Nachbar ins I-Nett ab nicht in mein Lan lassen? DD-WRT+Fritz

@Black Eagle:
Du kannst dir ein wrt54gl_v1.1 kaufen und dd-wrt drauf machen.


Danke,
aber was mich jetzt noch wurmt:

Ich hab heute dann doch mal bei Linksys angerufen und denen mein/unser Wunschszenario geschildert:

FritzBox-> über LAN WRT54 als Client dran -> WRT54 hat dann eigenes LAN bzw. WLAN mit INet Zugang aber ohne Zugriff auf das LAN/WLAN der FBF.

Deren Antwort: Einfach den WRT54 Router Kaufen und dort als IP-Client an die FBF (direkt über LANKabel) und dann noch weitere Einstellungen im GUI des WRT treffen. Dann ist ein Zugriff vom Netz des WRT auf das Netz der FBF verhindert.
(Lediglich die FBF sei noch aus dem WRT-Netz ansprechbar, aber die FBF lässt sich ja mit nem guten Passwort schützen)

ABER: Von der DD-WRT Firmware (also dem Aufspielen einer extra Firmware) haben die freundlichen Mitarbeiter nix gesagt.

Der klang übrigens sehr kompetent, und ich habe ihm sicherheitshalber das "verstandene" Lösungsszenario noch einmal nachgeplappert, worauf er mir sein "OK" gab.

Also, habe ich etwas total missverstanden, oder brauchen wir dann doch keine extra DD-WRT Firmware ????:confused:
 
Hallo,

Einfach den WRT54 Router Kaufen und dort als IP-Client an die FBF (direkt über LANKabel) und dann noch weitere Einstellungen im GUI des WRT treffen. Dann ist ein Zugriff vom Netz des WRT auf das Netz der FBF verhindert.
Welche weiteren Einstellungen sind das denn? Weil so ohne weiteres ist der Zugriff aufs Fritzbox-Netz keinesfalls gesperrt, ganz im Gegenteil. Den muss man schon aktiv unterbinden.

Hast du mal überlegt, aus 3 Routern ein DMZ ähnliches Gebilde zu konstruieren?
Damit bist du dann definitiv auf der sicheren Seite.
 
@Black Eagle:

Mit der Originalfirmware von Linksys kenne ich mich nicht aus. Kann sein, dass es damit auch so funktioniert wie mit der dd-wrt-Firmware. Aber ich weiß es nicht.
 
Hallo,
Welche weiteren Einstellungen sind das denn?

Das weiss ich nicht mehr genau, er hat mir da einige Punkte erklärt, aber ich hatte weder Stift o.ä zur Hand, auch habe ich das WRT54 selber ja noch nicht verwendet. Daher kann ich hier keine präzisen Angaben machen. Aber, wie gesagt, er sagte es sollte einfach im GUI einzustellen sein.
Mit der Originalfirmware von Linksys kenne ich mich nicht aus. Kann sein, dass es damit auch so funktioniert wie mit der dd-wrt-Firmware. Aber ich weiß es nicht.

Daher wäre ich froh über eine Bestätigung von jemandem darüber hier im Forum...;)

Hast du mal überlegt, aus 3 Routern ein DMZ ähnliches Gebilde zu konstruieren?
Damit bist du dann definitiv auf der sicheren Seite.
DMZ:
Da kenne ich mich leider nicht aus...Wie geht das für einen relativen Laien unkompliziert ??

Zur Erinnerung: Es geht es ja darum:
Wie schaffe ich ein getrenntes VLAN (oder ähnliches Gebilde) damit mein WG Nachbarn/oder eine 2.te Partei über mich ins Internet ABER NICHT in MEIN LAN-Netz kommt AM EINFACHSTEN und KOSTENGÜNSTIGSTEN!

40 Teuro für das WRT, wenn dies also die einfachste Lösung ist, scheinen also akzeptabel, es sei denn, ich habe (s.o.) etwas missverstanden...

Grüsse euch,
 
Hallo,

eine DMZ ist nicht mehr ganz so einfach einzurichten. Außerdem braucht man dafür 3 Router, du müsstest also 2 neue kaufen.

