1:1 NAT bzw. alles weiterleiten via fw.sh

      1:1 NAT bzw. alles weiterleiten via fw.sh

      Moin.

      In verschiedenen Threads besteht immer wieder der Bedarf/Wunsch einfach allen Traffic/Ports vom SPH an einen nachgeschalteten Router zu leiten. Sei es nun eine FritzBox oder was auch immer.

      Selbst würde ich das auch gern so machen, um eben dann nur noch an einer Stelle "drehen" zu müssen.

      Einen angepinnten Thread mit entsprechend angehängter, auf das Wesentliche beschränkte, "fw.sh" fände ich total klasse.

      Den verschiedenen Threads lassen sich für dieses Ziel durchaus Informationen entlocken und scheinbar gibt es in der fw.sh bereits entsprechende auskommentierte Zeilen. So ganz klar ist es mir dennoch nicht, ob man dann nicht alle anderen Zeilen schlicht löschen kann.

      Ich würde mich freuen, wenn das nochmal jemand erklären könnte.

      Danke
      Hi @noxinu,

      dann mach doch. :D

      Da dieses Fritz.Box Thema hier nur ein Rand-Thema unter vielen ist, wurde halt bisher nur die Komplett-Lösung irgendwann mal gepinnt. Viele haben sich halt immer irgendwo angehangen, daher sind halt dann keine weiteren Threads entstanden.

      Was soll Dir erklärt werden?
      1. "Komplettlösung" verwenden und
      2. mit der angehängte fw_all.sh die /opt/bin/fw.sh ersetzen.

      Grüße

      danXde
      Dateien
      • fw_all.sh.zip

        (1,91 kB, 64 mal heruntergeladen, zuletzt: )
      @sebitnt, das wird auch nicht funktionieren, wenn Du myfritz für die Auflösung verwendest. Dort wird die WAN-IP der Fritz.Box hinterlegt - diese ist ja eine private IP-Adresse, welche nich im Internet geroutet wird. Du musst für solch einen Fernzugriff am besten im SPH einen DYNDNS-Dienst konfigurieren und diese URL verwenden. Wenn Du dann noch VPN-Zugriff einrichtetst, kannst Du dann im VPN auch wieder wie gewohntauf deine Fritz.Box mit den APP's zugreifen. Fernzugriff mit der DYNDNS-URL sollte auch funktionieren.

      Grüße

      danXde
      @danXde, danke für die schnelle Antwort!

      Leider liegt es nicht am DynDNS. Das habe ich im SPH eingetragen und das funktioniert auch bestens. Eine von außen kommende SSH-Verbindung wird auch sauber zur Fritz!Box und dann von da aus (per Portfreischaltung) weiter an meinen Raspberry geleitet. Leider habe ich auch keinen Schimmer, woran das Problem mit dem Fernzugang (VPN) noch liegen könnte.

      Beste Grüße
      Sebi
      Hi,

      Erst einmal danke an alle Beteiligten für die Möglichkeit die SPH zu entfesseln.

      also ich habe die Komplettlösung für Speedport Hybrid mit nachgelagerter Fritz.box (im Routed Mode) für die Firmware V 4.0.5 installiert und wollte auch die fw.sh mit der fw_all.sh.zip ersetzen, so dass alles an die fritzbox weitergeleitet wird.

      Aber leider kommt bei mir nix durch. Die FB bekommt nicht mal die richtige Uhrzeit aus dem Netz. Ich habe bestimmt etwas falsch gemacht, aber was?

      mir ist auch noch aufgefallen, dass im bslog alle einträge doppelt sind.

      ist das so okay?

