SP-H ohne SIPPROXY

      @danXde / @pingpong : busysbox hat übrigens mit '--list' extra einen Parameter, um alle enthaltenen Befehle als Liste auszugeben - damit man die Links per For-Schleife erzeugen kann.

      Sollte man dann allerdings nicht unbedingt innerhalb des Pfads machen, weil man sonst eventuell die SPH-eigenen Befehle verdeckt. Man könnte allerdings erst in einem Unterordner von /opt/bin alle Links erzeugen und dann in /opt/bin Links auf diese Links setzen mit Prefix. (also zB. ls, grep, sh in /opt/bin/bbm und bls, bgrep, bsh in /opt/bin)

      mfg, emkay

      kleines Update:

      V0.9 ist eine neue Version, dabei sind von Aussen alle Ports zu, Ausnahme VPN-Zugriff zur Fritzbox, kein ICMP, VoIP von/in Richtung Telekom aktiv. optional könnt Ihr noch HTTPS Zugriff von aussen aktivieren, ebenfalls SIP-Zugriff aus dem Inet (noch ungetestet....ich würde es nicht tun, aber gibt ja Leute, die da Bedarf haben.) Anmerkung: Ich habe bei mir noch ein mv iptables ipt im /opt/orig/bin gemacht, damit die Regeln durch keinen anderen Aufruf verändert werden.

      FW.sh

      Grüße

      danXde

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von „danXde“ ()

      Hallo danXde,

      vielen Dank für die neue FW.sh Version. Ich habe aber (auch) mit der alten Version ein Problem beim Aufruf. Vielleicht kannst Du mir einen Tip geben.

      Ich habe wie Du beschrieben hast, die "iptables" in "ipt" umbenannt. Somit läuft auch der Aufruf "ipt iptables ...." was ja normalerweise nicht geht (ipt + iptables in einer Zeile).
      Was aber nicht läuft sind die Variablen, die Du setzt. Ich erhalte beim Start des Scripts im SPH zahlreiche Fehlermeldungen. Was mache ich falsch? Falscher Aufruf?


      # Default = 192.168.2.1
      SPHIP="192.168.179.2"

      #Default = 192.168.2.0
      SPHLAN="192.168.179.0"

      #Default = 192.168.2.2
      FRITZBOXIP="192.168.179.100"

      "Mein" SPH hat die LAN Seitige IP 192.168.179.2 ... dementsprechend ist die SPHLAN = 192.168.179.0, meine FritzBox hängt wiederum am SPH und hat WAN Seitig die 192.168.179.100 (Default Gateway ist die 192.168.179.2)

      Die Werte sind doch korrekt, oder? Wirf bitte mal einen Blick darauf.

      viele Grüße
      Michael

      @danXde:
      Danke Dir nochmals für Deinen gestrigen Einsatz. Der SPH läuft ohne SIP Proxy (...) sehr stabil und ich bin hochzufrieden.
      Endlich konnte ich die VoIP Telefonie in der FritzBox deaktivieren und die VoIP Konfiguration in meiner Auerswald COMmander 6000 wieder in Betrieb nehmen.

      viele Grüße
      Michael

      Hi, hier mal wieder ein neuen Zwischenstand: Auf IPv4-Ebene bin ich mit dem aktuellen Setup sehr zufrieden. Mit dem aktuellen Setup habe ich alle Services hinter der nachgelagerten Fritzbox. Von aussen sind nur die Port offen, die wirklich benötigt werden, also VPN (udp 500,4500), für VoIP habe ich jetzt die Telekom-Netze (über DSL), sowie SIPGATE über DSL/LTE) konfiguriert. Optional könnte man noch 443 zur Fritzbox freigeben, aber das brauch ich nicht, daher im Skript fw.v0.91.sh auskommentiert.
      ---
      Vorbereitend sollte man die folgenden Themen/Threads bearbeitet durchgehen:
      1. tools zum ent-/verschlüsseln der config
      2. Telnet aktivieren
      3. Schreibzugriff auf rootfs
      4. Bootstrap - Erweiterungen / Änderungen auf USB auslagern
      5. Spielplatz-Extrem -- oder BusyBox-MIPS in der Vollversion und offiziell
      und nun zumSP-H ohne SIPPROXY

      ----



      - Vom Setup setze ich auf "Minimale Änderung im Flash und Nutzung eine
      USB-Stick's mit bootstrap und mount -bind /opt/orig/bin /bin"

      Im so umgebogenen Verzeichnis /opt/orig/bin habe ich:
      • mv siproxd siproxd.o,
      • mv voiper voiper.o
        dadurch können die Prozesse nicht mehr starten.