Mit einem Router könnte es auch gehen. Ob man das aber in der Weboberfläche einer Standard-Firmware einstellen kann .... unwahrscheinlich. Wie dem auch sei: Du bist dabei immer auf die Kooperation der anderen Partei angewiesen. Die brauchen ja nur die Einstellung zu ändern, und schwupps sind sie in deinem Netz. Selbst unter Kontrolle hast du es nicht.
 
Mit WRT + dd-wrt zwischen FritzBox und der anderen Partei, kann man mit:

iptables -I FORWARD -s 0/0 -d 192.168.178.0/24 -j REJECT
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.178.1 -j ACCEPT

ein Subnetz (hier 192.168.178.0/24), auch gegen geänderte Einstellungen auf dem PC der anderen Partei, absichern.
 
An so was hatte ich gedacht nur aber ebemit zwei Geräten.

Also Firtzbox (MEINE) <<<----- WLAN ----->>> DDWRT (beim Nachbar)

Was spricht dagegen ein Einstellung auf 192.168.178.0/16 zu erweitern (wenn das nun richtig geschriben ist.)
Also sämtliche IP für den privaten Bereich.


Kann man für 192.168.178.1 auch doch die Ports 80 und 443 sperren damit auch generell nicht auf die Oberfläche Zugriff besteht oder würde das auch alle anderen Webseiten betreffen?


Kann man diese Befehler nur seriel über eine Konsole einfügen oder auch irgendwie über Netz?

Wie gesagt, es wäre schön wenn man diese Einstellungen bei dem "empfangenden" DD-WRT beim Nachbarn vornehmen könnte. Das ich dafür nur selbst die Zugangsdaten habe sollte klar sein.
 
@7270_ist_da:

Mit der 1. Regel (iptables -I FORWARD -s 0/0 -d 192.168.178.0/24 -j REJECT) sind alle IP-Adressen von 192.168.178.1 bis 192.168.178.255 gesperrt. Die Ports musst Du nicht sperren. Einfach die 2. Regel (mit ACCEPT) weglassen und dann ist auch kein Zugriff auf die Weboberfläche der FritzBox möglich. Die iptables-Regel gibst Du mit dem PC des Nachbarn über die Weboberfläche des WRT mit der dd-wrt-Firmware ein. Speichern und WRT rebooten. Mit einem DOS-Fenster und telnet 192.168.1.1 (root, PW: admin) bzw. nvram get rc_firewall kannst Du die wirksamen iptables-Regel(n) anschauen (siehe Grafik im Anhang).
 

Anhänge

  • nvram.PNG
    nvram.PNG
    17.5 KB · Aufrufe: 19
Zuletzt bearbeitet:
Hi!

Ich hab es probiert mit der aktuellen V24 mega Version.

Die Einstellung wirkt. Fritzbox zumindest ist nicht mehr erreichbar - mehr habe ich noch nicht getestet. ;-)))

Die Regel wird auch ohne Fehlermeldung o.ä. angenommen.

Will ich mir die Regeln wie oben beschrieben ansehen, bekomme ich einfach nur eine leere Liste.

Auch wenn ich den WRT über eine reboot neustate ist die Einstellung leider weg. Beim nächsten Stromausfall oder wenn Nachbarin mal Staubsaugt ist der Schutz weg. Diese Option kann man doch bestimmt auch irgendwo abspeichern bzw. als cfg-Datei hinterlegen?


Hast Du dazu auch noch eine Linux-Dau-Anleitung?
 
@7270_ist_da:

In den Posts 2 und 29 steht, dass Du vor dem Rebooten bzw. vor dem Anschauen mit nvram, die Firewallregel(n) abspeichern musst. Im Thread steht auch wie und wo Du das Abspeichern machen sollst. Hast Du das gemacht?