      Quellcode

      1. bootstrap gestartet...
      2. bootstrap mount Versuch 1...
      3. bootstrap mount Versuch 1...
      4. bootstrap mount Versuch 2...
      5. bootstrap mount Versuch 2...
      6. bootstrap mount Versuch 3...
      7. bootstrap mount Versuch 3...
      8. bootstrap mount Versuch 4...
      9. bootstrap mount Versuch 4...
      10. bootstrap mount Versuch 5...
      11. bootstrap mount Versuch 5...
      12. mount durchgeführt...
      13. mount durchgeführt...
      14. bootstrap_init.sh PATH: ${PATH}
      15. bootstrap_init.sh PATH: ${PATH}
      16. bootstrap_init.sh LD_LIBARY_PATH: ${LD_LIBRARY_PATH}
      17. bootstrap_init.sh LD_LIBARY_PATH: ${LD_LIBRARY_PATH}
      18. bootstrap_init.sh remount /opt/orig/bin /bin...
      19. bootstrap_init.sh remount /opt/orig/bin /bin...
      20. bootstrap_init.sh mount /dev/pts ...
      21. bootstrap_init.sh mount /dev/pts ...
      22. bootstrap_init.sh dibbler cleanup....
      23. bootstrap_init.sh dibbler cleanup....
      24. bootstrap_init.sh killall sipproxd,voiper, dhcp6s....
      25. bootstrap_init.sh killall sipproxd,voiper, dhcp6s....
      26. bootstrap_init.sh dropbear started ...
      27. bootstrap_init.sh dropbear started ...
      28. bootstrap_init.sh fw.sh executed ...
      29. bootstrap_init.sh fw.sh executed ...
      30. bootstrap_init.sh route.sh executed ...
      31. bootstrap_init.sh crond started ...
      32. bootstrap_init.sh route.sh executed ...
      33. bootstrap_init.sh crond started ...
      34. bootstrap_init.sh fw6.sh executed ...
      35. bootstrap_init.sh ausgeführt...
      36. bootstrap beendet...
      37. bootstrap_init.sh fw6.sh executed ...
      38. bootstrap_init.sh ausgeführt...
      39. bootstrap beendet...

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „vortex“ ()

      Vielen Dank auch noch mal an @danXde!

      Mein Problem hat sich auch mehr oder weniger gelöst. Offenbar hat der (Mobilfunk-) Provider, welchen ich für die Herstellung der VPN-Verbindung nutzen wollte, dieses blockiert. Von einem anderen Anschluss aus funktioniert der Fernzugang problemlos und ich kann mich somit von außen wie gewohnt mit meinem Netzwerk verbinden.

      Um es noch einmal etwas klarer zu machen:
      Ich nutze auf meinem PC die Software FRITZ!Fernzugang um (wenn ich unterwegs bin) eine VPN-Verbindung über das Internet zu meinem Netzwerk zu hause herzustellen. Das klappte über den verwendeten Mobilfunkzugang (O2-Netz) leider nicht. Von einem anderen DSL-Zugang geht es jedoch problemlos.

      Beste Grüße
      Sebi
      Hallo,

      eine Frage habe ich noch: Wie kann ich es in der fw.sh einstellen, dass ein bestimmtes Netzwerkgerät nur über DSL ins Internet gehen soll, also den Tunnel nicht benutzen soll?
      Hierzu konnte ich leider nichts finden. Wäre toll, wenn mir dazu jemand einen Hinweis geben könnte.

      Beste Grüße
      Sebi
      @sebitnt,

      ausgehend ist recht einfach. ...entsprechende Regeln in der mangle-Tabelle eintragen. ...also in fw.sh nach -t mangle suchen. Für die Telekom-Telefonie findest Du entsprechende Einträge. Wenn Du dort dann zum Beispiel -s Source-IP einträgst, kannst Du das auch für bestimmte Geräte im LAN umbiegen. Das funktioniert aber nur für Geräte im LAN des SPH. Wenn die Geräte hinter der Fritz.Box sind, dann musst Du für einzelne Applikationen/Programme eventuell Ports umleiten. Das geht auch. Für Gaming ist die Zeile hinterlegt, so das wenn mann für das Spiel einen DSCP-Wert <>0 setzt, dann biegt er das auch um.

      Komplizierter wird es, wenn Du auch noch eingehenden Verkehr über DSL-only empfangen möchtest, da dann noch die anderen Tabellen entsprechend konfiguriert werden müssen.

      Grüße

      danXde
      @danXde danke für die Antwort!

      Ist es also richtig, dass ein Eintarg ipt iptables -t mangle -A FWD_FILTER_LIST -s 192.168.XXX.XXX/32 reicht, um alle Verbindungen von der IP 192.168.XXX.XXX (direkt an den SPH angeschlossen) ins Internet nur über DSL laufen zu lassen?

      Was muss ich denn noch hinzufügen, um auch eingehenden Verkehr auf dieses gerät über DSL-only laufen zu lassen?
      @sebitnt ...naja entsprechende Einträge in der Firewall- (ohne -t) und in der NAT-Tabelle (-t nat). Als Interface für DSL musst Du das ppp256 angeben.

      Am besten schaust Du Dir mal die VoIP-Telefonie mit der Telekom an. Da habe ich für die Ports 5060 und dem Portrange 7078-7109 das eingerichtet. Analog dazu sollte das also funktionieren.

      Wichtig ist, wenn Du Services auf DSL umbiegst, sind diese dann auch nur über DSL von aussen erreichbar. Heisst, DYNDNS der Tunnel-IP hilft da dann nicht weiter, sondern Du braucht auch einen Service, der auf die DSL-IP gemappt ist!!! Daher kann es eventuell Sinnvoll sein, nur bestimmte Services (Ports) statt gleich ganzer Geräte auf DSL zu biegen. ..so das andere Services des Gerätes immer noch über den Tunnel erreichbar bleiben.

