FritzBox Portweiterleitung in Gastnetz?
- Ersteller stefan-koch
- Erstellt am
Jein. DSL-Router richten nur eine rudimentäre FW ein, um Zugriffe vom DSL-Netz auf das LAN zu unterbinden. Man kann aber keine FW-Regel erstellen, die bestimmen, welcher Rechner mit welchem Protokoll auf welchen anderen Rechner zugreifen kann. Und genau diese Funktion benötige ich jetzt, um der Beere zu verbieten, auf irgend einen Rechner im LAN zuzugreifen, aber den anderen Rechnern den Zugriff auf die Beere zu gestatten.
Das kannst Du eben tun und um es noch sicherer zu machen, auch mit VLAN arbeiten, was die Netze trennt.
OpenWRT ist nicht nur was "rudimentäres", das ist auch keine Standard Firmware.
OpenWRT ist nicht nur was "rudimentäres", das ist auch keine Standard Firmware.
Dann wäre dieser TP-Link der erste DSL-Router, den ich kenne, bei dem das möglich ist. Hast Du ein Bildschirmfoto von der Eingabemaske für die FW-Regeln?
OpenWRT allgemein: https://openwrt.org
Mit dem Router: http://wiki.openwrt.org/de/toh/tp-link/tl-wr841nd
Und DMZ (nur als Beispiel): http://wiki.openwrt.org/doc/howto/dmz
Den Rest (z.B. nur 443 durchlassen) kann man sich nach belieben anpassen.
Mit dem Router: http://wiki.openwrt.org/de/toh/tp-link/tl-wr841nd
Und DMZ (nur als Beispiel): http://wiki.openwrt.org/doc/howto/dmz
Den Rest (z.B. nur 443 durchlassen) kann man sich nach belieben anpassen.
Oh, tut mir leid, ich hatte Dich bisher komplett missverstanden. Jetzt habe ich es verstanden: man muss erst ein anderes OS auf den Router ziehen, damit er zur Firewall mutiert.
Eindeutiger Fall von zu niedrigem Koffeinspiegel...
Eindeutiger Fall von zu niedrigem Koffeinspiegel...
Ja, ich denke, das kriege ich hin. Und da das Teil in der Bucht schon für'n "Zwanni" zu kriegen ist, ist es eine sehr günstige Lösung. 
Während das Ding zu mir unterwegs ist, wollte ich mir schon mal die Firmware runterladen. Jetzt sehe ich, daß es darauf ankommt, welche Version das Gerät ist: v3, v5, v7.1, v7.2, v8.0, v9.0. Steht die Version auf dem Gerät oder sagt es mir das auf der Web-GUI?
So, das Ding ist da und OpenWRT ist drauf.
Allerdings will mit das mit der DMZ nicht wirklich gelingen. Ich habe da noch ein paar Verständnisprobleme. Hast Du das Modell zufällig am Laufen? Wenn ja, würde ich mich über ein bisschen Hilfe freuen. Können wir auch gerne per PN oder in einem neuen Thread machen, wenn das besser passt.
Allerdings will mit das mit der DMZ nicht wirklich gelingen. Ich habe da noch ein paar Verständnisprobleme. Hast Du das Modell zufällig am Laufen? Wenn ja, würde ich mich über ein bisschen Hilfe freuen. Können wir auch gerne per PN oder in einem neuen Thread machen, wenn das besser passt.
Bei mir zu Hause habe ich das Modell nicht laufen, eingerichtet habe ich aber einige bzw. kann darauf zugreifen.
Schieß einfach mal mit Deinen Fragen los... (-; Es gibt hier auch mehrere, die sich mit openWRT auskennen.
Schieß einfach mal mit Deinen Fragen los... (-; Es gibt hier auch mehrere, die sich mit openWRT auskennen.
Na gut, aber ich fürchte, ich benötige eine von diesen Anleitungen "... für Dummies", denn ich scheitere hier nämlich schon an den Basiseinstellungen.
Das Netzwerk soll, wenn es funktioniert, später mal so aussehen:
Wobei Zugriff vom LAN ins DMZ erlaubt sein soll, aber eben nicht umgekehrt. Im Moment besteht die DMZ zwar nur aus der kleinen Beere, aber da kommen später noch weitere Maschinen hinzu.
So habe ich mir das gedacht. Ich hoffe, das geht so
Ich fang mal ganz klein an:
Der erste Schritt ist das Einrichten einer lokalen Zone "lan" mit Weiterleitung zur Zone "wan". Die Zone "wan" soll dabei die FritzBox sein, die weiterhin als erstes hinter der DSL-Buchse stecken muss, weil ich sonst nicht mehr telefonieren kann. Außerdem würde ich gerne das WLAN und das Gastnetz der FB weiter nutzen. Klar kann OpenWrt das bestimmt auch, aber auf der FB ist alles eingerichtet, und einige WLAN-Clients sind schon darauf geeicht, z.B. WLAN-Radio und SIP-Telefone. Die möchte ich nicht alle neu einrichten. Außerdem ist es mir ganz recht, wenn zwischen WLAN und meinem PC noch eine zusätzliche Treppenstufe ist.