Du schreibst, dass Du die Mega-V24-Version auf den WRT54 geflasht hast. Welches WRT54-Gerät hast Du denn? Auf das WRT54GL kann man keine Mega-Version flashen (Mega builds will NOT fit on this router). Siehe hier: http://www.dd-wrt.com/wiki/index.php/Linksys_WRT54G/GL/GS/GX
Hast Du dann noch ausreichend Speicher um das Firewallscript (rc_firewall) auf dem Router zu speichern? Du machst es aber kompliziert. Warum braucht deine Nachbarin auf dem WRT54 jetzt plötzlich ein Mega build drauf, wenn es bewiesen ist, dass es mit der normalen dd-wrt-Version doch funktioniert?

Hast Du dazu auch noch eine Linux-Dau-Anleitung?

http://www.iptables.org/documentation/HOWTO/de/packet-filtering-HOWTO.html
 
Zuletzt bearbeitet:
Moin!

Sorry aber bin ich blind?

Im 2. Post steht was von Admin ... dort sehe ich aber nichts um Firewallregeln einzubinden oder abzuspeichern. (???)

In 29. Post erwähnst Du nicht wie abgespeichert wird.
Du hattest doch auch ein Screenshot von V24 angehängt, so sehr sollten sich die Versionen doch nicht unterscheiden.

Von Firewall sehe ich nur was unter Security ... kann da aber solche Einstellungen nicht vornehmen.


Ich hab hier den WRT GS V2. Dieser sollte doch mehr als genug Speicher haben. Eine Mega einzuspielen sollte doch nicht schaden.
 
@7270_ist_da:

In Post 2 steht Folgendes:

1) ddwrt auf wrt54 spielen
2) wan port von wrt54 an lan port von FB
3) im wrt statische IP im Subnetz der FB (192.168.178.0/24)
4) dhcp im wrt54 aktivieren (z.b. 192.168.1.2-50)
5) Firewallregel einbinden: Unter administration:
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.178.0/24 -j DROP
Und auf “save firewall” klicken!
Nun werden alle anfragen in den Netz verworfen.
In Post 29 steht Folgendes:
Speichern und WRT rebooten.

Wie wird gespeichert? Siehe Bild:
 

Anhänge

  • wrt54gl.png
    wrt54gl.png
    37.8 KB · Aufrufe: 19
Ich hab noch mal etwas gegoogelt ... meinst Du evtl. speichern mit "iptables -save"

Dies wird kommentarlos angenommen.
Bei der Kontrolle mit nvram get rc_firewall ist die Ausgabe aber auch leer.
 
Klicke auf "Firewall speichern" (siehe Bild in Post 33).

Mit telnet kannst Du zum Abspeichern der Firewall, Folgendes versuchen:

nvram set rc_firewall='/usr/sbin/iptables -I FORWARD -s 0/0 -d xxx.xxx.xxx.xxx/24 -j REJECT'
nvram commit
 
Zuletzt bearbeitet:
AUTSCH ... Du meinst unter Admin und dann Commands.
Das hatte ich übersehen und in Management oder einen Reiter Firewall gesucht.

Ok eingetragen, save, Abbly. - Geht.

Test: I-Net geht, kein Zufriff auf LAN, WLan-Geräte, Fritbox oder dessen USB-Geräte. ;-)


Thx.

PS: Noch eine Frage hinterher:
Kann ich von meinem Lan aus 192.168.178.x irgendwie auf den WRT Zugreifen?
Also durch einrichten einer Route in der Fritz oder WRT?

Einfach die IP 192.168.178.y vom WRT in den Browser einzugeben, und Remote Access im WRT freizugeben ist wohl zu einfach gedacht?
Das muß nicht unbedingt gehen aber besonders in den ersten Tagen wäre es gut zur Verbindungskontrolle und Einstellungen vorzunehmen dies tun zu können ohne imme Klingeln zu müssen.

Posting 2:
Sorry, ich nehme die Frage zurück. - ES GEHT.

Auf Port 8080 nicht - warum auch immer. Aber mit Standardport 80 ohne Probleme.


