iptables auf der 7320 ???
- Ersteller hhfreetz
- Erstellt am
- Mitglied seit
- 17 Dez 2010
- Beiträge
- 46
- Punkte für Reaktionen
- 0
- Punkte
- 0
Hallo Cando,
ich habe in #52 etwas überlesen, was mir jetzt noch mal ins Auge fiel.
Gruß
hhfreetz
ich habe in #52 etwas überlesen, was mir jetzt noch mal ins Auge fiel.
Wie ließe sich denn konkret NAT mit den AVM-Mitteln realisieren und für eigene Zwecke "missbrauchen"?
Gruß
hhfreetz
Zuletzt bearbeitet:
cando
Aktives Mitglied
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Für eigene Zwecke nicht zu missbrauchen, aber man kann die Box ja mit 2 Firewalls betreiben.
Die AVM Firewall / dsld macht das NAT zum Internet inklusive Portweiterleitungen etc. und iptables filtert und überwacht den gesamten Verkehr. Was nicht geht, sind so Tricks mit source NAT oder destination NAT für VPN Verbindungen oder so, aber für den "normalen" Internet Betrieb reicht es meist aus. Wenn man mit VPN Konstrukten Probleme hat (Site Kopplungen, bei denen beide Sites die gleichen IP Bänder verwenden), kann man das ja auch umgehen, wenn man auf der einen Seite ein anderes RFC Segment (ip Adressbereich) wählt. Es gibt nur sehr wenig Fälle, wo man wirklich eigene NAT Regeln braucht - im home Bereich eher exotisch.
Die AVM Firewall / dsld macht das NAT zum Internet inklusive Portweiterleitungen etc. und iptables filtert und überwacht den gesamten Verkehr. Was nicht geht, sind so Tricks mit source NAT oder destination NAT für VPN Verbindungen oder so, aber für den "normalen" Internet Betrieb reicht es meist aus. Wenn man mit VPN Konstrukten Probleme hat (Site Kopplungen, bei denen beide Sites die gleichen IP Bänder verwenden), kann man das ja auch umgehen, wenn man auf der einen Seite ein anderes RFC Segment (ip Adressbereich) wählt. Es gibt nur sehr wenig Fälle, wo man wirklich eigene NAT Regeln braucht - im home Bereich eher exotisch.
- Mitglied seit
- 17 Dez 2010
- Beiträge
- 46
- Punkte für Reaktionen
- 0
- Punkte
- 0
Dann bin ich wohl ein Exot. ;-)
Denn ich möchte erreichen, dass über VPN einkommender Verkehr in mein Home-Netz weitergereicht wird. Eine entsprechende Konfiguration auf der (Server-)Gegenseite, z.B. mittel "iroute", ist aber nicht möglich. Und dann bleibt doch nur noch NAT. Oder?
Denn ich möchte erreichen, dass über VPN einkommender Verkehr in mein Home-Netz weitergereicht wird. Eine entsprechende Konfiguration auf der (Server-)Gegenseite, z.B. mittel "iroute", ist aber nicht möglich. Und dann bleibt doch nur noch NAT. Oder?
cando
Aktives Mitglied
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Remote Zugriff von einem Host in das Heimnetzwerk geht mit OpenVPN und tap statt tun, dann ist der client im selben Segment (geht auch für Netzkopplung). Wie es geht, steht in der wiki unter freetz.org unter paket openvpn. Dafür braucht man noch kein extra NAT. Klar ist man mit NAT von iptables flexibler... Eine andere Box könnte auch helfen wenn es denn NAT sein muß - mit der 7270 geht das oder mit der 7390.
- Mitglied seit
- 17 Dez 2010
- Beiträge
- 46
- Punkte für Reaktionen
- 0
- Punkte
- 0
Wie schon gesagt, ist mir die Konfiguration der Gegenseite nicht möglich (also kein 'tap' anstelle von 'tun').
Eine andere Box? Das wäre noch eine Idee...
Anzeige in eigener Sache:
Tausche 7320 gegen 7390 !
- Mitglied seit
- 17 Dez 2010
- Beiträge
- 46
- Punkte für Reaktionen
- 0
- Punkte
- 0
iptables auf der 7320
Hallo Oliver,
es sieht so aus, als ob mein Vorhaben momentan nicht zu realisieren ist. Zwar kriege ich jetzt den Kernel ersetzt, aber eben ohne erforderliches conntrack-Modul.
Sie mir doch bitte behilflich, mich gedanklich davon zu verabschieden:
Kannst du mir bestätigen, dass an NAT auf der 7320 momentan nicht zu denken ist?
Ein einfaches "Ja" würde mir genügen.
Grüße
hhfreetz
Hallo Oliver,
es sieht so aus, als ob mein Vorhaben momentan nicht zu realisieren ist. Zwar kriege ich jetzt den Kernel ersetzt, aber eben ohne erforderliches conntrack-Modul.
Sie mir doch bitte behilflich, mich gedanklich davon zu verabschieden:
Kannst du mir bestätigen, dass an NAT auf der 7320 momentan nicht zu denken ist?
Ein einfaches "Ja" würde mir genügen.
Grüße
hhfreetz
olistudent
IPPF-Urgestein
- Mitglied seit
- 19 Okt 2004
- Beiträge
- 14,787
- Punkte für Reaktionen
- 13
- Punkte
- 38
- Mitglied seit
- 17 Dez 2010
- Beiträge
- 46
- Punkte für Reaktionen
- 0
- Punkte
- 0
... dann vielleicht einfach ohne nf_contrack und iptables...
