iptables auf der 7320 ???

Hallo Cando,

ich habe in #52 etwas überlesen, was mir jetzt noch mal ins Auge fiel.
Solange läßt sich NAT ja auch mit dem dsld von AVM bewerkstelligen und...
Wie ließe sich denn konkret NAT mit den AVM-Mitteln realisieren und für eigene Zwecke "missbrauchen"?

Gruß
hhfreetz
 
Zuletzt bearbeitet:
Für eigene Zwecke nicht zu missbrauchen, aber man kann die Box ja mit 2 Firewalls betreiben.

Die AVM Firewall / dsld macht das NAT zum Internet inklusive Portweiterleitungen etc. und iptables filtert und überwacht den gesamten Verkehr. Was nicht geht, sind so Tricks mit source NAT oder destination NAT für VPN Verbindungen oder so, aber für den "normalen" Internet Betrieb reicht es meist aus. Wenn man mit VPN Konstrukten Probleme hat (Site Kopplungen, bei denen beide Sites die gleichen IP Bänder verwenden), kann man das ja auch umgehen, wenn man auf der einen Seite ein anderes RFC Segment (ip Adressbereich) wählt. Es gibt nur sehr wenig Fälle, wo man wirklich eigene NAT Regeln braucht - im home Bereich eher exotisch.
 
Dann bin ich wohl ein Exot. ;-)
Denn ich möchte erreichen, dass über VPN einkommender Verkehr in mein Home-Netz weitergereicht wird. Eine entsprechende Konfiguration auf der (Server-)Gegenseite, z.B. mittel "iroute", ist aber nicht möglich. Und dann bleibt doch nur noch NAT. Oder?
 
Remote Zugriff von einem Host in das Heimnetzwerk geht mit OpenVPN und tap statt tun, dann ist der client im selben Segment (geht auch für Netzkopplung). Wie es geht, steht in der wiki unter freetz.org unter paket openvpn. Dafür braucht man noch kein extra NAT. Klar ist man mit NAT von iptables flexibler... Eine andere Box könnte auch helfen wenn es denn NAT sein muß - mit der 7270 geht das oder mit der 7390.
 
bin kein experte würde aber ein upgrade von auf iptables iptables-1.4.3 oder höher weiter helfen wegen kernel 2.6.28.8
 
Remote Zugriff von einem Host in das Heimnetzwerk geht mit OpenVPN und tap statt tun, dann ist der client im selben Segment (geht auch für Netzkopplung). Wie es geht, steht in der wiki unter freetz.org unter paket openvpn. Dafür braucht man noch kein extra NAT. Klar ist man mit NAT von iptables flexibler... Eine andere Box könnte auch helfen wenn es denn NAT sein muß - mit der 7270 geht das oder mit der 7390.
Wie schon gesagt, ist mir die Konfiguration der Gegenseite nicht möglich (also kein 'tap' anstelle von 'tun').
Eine andere Box? Das wäre noch eine Idee...
Anzeige in eigener Sache:

Tausche 7320 gegen 7390 !


;)
 
iptables auf der 7320

Hallo Oliver,

es sieht so aus, als ob mein Vorhaben momentan nicht zu realisieren ist. Zwar kriege ich jetzt den Kernel ersetzt, aber eben ohne erforderliches conntrack-Modul.

Sie mir doch bitte behilflich, mich gedanklich davon zu verabschieden:

Kannst du mir bestätigen, dass an NAT auf der 7320 momentan nicht zu denken ist?

Ein einfaches "Ja" würde mir genügen.

Grüße
hhfreetz
 
Wenn NAT nur mit nf_conntrack geht, dann "Ja".

Gruß
Oliver
 
... dann vielleicht einfach ohne nf_contrack und iptables...

Wie wär's mit "IP Filter"?

Ich hab's unter " http://coombs.anu.edu.au/~avalon/ " gefunden.
What is it ?
IPFilter is a software package that can be used to provide network address translation (NAT) or firewall services. To use, it can either be used as a loadable kernel module or incorporated into your UNIX kernel; use as a loadable kernel module where possible is highly recommended. Scripts are provided to install and patch system files, as required.

Hat jemand Erfahrungen mit "IP Filter" auf der Fritzbox?
Könnte man es unter Freetz realisieren? :confused:
 
Könnte man es unter Freetz realisieren?
Es wäre denkbar. Laut Beschreibung wird Linux 2.4 bis 2.6 unterstützt. Es kann aber genauso gut sein, daß es aufgrund der unvollständigen Quellen oder von AVM Modifikationen doch nicht geht.

Außerdem glaube ich nicht, daß jemand anders das für Dich machen wird, Du bist also selbst gefragt.
 
Kannst Du bitte mal beschreiben, wie Diene Netzkonfiguration werden soll? Wo genau brauchst Du NAT, und welche Komponenten hast Du auf dem Server / in der Firma, die Dir eine Kopplung ermöglichen sollen ohne dass Du sie konfigurieren kannst?

Server Netz ? Router - NAT - Internet - NAT 7320 - ???
Tunnel ---------------------------- ???

Wo genau brauchst Du das 3. NAT, wo terminiert der Tunnel und wie willst Du den Verkehr durch den Tunnel routen, wenn Du das Routing im Server Netz nicht anpassen kannst?

Wenn es eine Lösung gäbe, die mit NAT funktioniert, kannst Du den tunnel ja auf einer VM auf Deinem PC terminieren und dort per NAT in Dein Netz per iptables routen. Ich weiss nicht, ob das nicht sogar die neuere Windows Firewall auch von Haus aus hinbekommt ohne eine zusätzliche Linux VM - ich glaube die nennen das aber anders (internet sharing oder so). Du kannst damit Deine VPN Verbindung zu deinem Server Aufbauen anstat zu einem ISP und diese Verbindung im LAN freigeben.

Ohne conntrack macht NAT eher wenig Sinn, der Rückkanal muss ja den richtigen Host finden, und das geht nur, wenn die Verbindungen stateful sind.
 
Zuletzt bearbeitet:
Hallo Cando,

das angehängte Bild zeigt prinzipiell die Netzwerkkonfiguration. Damit die Antwortpakete auch bis ins Netzwerk B gelangen, ist beim Gateway B NAT erforderlich:
Code:
gwB # iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o tun0 -j MASQUERADE
Ein vergleichbare Situation ist in " http://backreference.org/2009/11/15/openvpn-and-iroute/ " beschrieben und erklärt.

Mir geht es nicht darum, überhaupt eine Verbindung bis in Heimnetz B zu realiseren (das kriege ich schon hin).
Ich möchte mir vielmehr den Luxus gönnen, dass diese Verbindung einfach transparent und dauerhaft per Fritzbox zur Verfügung steht (exotisch-luxuriös halt) - free(tz) nach dem Motto "The fun has just begun...".

Gruß
hhfreetz
 

Anhänge

  • openvpn.jpg
    openvpn.jpg
    28.6 KB · Aufrufe: 9
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,427
Beiträge
2,251,934
Mitglieder
374,165
Neuestes Mitglied
fanishshukla
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.