Ich habe die blaue Buchse des TP als "wan" definiert und ihn darüber mit der FB verbunden. Dann habe ich die /etc/config/network wie folgt verändert:
Bevor ich mich also an die DMZ mache, muss ich erstmal die Weiterleitung vom LAN in den Griff kriegen.
Das Netzwerk soll, wenn es funktioniert, später mal so aussehen:
Code:
DSL - FB (WLAN/Gastnetz/Telefonie)
|
TP - LAN
|
DMZWobei Zugriff vom LAN ins DMZ erlaubt sein soll, aber eben nicht umgekehrt. Im Moment besteht die DMZ zwar nur aus der kleinen Beere, aber da kommen später noch weitere Maschinen hinzu.
So habe ich mir das gedacht. Ich hoffe, das geht so
Ich fang mal ganz klein an:
Der erste Schritt ist das Einrichten einer lokalen Zone "lan" mit Weiterleitung zur Zone "wan". Die Zone "wan" soll dabei die FritzBox sein, die weiterhin als erstes hinter der DSL-Buchse stecken muss, weil ich sonst nicht mehr telefonieren kann. Außerdem würde ich gerne das WLAN und das Gastnetz der FB weiter nutzen. Klar kann OpenWrt das bestimmt auch, aber auf der FB ist alles eingerichtet, und einige WLAN-Clients sind schon darauf geeicht, z.B. WLAN-Radio und SIP-Telefone. Die möchte ich nicht alle neu einrichten. Außerdem ist es mir ganz recht, wenn zwischen WLAN und meinem PC noch eine zusätzliche Treppenstufe ist.
Ich habe die blaue Buchse des TP als "wan" definiert und ihn darüber mit der FB verbunden. Dann habe ich die /etc/config/network wie folgt verändert:
Code:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'wan'
option ifname 'eth0'
option proto 'static'
option ipaddr '10.10.10.10'
option netmask '255.255.255.0'
config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '10.10.1.1'
option _orig_ifname 'eth1'
option _orig_bridge 'true'
option ifname 'eth1.1'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '1'
option vid '1'
[code]
Stelle ich meinem PC auf eth0.1 um, kann ich ihn in Port 1 des TP stecken und den TP darüber erreichen. So weit, so gut. Aber die Weiterleitung klappt noch nicht. Also Firewall-Zonen "lan" und "wan" definiert, und die Weiterleitung "lan → wan" erlaubt. Aber immer noch keine Weiterleitung.
Die automatisch erstellt /etc/config/firewall sieht im Moment so aus:
[code]
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config include
option path '/etc/firewall.user'
config zone
option name 'wan'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option network 'wan'
config zone
option name 'lan'
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option network 'lan'
config forwarding
option dest 'wan'
option src 'lan'Bevor ich mich also an die DMZ mache, muss ich erstmal die Weiterleitung vom LAN in den Griff kriegen.
Mittlerweile bin ich etwas weiter:
Ich habe auf jedem der 4 LAN-Ports ein VLAN (eth1.1 bis eth1.4) eingerichtet und den WAN-Port als eth0 mit meiner FritzBox verbunden. Die Zugriffsbeschränkungen der LAN-Ports untereinander greifen. Ebenso der Zugriff auf den TP über eth0.
Was noch nicht funktioniert ist das Routing: sobald ich meinen Rechner per eth1.1 direkt mit dem TP verbinde, kann ich zwar auf den TP zugreifen (ssh), aber ich komme nicht an die FB oder darüber hinaus. Weder von meinem Rechner aus, noch von der Shell auf dem TP.
Es findet also kein Routing statt zwischen eth1.1 und eth0 statt Ich habe schon verschiedene Weiterleitungsregeln ausprobiert, aber bisher war kein Treffer dabei.
Ich habe auf jedem der 4 LAN-Ports ein VLAN (eth1.1 bis eth1.4) eingerichtet und den WAN-Port als eth0 mit meiner FritzBox verbunden. Die Zugriffsbeschränkungen der LAN-Ports untereinander greifen. Ebenso der Zugriff auf den TP über eth0.
Was noch nicht funktioniert ist das Routing: sobald ich meinen Rechner per eth1.1 direkt mit dem TP verbinde, kann ich zwar auf den TP zugreifen (ssh), aber ich komme nicht an die FB oder darüber hinaus. Weder von meinem Rechner aus, noch von der Shell auf dem TP.
Es findet also kein Routing statt zwischen eth1.1 und eth0 statt Ich habe schon verschiedene Weiterleitungsregeln ausprobiert, aber bisher war kein Treffer dabei.
Nein, ich habe keine Brücke, sondern 5 einzelne Netzwerkgeräte: WAN an eth0 und VLAN1-4 an eth1.1 bis eth1.4
Muss ich denn eine Brücke definieren? Wenn ja, zwischen welchen Netzgeräten?
