Server durch iptables-Regeln passiert. Die WLAN-Clients bekommen von Server ausschließlich eine IP für das unsichere WLAN und sonst nichts. Dann bauen die ungesicherten WLAN-Clienst per openVPN eine gesicherte Verbindung ins LAN auf und alle sind glücklich.

Jetzt will ich diesen WLAN-AP durch die FBF ersetzen. In der FB lassen sich ja jedem Netzwerk-Anschluss (LAN A, LAN B, USB und WLAN) eigene IP-Adressen zuweisen.

Kann mir jemand dabei helfen, den Anschluss LAN B mit eth1 zu verbinden und FB-intern WLAN mit LAN B zu verknüpfen, so dass man vom WLAN aus nicht ins sichere LAN kommt, sondern sich auf jeden Fall per WLAN -> LAN B -> eth1 -> openvpn anmelden muss?

Edit: eth0 und eth1 liegen natürlich in komplett unterschiedlichen Subnetzen.


Danke!
Mett

 

[jebu81]

Hallo,

ich nutze für ein ähnliches Szenario die iptables aus dem ds-mod.

An LAN A, also eth0, hängt mein "sicheres" LAN. LAN B (eth1) versorgt einen WRT54GS mit fon.com-Firmware. Für eth0 ist alles erlaubt, eth1 ist auf wenige Dienste (pop3, http, ...) beschränkt. Die eigentliche Authentifizierung übernimmt der WRT mit seiner Benutzerverwaltung für fon. Für mein sicheres, privates WLAN ist auch alles erlaubt.

Wenn ich jetzt keinen Denkfehler drin habe, könntest Du das WLAN-Interface einfach mit iptables dahingehend abriegeln, dass nur die für openVPN benötigten Ports erlaubt sind.