[Frage] Switch-Konfigurationen: Verwendung von Paket "cpmaccfg" und Konfig-Datei "ar7.cfg"

[cmonty14]

Hallo!

Ich habe mir ein Image für die FB7170 auf Basis der AVM FW 04.76 erstellt: 7170_04.76freetz-devel-3910M
Dieses Release sollte die Funktion "Switch Mode wechseln" mittels Paket cpmaccfg erlauben.

Gemäß dem Wiki-Artikel "Konfiguration des eingebauten Switches" habe ich die Konfig-Datei "ar7.cfg" modifiziert, damit folgende Lan-Port-Belegung realisiert wird:
Port 1 -> WAN (Internet)
Ports 2-3 -> LAN
Port 4 -> DMZ

Das heißt im Detail, ich habe im Abschnitt "ethinterfaces" ein zusätzliches Device eth3 angelegt

name = "eth3";
                dhcp = no;
                ipaddr = 192.168.1.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth3";
                dhcpenabled = no;
                dhcpstart = 0.0.0.0;
                dhcpend = 0.0.0.0;

und diesen Abschnitt ergänzt

cpmacspecial {
		enabled = yes;
		normalcfg = "eth0,1,2,3", "eth3,4";
		atacfg = "wan,1", "eth0,2,3", "eth3,4";
	}

Wenn ich an Lan-Port 2+3 ein DHCP-Client anschließe, dann wird eine IP-Adresse aus dem Netzwerk 192.168.178.0/24 zugewiesen.
Ich kann die FB dann per ssh unter der IP Adresse 192.168.178.1 erreichen.

Wenn ich an Lan-Port 4 einen Client mit fixer IP-Adresse aus dem Adress-Bereich 192.168.1.0/24 anschließe, dann kann ich die FB per ssh unter der IP Adresse 192.168.178.1 und 192.168.1.1 erreichen.

Das sieht also zunächst einmal so aus, als ob die gewünschte Switch-Konfiguration mit getrennten Netzwerken funktioniert. Die Ausgabe auf der Konsole der FB bestätigt das auch:

/var/mod/root # cpmaccfg gpm
Port 1: on
Port 2: save
Port 3: save
Port 4: save
/var/mod/root # cpmaccfg gsmc
Devices: 3
WAN is port: 0
Device 1: name=wan, portmask=0x21
Device 2: name=eth0, portmask=0x26
Device 3: name=eth3, portmask=0x28

Dennoch bleiben Fragen offen:
1. Warum ist die FB von einem Client angeschlossen an Lan-Port 4 unter der IP Adresse 192.168.178.1 und 192.168.1.1 erreichbar?
2. Wie stelle ich sicher, dass keine Kommunikation von 192.168.1.0/24 nach 192.168.178.0/24 möglich ist, in umgekehrter Richtung dagegen schon?

THX

 

[koyaanisqatsi]

Guten Morgen

Ich denke die Trennung findet nicht statt, weil wenn ifconfig die IP-Nummer and das Gerät bindet und aktiviert, auch eine Route drauf gesetzt wird.
So wie bei der "Notfall" IP-Nummer (169.254.1.1) die an lan:0 gebunden ist.

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
169.254.0.0     *               255.255.0.0     U     0      0        0 lan

Alles was an lan:0, lan:1, lan:2 u.s.w. gebunden ist, egal welche IP-Nummer, erreicht die lan IPorts
Vielleicht solltest du die Route explizit setzen, also nicht jede/s Quelle/Ziel erlauben.

Ansonsten sieht das Ergebnis von cpmaccfg genauso aus, wie dass was ich mit ifconfig lan:1 192.168.1.1 up mache (Was das Routing betrifft).
Der Unterschied: Du bastelst an der Hardware, ich nur virtuell.

 

[cmonty14]

Hallo!

Ich hatte mich für das "Basteln an der Hardware" unbewusst entschieden, weil ich nichts anderes gefunden habe, das (für mich verständlich) dokumentiert war.
Ich bin auch nicht darauf festgelegt, sondern würde auch "virtuell" konfigurieren.

Worin besteht der Unterschied zwischen Hardware-basierter Konfiguration und virtueller Konfiguration? Was sind die Pros und Cons?
Wie führe ich die virtuelle Konfiguration durch?
Wird hierfür mittels Script eine Abfolge von Befehlen abgearbeitet?

Danke für die Unterstützung.

