1:1 NAT bzw. alles weiterleiten via fw.sh

      1:1 NAT bzw. alles weiterleiten via fw.sh

      Moin.

      In verschiedenen Threads besteht immer wieder der Bedarf/Wunsch einfach allen Traffic/Ports vom SPH an einen nachgeschalteten Router zu leiten. Sei es nun eine FritzBox oder was auch immer.

      Selbst würde ich das auch gern so machen, um eben dann nur noch an einer Stelle "drehen" zu müssen.

      Einen angepinnten Thread mit entsprechend angehängter, auf das Wesentliche beschränkte, "fw.sh" fände ich total klasse.

      Den verschiedenen Threads lassen sich für dieses Ziel durchaus Informationen entlocken und scheinbar gibt es in der fw.sh bereits entsprechende auskommentierte Zeilen. So ganz klar ist es mir dennoch nicht, ob man dann nicht alle anderen Zeilen schlicht löschen kann.

      Ich würde mich freuen, wenn das nochmal jemand erklären könnte.

      Danke
      Hi @noxinu,

      dann mach doch. :D

      Da dieses Fritz.Box Thema hier nur ein Rand-Thema unter vielen ist, wurde halt bisher nur die Komplett-Lösung irgendwann mal gepinnt. Viele haben sich halt immer irgendwo angehangen, daher sind halt dann keine weiteren Threads entstanden.

      Was soll Dir erklärt werden?
      1. "Komplettlösung" verwenden und
      2. mit der angehängte fw_all.sh die /opt/bin/fw.sh ersetzen.

      Grüße

      danXde
      Dateien
      • fw_all.sh.zip

        (1,91 kB, 22 mal heruntergeladen, zuletzt: )
      @sebitnt, das wird auch nicht funktionieren, wenn Du myfritz für die Auflösung verwendest. Dort wird die WAN-IP der Fritz.Box hinterlegt - diese ist ja eine private IP-Adresse, welche nich im Internet geroutet wird. Du musst für solch einen Fernzugriff am besten im SPH einen DYNDNS-Dienst konfigurieren und diese URL verwenden. Wenn Du dann noch VPN-Zugriff einrichtetst, kannst Du dann im VPN auch wieder wie gewohntauf deine Fritz.Box mit den APP's zugreifen. Fernzugriff mit der DYNDNS-URL sollte auch funktionieren.

      Grüße

      danXde
      @danXde, danke für die schnelle Antwort!

      Leider liegt es nicht am DynDNS. Das habe ich im SPH eingetragen und das funktioniert auch bestens. Eine von außen kommende SSH-Verbindung wird auch sauber zur Fritz!Box und dann von da aus (per Portfreischaltung) weiter an meinen Raspberry geleitet. Leider habe ich auch keinen Schimmer, woran das Problem mit dem Fernzugang (VPN) noch liegen könnte.

      Beste Grüße
      Sebi
      Hi,

      Erst einmal danke an alle Beteiligten für die Möglichkeit die SPH zu entfesseln.

      also ich habe die Komplettlösung für Speedport Hybrid mit nachgelagerter Fritz.box (im Routed Mode) für die Firmware V 4.0.5 installiert und wollte auch die fw.sh mit der fw_all.sh.zip ersetzen, so dass alles an die fritzbox weitergeleitet wird.

      Aber leider kommt bei mir nix durch. Die FB bekommt nicht mal die richtige Uhrzeit aus dem Netz. Ich habe bestimmt etwas falsch gemacht, aber was?

      mir ist auch noch aufgefallen, dass im bslog alle einträge doppelt sind.

      ist das so okay?

      Quellcode

      1. bootstrap gestartet...
      2. bootstrap mount Versuch 1...
      3. bootstrap mount Versuch 1...
      4. bootstrap mount Versuch 2...
      5. bootstrap mount Versuch 2...
      6. bootstrap mount Versuch 3...
      7. bootstrap mount Versuch 3...
      8. bootstrap mount Versuch 4...
      9. bootstrap mount Versuch 4...
      10. bootstrap mount Versuch 5...
      11. bootstrap mount Versuch 5...
      12. mount durchgeführt...
      13. mount durchgeführt...
      14. bootstrap_init.sh PATH: ${PATH}
      15. bootstrap_init.sh PATH: ${PATH}
      16. bootstrap_init.sh LD_LIBARY_PATH: ${LD_LIBRARY_PATH}
      17. bootstrap_init.sh LD_LIBARY_PATH: ${LD_LIBRARY_PATH}
      18. bootstrap_init.sh remount /opt/orig/bin /bin...
      19. bootstrap_init.sh remount /opt/orig/bin /bin...
      20. bootstrap_init.sh mount /dev/pts ...
      21. bootstrap_init.sh mount /dev/pts ...
      22. bootstrap_init.sh dibbler cleanup....
      23. bootstrap_init.sh dibbler cleanup....
      24. bootstrap_init.sh killall sipproxd,voiper, dhcp6s....
      25. bootstrap_init.sh killall sipproxd,voiper, dhcp6s....
      26. bootstrap_init.sh dropbear started ...
      27. bootstrap_init.sh dropbear started ...
      28. bootstrap_init.sh fw.sh executed ...
      29. bootstrap_init.sh fw.sh executed ...
      30. bootstrap_init.sh route.sh executed ...
      31. bootstrap_init.sh crond started ...
      32. bootstrap_init.sh route.sh executed ...
      33. bootstrap_init.sh crond started ...
      34. bootstrap_init.sh fw6.sh executed ...
      35. bootstrap_init.sh ausgeführt...
      36. bootstrap beendet...
      37. bootstrap_init.sh fw6.sh executed ...
      38. bootstrap_init.sh ausgeführt...
      39. bootstrap beendet...