      Daher habe ich bei VoIP für 5060 nicht einfach den Port auf DSL umgebogen, sondern nur für die IP-Adressbereiche der Telekom. Dadurch ist es möglich, z.B.: SIPgate VoIP über den Tunnel zu nutzen. Mit einer konfigurierten Anrufweiterschaltung der TelekomNR zu Sipgate bei Nichterreichbarkeit, hatte ich ankommend dadurch schon eine Redundanz, bevor die Telekom solch eine Lösung implementierte. Die Telekom Redundanzlösung kann man leider mit der nachgeschalteten Fritz.Box nicht nutzen. ...ich habe mich da nicht hintergeklemmt, da bei uns eh alle eine Handy haben und somit im Notfall erreichbar bleiben.

      Grüße

      danXde

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „danXde“ ()

      Ich hole diesen Thread mal hoch in der Hoffnung, dass mir einer helfen kann.

      Ausgangspunkt war, dass ich einen sipgate Anschluss via Groundwire im LAN nutzen will. Das verhindert der Speedport Hybrid natürlich erfolgreich.

      Meine Hauptrouter ist ein Amplifi-System, das als Client am SPH arbeitet.

      Ich habe jetzt insofern erfolgreich die Komplettlösung angewandt, als dass ich die Hardware-COM aktiviert habe und den bootstrap am laufen habe.
      Allerdings bekomme ich mit keiner fw.sh eine Internetverbindung auf meinem Amplifi-System hin.

      Was ich festgestellt habe, ist, dass einige Seiten nach kurzer Zeit funktionieren.
      Hier vermute ich, dass IPv6 läuft, IPv4 aber nicht.

      Gerne würde ich einfach nur sämtlichen Traffic an mein Amplifi (static: 192.168.2.2) weitergeben, da sonst nichts am SPH hängt und das Amplifi alles macht.
      Braucht es da eine spezielle fw.sh, da das Amplifi-System im Client-Modus ist?
      Hi @borne, was heisst, das System ist im Client-Modus? Arbeitet es als nachgelagerter Router hinter dem SPH und spannt ein eigenes LAN auf? Welche IP hat das System aus dem LAN des SPH als WAN-IP bezogen?

      Ja, in der Komplettlösung werden nur einzelne Ports an die nachgelagerte Fritz.Box in der fw.sh weiter geleitet. Ergo brauchst Du eine spezielle fw.sh. Neben dem NAT, Portforwarding ist aber auch noch interessant, welcher Verkehr auf DSL-only umgebogen werden muss, wie Telekom-SIP, Gaming, etc.

      Grüße

      danXdde
      Moin @danXde,

      Ja, der nachgelagerte Router (hat die IP 192.168.2.2 beim SPH) spannt ein eigenes LAN in 192.168.1.0/24 mit eigenem DHCP-Server auf.
      Ich würde gerne alles, so wie es ist auf den Router umleiten, da dieser sich um alles kümmert, wie Portfreigaben etc.
      DSL-only wäre für mich höchsten für sipgate-VOIP interessant, wobei das kein Muss ist, falls die Implementierung zu aufwändig ist.
      Theoretisch sollte doch dann das DSL/LTE Management so bleiben wie bisher, sodass VOIP primär erst über den DSL-Part läuft.

      Leider habe ich nicht genug Ahnung von iptables, um mich da durchzubeißen.

      Besten Dank!

      Edit: DHCP ist auf dem SPH deaktiviert.
      Hi @danXde

      danke für die Mühe, leider das gleiche Ergebnis wie bei der fw_all.sh (die ja eigtl. auch hätte funktionieren sollen).
      Mein Amplifi meckert, dass über IPv4 keine Internetverbindung besteht. IPv6 geht.

      Die Netzwerkeinstellungen im Amplifirouter sind wie folgt:
      IP: 192.168.2.2
      Maske: 255.255.255.0
      Gateway: 192.168.2.1
      DNS: 192.168.2.1

      Kann es sein, dass es am Gateway liegt? Bin jetzt zwar kein Netzwerktechniker, aber wenn alles stumpf durchgeschleift wird, ist ein Gateway ja eigtl. unnötig, weil der Traffic ja eh ankommt, man selbst zum Gateway wird.
      Wahrscheinlich ahbe ich einfach nur das Gateway falsch interpretiert :o

      Theoretisch kann ich den Amplifi-Router in den Bridge-Modus setzen, dadurch verliere ich aber den DHCP-Server, die Port-Steuerung und das Gäste-WLAN.

      Gruß
      Patrick