 

[koyaanisqatsi]

Nun, ich hab mitbekommen, dass du eine DMZ anstrebst.
Dabei ist natürlich die komplette Abschottung vom LAN Hauptaugenmerk.
Leider hab ich da keine pauschale Lösung parat.
Soweit meine Erfahrung reicht, benötigt wird dabei wohl eine intelligent konfigurierte Firewall (iptables).
So eine Lösung hab ich bei IPCop gesehn.
Allerdings verwendet IPCop mehrere echte Netzwerkkarten um die roten, gelben, grünen und blauen Netze zu trennen.
Wobei jede Farbe eine gewissen Sicherheitsstufe entspricht. (Internet=unsicher, WLAN=unsicher, Heimnetz=sicher, DMZ=unsicher)
Das entspräche so ungefähr dem was du mit cpmaccfg versuchst.
Was ich auch für sicherer halte.
Da ich mich mit iptables (noch) garnicht auskenne, aber mir bewusst ist, dass ein paar einfache Rules Wunder bewirken können, denke ich, dass sowas auch mit einem virtuellen Gerät funktionieren könnte.
Ich warte noch, bis ich eine leistungsfähigere Fritz!Box habe, dann leg ich mal mit iptables los.
Ist ja für freetz noch ziemlich unstable, und auf meiner 7113, trotz auswählen von replace kernel, IPv6, shared libraries und aller Kernelmodule, nicht voll funktionsfähig.
Einige Module lassen sich einfach nicht laden, und wenn man auf einer echten Linuxmaschine geübt hat, ist es nicht auf meine Fritte 1:1 übertragbar.
Sodaß du und ich wohl auf kompetentere Hilfestellung hier aus dem Forum angewiesen sind, die die Geduld mit uns nicht verlieren

 

[cmonty14]

Abgesehen von iptables, das (vermeintlich) instabil läuft mit Freetz, wie sähe die virtuelle Konfiguration mit cpmaccfg aus, und wie wird diese Konfiguration realisiert?

Welche Pros und Cons sprechen für die virtuelle Konfiguration, welche für die hardwarebasierte Konfiguration?

 

[RalfFriedl]

1. Warum ist die FB von einem Client angeschlossen an Lan-Port 4 unter der IP Adresse 192.168.178.1 und 192.168.1.1 erreichbar?

Weil die Box ein Router ist und es ihre Aufgabe ist, die Pakete ans Ziel zu bringen.

2. Wie stelle ich sicher, dass keine Kommunikation von 192.168.1.0/24 nach 192.168.178.0/24 möglich ist, in umgekehrter Richtung dagegen schon?

Das lässt sich mit iptables Regeln einstellen, wobei man dafür eine Firmware Basis braucht, auf der iptables auch läuft. Soweit ich mich erinnere, ist das bei der 7170 möglich.
Andererseits läuft Kommunikation immer in zwei Richtungen ab. Selbst wenn Daten ausschließlich in eine Richtung gesendet werden, ist es wichtig, dass die Empfangsbestätigungen in der Gegenrichtung auch durchgelassen werden.

@koyaanisqatsi
Deine Bezeichnungen Virtuell/Hardware passen weder zur Konfiguration des Switch-Bausteins noch zur Konfiguration mehrere IP-Adressen auf ein Netzwerk-Interface. Hardware wird in beiden Fällen nicht verändert, und auch das Wort Virtuell passt zu keinem der beiden Fälle.

Zwei Adressen auf ein Netzwerk-Interface zu konfigurieren ist nicht wirklich geeignet, die Kommunikation unter den angeschlossenen Geräten zu verhindern.

 

[koyaanisqatsi]

@RalfFriedl: Ich versteh was du meinst,
diese Wörter hab ich halt benutzt,
weil nicht mehrere Netzwerkkarten in der Fritzbox verbaut sind,
mit denen sich unterschiedliche Netze (bequem?) trennen lassen könnten.

 

[RalfFriedl]

Mit cpmaccfg lassen sich (auf den Boxen, die das unterstützen) die Netzwerkanschlüsse trennen. Ob man das als bequem betrachtet oder nicht, ist subjektiv. Aber es lassen sich zwischen 1 und 4 getrennte Anschlüsse damit realisieren, zumindest, nachdem die Box hochgefahren ist. Während dem Booten sind aber alle Ports zusammen geschaltet.

 

[cmonty14]

@koyaanisqatsi:
Tut mir leid, aber ich versteh immer noch nicht was du eigentlich sagen willst.

Die Aussagen von RalfFriedl sind für mich eindeutig:
1. Mit cpmaccfg können Netzwerkanschlüsse getrennt werden, d.h. an jedem LAN-Port kann ein Netzwerk konfiguriert werden. Dies kann, wie von mir umgesetzt, mit der Konfig-Datei "ar7.cfg" realisiert werden.
2. Um die Kommunikation zwischen den Netzwerken zu regeln, müssen mit iptables bestimmte (Firewall-) Regeln definiert werden. Ich werde mich diesbezüglich nochmals im Freetz-Wiki umschauen.

 

[koyaanisqatsi]

Ja, c.monty, ich muss zugeben, dass ich das hier wohl nicht richtig verstanden habe, am Besten du ignorierst mein getippe zu diesem Thema.