Im anderen Forum wollte man mir dafür eine "Teamviewer" Software aufschwatzen. ;-(


Schon komisch ... da muß man in ein AVM-Forum um passende Hilfe für ein WRT zu bekommen. ;-)
 
Zuletzt bearbeitet von einem Moderator:
Ich bin z.Z. etwas am testen wie stabil die Verbindung sein muß und wie sich dies in der Fritz bzw. WRT äußert. Dafür habe ich den WRT weit in Keller verbannt.

ICh beobachte dabei, dass der Fernzugriff über WLAN auf das GUI des WRT doch recht zäh ist und teilweise mehrere Klickt und manchmal 5-20 Sekunden für eine Seite braucht.

Fritz zeigt einen Link von 18-36 (ist wohl Senderate der Fritz).
In dem WRT sehe ich von 5,5 bis 24 Mbit - meistens natürlich 24 Mbit.
Dies alles mit Standardeinstellungen von 70mW und angezeigtem SNR von 13-15.


Einen Link bekomme ich auch noch mir 20-30mW.
Etwas auffällig finde ich, dass sich Oberfläche vom WRT deutlich flüssiger anfühlt wenn man die Sendeleistung auf 150mW erhöht.

Jetzt könne man meinen es liegt an einer schlechten Lan-Verbindung - ABER:

Bei "Paket-Info" unter Wlan habe ich von ca. jeweils 50.000 null Fehler beim Emfpangen und nur 11 Fehler bei Übermittelt.
Auch wenn ich den Link im WRT fest auf 1Mbit setze (bezieht sich wohl nur aufs senden?) merke ich keine Veränderung.

Ist das ein Routing oder Einstellunsproblem?
Ich merke zwar einen Unterschied wenn ich auf 150mW hoch gehe, aber die Wlanverbindung bricht auch bei kleineren Sendeleistung nicht ab.
Es paßt auch nicht zusammen, dass man einen recht hohen stabilen Link hat bzw. keine Änderung merkt, wenn man den Speed deutlich verkleinert.


Hat da jemand eine Idee oder Erfahrung?
 
@7270_ist_da:
Das ist wahrscheinlich kein Routingproblem. Das liegt eher an den WLAN-Einstellungen der FritzBox und des WRT. Die WLAN-Einstellungen (FB und WRT) musst Du so ändern, bis Du für deine Raumverhältnisse die optimale Einstellung (Geschwindigkeit, etc.) hast. Dir von hier aus zu helfen, dürfte schwierig sein.
 
Nein, dass ist es leider/zum Glück nicht.

Ausgangszustand: 5-12Mbit Link - keinerlei Zugriff mehr auf WRT möglich.

Geht man nun mit Notebook und Lankabel dahin, und stobselt an bekommt man gleich den WRT als Gateway man kann Minutenlang im Netz surfen ohne Abbrüche. DSL-Seedtests werden mit ca. 2-4Mbit absolviert.

Ich kann mich mit Telnet einloggen, uptime -> 0.02 bis 0.05 an Last.

Versuche ich nun auf das GUI zuzugreifen GEHT NICHTS!
Über mehrere Minuten kein Zugriff. Browser und Telnet laufen normal weiter.

Entweder es geht plötzlich wieder oder man muß den Stecker ziehen.


Dieses Verhalten habe ich auf zwei Geräten.
WRT54G V3.1 mit DD-WRT V24 standard
WRT54GS V1.0 mit V24 maxi

Auffällig ist, dass geringere Distanz oder deutlich höhre Sendeleistung das Problem verkleinern oder ganz verhindern.
Linkspeed herrabsetzen bringt keine Lösung.

Direkte Wlan-Probleme oder schlechte Links möchte ich ausschließen, da Paketverlust gegen null und man über den WRT zügig surfen kann wenn man lokal und fern nicht mehr auf das GUI kommt.


V24 ware lange Beta und sollte reif sein.
Der Fritz kann man es doch auch nicht in die Schuhe schieben, wenn sicht der WRT Lokal weghängt.
Ob dies an dieser einen Zeile Firewallregel liegt teste ich grade ... kann aber eigentlich nicht sein.
 
Zuletzt bearbeitet:
Mit welchem Browser versuchst Du auf das GUI zuzugreifen? IE mit Java/Javascript ist hier besser als Firefox.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.