Wie wär's mit "IP Filter"?
Ich hab's unter " http://coombs.anu.edu.au/~avalon/ " gefunden.
Hat jemand Erfahrungen mit "IP Filter" auf der Fritzbox?
Könnte man es unter Freetz realisieren?
Wie wär's mit "IP Filter"?
Ich hab's unter " http://coombs.anu.edu.au/~avalon/ " gefunden.
Hat jemand Erfahrungen mit "IP Filter" auf der Fritzbox?
Könnte man es unter Freetz realisieren?
Es wäre denkbar. Laut Beschreibung wird Linux 2.4 bis 2.6 unterstützt. Es kann aber genauso gut sein, daß es aufgrund der unvollständigen Quellen oder von AVM Modifikationen doch nicht geht.
Außerdem glaube ich nicht, daß jemand anders das für Dich machen wird, Du bist also selbst gefragt.
cando
Aktives Mitglied
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Kannst Du bitte mal beschreiben, wie Diene Netzkonfiguration werden soll? Wo genau brauchst Du NAT, und welche Komponenten hast Du auf dem Server / in der Firma, die Dir eine Kopplung ermöglichen sollen ohne dass Du sie konfigurieren kannst?
Server Netz ? Router - NAT - Internet - NAT 7320 - ???
Tunnel ---------------------------- ???
Wo genau brauchst Du das 3. NAT, wo terminiert der Tunnel und wie willst Du den Verkehr durch den Tunnel routen, wenn Du das Routing im Server Netz nicht anpassen kannst?
Wenn es eine Lösung gäbe, die mit NAT funktioniert, kannst Du den tunnel ja auf einer VM auf Deinem PC terminieren und dort per NAT in Dein Netz per iptables routen. Ich weiss nicht, ob das nicht sogar die neuere Windows Firewall auch von Haus aus hinbekommt ohne eine zusätzliche Linux VM - ich glaube die nennen das aber anders (internet sharing oder so). Du kannst damit Deine VPN Verbindung zu deinem Server Aufbauen anstat zu einem ISP und diese Verbindung im LAN freigeben.
Ohne conntrack macht NAT eher wenig Sinn, der Rückkanal muss ja den richtigen Host finden, und das geht nur, wenn die Verbindungen stateful sind.
Server Netz ? Router - NAT - Internet - NAT 7320 - ???
Tunnel ---------------------------- ???
Wo genau brauchst Du das 3. NAT, wo terminiert der Tunnel und wie willst Du den Verkehr durch den Tunnel routen, wenn Du das Routing im Server Netz nicht anpassen kannst?
Wenn es eine Lösung gäbe, die mit NAT funktioniert, kannst Du den tunnel ja auf einer VM auf Deinem PC terminieren und dort per NAT in Dein Netz per iptables routen. Ich weiss nicht, ob das nicht sogar die neuere Windows Firewall auch von Haus aus hinbekommt ohne eine zusätzliche Linux VM - ich glaube die nennen das aber anders (internet sharing oder so). Du kannst damit Deine VPN Verbindung zu deinem Server Aufbauen anstat zu einem ISP und diese Verbindung im LAN freigeben.
Ohne conntrack macht NAT eher wenig Sinn, der Rückkanal muss ja den richtigen Host finden, und das geht nur, wenn die Verbindungen stateful sind.
Zuletzt bearbeitet:
- Mitglied seit
- 17 Dez 2010
- Beiträge
- 46
- Punkte für Reaktionen
- 0
- Punkte
- 0
Hallo Cando,
das angehängte Bild zeigt prinzipiell die Netzwerkkonfiguration. Damit die Antwortpakete auch bis ins Netzwerk B gelangen, ist beim Gateway B NAT erforderlich:
Ein vergleichbare Situation ist in " http://backreference.org/2009/11/15/openvpn-and-iroute/ " beschrieben und erklärt.
Mir geht es nicht darum, überhaupt eine Verbindung bis in Heimnetz B zu realiseren (das kriege ich schon hin).
Ich möchte mir vielmehr den Luxus gönnen, dass diese Verbindung einfach transparent und dauerhaft per Fritzbox zur Verfügung steht (exotisch-luxuriös halt) - free(tz) nach dem Motto "The fun has just begun...".
Gruß
hhfreetz
das angehängte Bild zeigt prinzipiell die Netzwerkkonfiguration. Damit die Antwortpakete auch bis ins Netzwerk B gelangen, ist beim Gateway B NAT erforderlich:
Code:
gwB # iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o tun0 -j MASQUERADEMir geht es nicht darum, überhaupt eine Verbindung bis in Heimnetz B zu realiseren (das kriege ich schon hin).
Ich möchte mir vielmehr den Luxus gönnen, dass diese Verbindung einfach transparent und dauerhaft per Fritzbox zur Verfügung steht (exotisch-luxuriös halt) - free(tz) nach dem Motto "The fun has just begun...".
Gruß
hhfreetz
Anhänge
Zuletzt bearbeitet:
Neueste Beiträge
-
[Sammlung] Aktuelle Konditionen für Vertragsverlängerung- Letzte: Gildehauser
-
[Problem] SD-Card wird im COMfortel 2600 IP nicht erkannt
- Letzte: Joe_57
-
Umstieg von 7590 auf 5690 Pro
- Letzte: Dog6574
-
[Frage] Voip und VPN
- Letzte: Multireed
-
FRITZ!Box - Alternative zu Call by Call für Anrufe ins Mobilfunk-Netz?
- Letzte: Queer-new