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „vortex“ ()

      Vielen Dank auch noch mal an @danXde!

      Mein Problem hat sich auch mehr oder weniger gelöst. Offenbar hat der (Mobilfunk-) Provider, welchen ich für die Herstellung der VPN-Verbindung nutzen wollte, dieses blockiert. Von einem anderen Anschluss aus funktioniert der Fernzugang problemlos und ich kann mich somit von außen wie gewohnt mit meinem Netzwerk verbinden.

      Um es noch einmal etwas klarer zu machen:
      Ich nutze auf meinem PC die Software FRITZ!Fernzugang um (wenn ich unterwegs bin) eine VPN-Verbindung über das Internet zu meinem Netzwerk zu hause herzustellen. Das klappte über den verwendeten Mobilfunkzugang (O2-Netz) leider nicht. Von einem anderen DSL-Zugang geht es jedoch problemlos.

      Beste Grüße
      Sebi
      Hallo,

      eine Frage habe ich noch: Wie kann ich es in der fw.sh einstellen, dass ein bestimmtes Netzwerkgerät nur über DSL ins Internet gehen soll, also den Tunnel nicht benutzen soll?
      Hierzu konnte ich leider nichts finden. Wäre toll, wenn mir dazu jemand einen Hinweis geben könnte.

      Beste Grüße
      Sebi
      @sebitnt,

      ausgehend ist recht einfach. ...entsprechende Regeln in der mangle-Tabelle eintragen. ...also in fw.sh nach -t mangle suchen. Für die Telekom-Telefonie findest Du entsprechende Einträge. Wenn Du dort dann zum Beispiel -s Source-IP einträgst, kannst Du das auch für bestimmte Geräte im LAN umbiegen. Das funktioniert aber nur für Geräte im LAN des SPH. Wenn die Geräte hinter der Fritz.Box sind, dann musst Du für einzelne Applikationen/Programme eventuell Ports umleiten. Das geht auch. Für Gaming ist die Zeile hinterlegt, so das wenn mann für das Spiel einen DSCP-Wert <>0 setzt, dann biegt er das auch um.

      Komplizierter wird es, wenn Du auch noch eingehenden Verkehr über DSL-only empfangen möchtest, da dann noch die anderen Tabellen entsprechend konfiguriert werden müssen.

      Grüße

      danXde
      @danXde danke für die Antwort!

      Ist es also richtig, dass ein Eintarg ipt iptables -t mangle -A FWD_FILTER_LIST -s 192.168.XXX.XXX/32 reicht, um alle Verbindungen von der IP 192.168.XXX.XXX (direkt an den SPH angeschlossen) ins Internet nur über DSL laufen zu lassen?

      Was muss ich denn noch hinzufügen, um auch eingehenden Verkehr auf dieses gerät über DSL-only laufen zu lassen?
      @sebitnt ...naja entsprechende Einträge in der Firewall- (ohne -t) und in der NAT-Tabelle (-t nat). Als Interface für DSL musst Du das ppp256 angeben.

      Am besten schaust Du Dir mal die VoIP-Telefonie mit der Telekom an. Da habe ich für die Ports 5060 und dem Portrange 7078-7109 das eingerichtet. Analog dazu sollte das also funktionieren.

      Wichtig ist, wenn Du Services auf DSL umbiegst, sind diese dann auch nur über DSL von aussen erreichbar. Heisst, DYNDNS der Tunnel-IP hilft da dann nicht weiter, sondern Du braucht auch einen Service, der auf die DSL-IP gemappt ist!!! Daher kann es eventuell Sinnvoll sein, nur bestimmte Services (Ports) statt gleich ganzer Geräte auf DSL zu biegen. ..so das andere Services des Gerätes immer noch über den Tunnel erreichbar bleiben.

      Daher habe ich bei VoIP für 5060 nicht einfach den Port auf DSL umgebogen, sondern nur für die IP-Adressbereiche der Telekom. Dadurch ist es möglich, z.B.: SIPgate VoIP über den Tunnel zu nutzen. Mit einer konfigurierten Anrufweiterschaltung der TelekomNR zu Sipgate bei Nichterreichbarkeit, hatte ich ankommend dadurch schon eine Redundanz, bevor die Telekom solch eine Lösung implementierte. Die Telekom Redundanzlösung kann man leider mit der nachgeschalteten Fritz.Box nicht nutzen. ...ich habe mich da nicht hintergeklemmt, da bei uns eh alle eine Handy haben und somit im Notfall erreichbar bleiben.

      Grüße

      danXde

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „danXde“ ()