      • mv iptables ipt, dann können keine Prozesse mehr den Regelsatz für IPv4 ändern.

      Im Script bootstrap_init.sh starte ich das Firewall-Scipt fw.sh einmalig.

      Hier nun die 3 Teile zusammen gefasst:

      bootstrap_init.sh (nur die relevanten Teile)

      Shell-Script

      1. #!/bin/sh
      3. PATH=/bin:/sbin:/usr/bin:/usr/sbin:/opt/bin:/opt/sbin
      4. export PATH
      6. killall -9 voiper
      7. killall -9 siproxd
      9. #wait for dsl
      10. while [ $(date | cut -d ' ' -f 7) = 1970 ]; do sleep 1 ; done
      12. /opt/bin/fw.sh
      13. /opt/bin/route.sh



      Ausserdem empfehle ich Euch noch eine kleines Routing-Skript auszuführen und so das Routing für Telekom-VoIP auch im Routing immer über DSL zu leiten:

      route.sh

      Shell-Script

      1. #!/bin/sh
      2. route add -net 217.0.0.0 netmask 255.255.224.0 ppp256



      fw.sh (Version 0.91)

      (dl.stricted.net/index.php/Entr…-ohne-SIPPROXY/?fileID=19)

      Im Kopf müsst Ihr natürlich noch Eure Werte für SPHLAN (Client-Netzwerk des SPH), SPHIP (eigene IP im SPHLAN) und FritzboxIP (im SPHLAN) eintragen.

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von „danXde“ ()

      Hallo danXde,

      könntest Du vielleicht noch das Script "fw.v0.91.sh" noch downloadbar anhängen?

      Eine Sache verstehe ich noch nicht so richtig. Was ist der Hintergrund für Deinen

      Quellcode

      1. mkdir -p /dev/pts
      2. mount devpts /dev/pts -t devpts


      Bereich?

      viele Grüße
      Michael

      Moin @pingpong!

      Das /dev/pts ist in erster Linie wichtig, wenn man zB. ssh oder ähnliches nutzen möchte. Der SPH hat standardmäßig keine virtuellen Terminals. Ohne /dev/pts würde ein Login per ssh das Terminal belegen und andere Clients (zB. Telnet) würden nicht mehr funktionieren.
      Der von Dir zitierte Bereich des Scripts richtet genau diese virtuellen Terminals ein.

      mfg, emkay

      @danXde: hatte das Problem kurz, als ich auf ssh gewechselt bin -- sobald ich einmal per ssh drin war, war der Telnet-Zugang tot ;)
      (weshalb der /dev/pts-mount jetzt auch bei mir drin ist...)

      danXde schrieb:

      while [ $(date | cut -d ' ' -f 7) = 1970 ]; do sleep 1 ; done

      ==> wartet übrigens streng genommen nicht auf DSL, sondern auf die korrekte Zeiteinstellung...
      (war ein Hack, weil vnstat sonst Probleme macht) allerdings kann man davon ausgehen, daß der Zeit-Server nur per Internet erreichbar ist - passt also trotzdem irgendwie ;)

      mfg, emkay

      Hi @sphings, da jeder seine eigenen Vorstellungen hat, habe ich das eigentlich nicht weiter vor gehabt. Das meiste an ToDo's steht schon im letzten Beitrag.

      Grob kann man sagen, folgende Artikel in der Reihenfolge:
      1. tools zum ent-/verschlüsseln der config
      2. Telnet aktivieren
      3. Schreibzugriff auf rootfs
      4. Bootstrap - Erweiterungen / Änderungen auf USB auslagern
      5. Spielplatz-Extrem -- oder BusyBox-MIPS in der Vollversion und offiziell ;)
      6. SP-H ohne SIPPROXY
      Grüße

      danXde