Muss ich denn eine Brücke definieren? Wenn ja, zwischen welchen Netzgeräten?
Kannst Du mir das mit den Brücken und den Schnittstellen mal etwas näher erklären? Und so, daß ich es verstehe?
Juhu! Es funktioniert endlich!
Das mit den Brücken habe ich zwar noch nicht so ganz verstanden, aber irgendwie habe ich es jetzt hinbekommen, auf jedem der Ports 1-4 eine Schnittstelle vom Typ "br-lan" zu legen und mit einem eigenen Subnetz zu versehen. Und der WAN-Port ist jetzt mit der FB verbunden. Was fehlte war das Maskieren: ohne "masquerading" gibt's keinen Kontakt aus den LAN-Ports mit der FB. Die mag wohl keine "Fremdnetze" weiterleiten.
Egal, jedenfalls funktioniert es jetzt, sogar die doppelte Port-Weiterleitung von außen: Vom Internet über die FB, dann über den TP an den Pi.
Jetzt beginne ich allerdings ernsthaft zu überlegen, ob es nicht viel sinnvoller wäre, den TP *vor* die FB zu hängen, also als eigentlicher DSL-Router, und die FB nur noch zum Telefonieren und als WLAN-AP zu benutzen und in eine zweite DMZ zu legen.
Die Frage ist, ob mein Anschluss dafür geeignet ist. Ich habe als erstes den Splitter an der Tele-Dose, der wiederum mit dem Y-Kabel an der FB angeschlossen ist. Kommt die FB damit klar, wenn ich sie nur mit der ISDN-Datenleitung des Splitters verbinde und die DSL-Leitung direkt zum TP lege?
Wenn ich den TP als DSL-Router betreibe, und die FB dahinter, ist dann besser, die DSL-Einwahl vom TP erledigen zu lassen, oder ihn nur als Modem für die FB zu benutzen, welche die Einwahldaten behält?
Fragen über Fragen...
Nachtrag: hab's gerade mal ausprobiert, und in den TP meine Zugangsdaten eingetragen. Leider kriegt er keine Verbindung. Kann OpenWrt vielleicht kein "ADSL2+"? Dann hat sich die Frage, in welcher Reihenfolge ich FB und TP platziere, eh erledigt.
Das mit den Brücken habe ich zwar noch nicht so ganz verstanden, aber irgendwie habe ich es jetzt hinbekommen, auf jedem der Ports 1-4 eine Schnittstelle vom Typ "br-lan" zu legen und mit einem eigenen Subnetz zu versehen. Und der WAN-Port ist jetzt mit der FB verbunden. Was fehlte war das Maskieren: ohne "masquerading" gibt's keinen Kontakt aus den LAN-Ports mit der FB. Die mag wohl keine "Fremdnetze" weiterleiten.
Egal, jedenfalls funktioniert es jetzt, sogar die doppelte Port-Weiterleitung von außen: Vom Internet über die FB, dann über den TP an den Pi.
Jetzt beginne ich allerdings ernsthaft zu überlegen, ob es nicht viel sinnvoller wäre, den TP *vor* die FB zu hängen, also als eigentlicher DSL-Router, und die FB nur noch zum Telefonieren und als WLAN-AP zu benutzen und in eine zweite DMZ zu legen.
Die Frage ist, ob mein Anschluss dafür geeignet ist. Ich habe als erstes den Splitter an der Tele-Dose, der wiederum mit dem Y-Kabel an der FB angeschlossen ist. Kommt die FB damit klar, wenn ich sie nur mit der ISDN-Datenleitung des Splitters verbinde und die DSL-Leitung direkt zum TP lege?
Wenn ich den TP als DSL-Router betreibe, und die FB dahinter, ist dann besser, die DSL-Einwahl vom TP erledigen zu lassen, oder ihn nur als Modem für die FB zu benutzen, welche die Einwahldaten behält?
Fragen über Fragen...
Nachtrag: hab's gerade mal ausprobiert, und in den TP meine Zugangsdaten eingetragen. Leider kriegt er keine Verbindung. Kann OpenWrt vielleicht kein "ADSL2+"? Dann hat sich die Frage, in welcher Reihenfolge ich FB und TP platziere, eh erledigt.
Zuletzt bearbeitet:
Neueste Beiträge
-
[Frage] Repeater, oder zweite FB hinter 5530- Letzte: UsAs
-
FB 6690 als WLAN Repeater
- Letzte: KunterBunter
-
[Problem] Probleme mit vdsl und onlinegaming / delay
- Letzte: KunterBunter
-
FreePBX mit altem Sipgate-Tarif
- Letzte: bytegetter
-
Alternative zu FreePBX und 3CX / Lizenz läuft aus
- Letzte: bytegetter
-
[Problem] FritzBox 7590 2,4GHz WLAN nur noch sehr sehr schwach
- Letzte: Theo Tester
