Statische Route setzen

      Statische Route setzen

      Guten Abend, ich nutze den Speedport Hybrid in neuester Firmware mit der genialen Komplettlösung. Wegen OpenVPN müsste ich eine statische Route setzen (192.168.200.0 über 192.168.2.101).
      Könnte mich bitte jemand aufklären, ob das möglich ist und wenn ja wie? Vielen Dank!
      Wenn ich hyrid34 richtig vertehe, dann möchte er, dass der Router aus dem LAN ankommende Pakete mit Ziel 192.168.200.0/24 auf den LAN-Host 192.168.2.101 weiterleitet.

      Ist der Fall nicht ganz analog zum Zugriff auf das LTE-Modem?
      Würde da nicht folgendes ausreichen:

      Quellcode

      1. route add -net 192.168.200.0/24 gw 192.168.2.101
      2. iptables -I FORWARD -s 192.168.2.0/24 -d 172.10.10.1 -j ACCEPT
      @hyrid34 ...da ich nicht genau weiss, was Du vorhast, gibt's kein finales Feedback. Der erste Befehl muss eher in /opt/bin/route.sh eingefügt werden. Dabei müsste dann sichergestellt sein, das das angegebene Gateway immer die gleiche IP nutzt.

      Der zweite Befehl müsste in die /opt/bin/fw.sh dort aber dann eher an der richtigen Stelle mit ipt iptables ..... Je nach Anwendungszweck reicht er aber nicht. Man müsste in der -t nat Tabelle sicher ebenfalls noch was ergänzen.

      Grüße

      danXde
      Hallo, Ich möchte das selber reichen was bei der FRITZ!Box IP V4 Routing heißt. Damit kann ich über OpenVPN auch mein Heimnetz erreichen.

      Zumindest war das Ganze schon mal ein Teilerfolg: Über den Eintrag in Route.sh kann ich auf das Webinterface meines NAS zugreifen (das ging vorher nicht). Leider gehen aber die Samba Freigaben über VPN nicht,- das eigentliche Ziel.

      Hätte da noch jemand einen Tipp?

      vg
      @hyrid34 ...leider wieder nur die Hälfte. Macht der nachfolgende Router nur Routing, oder auch NAT?

      wie schon angesprochen reicht die eine Zeile in der fw.sh nicht.

      Unter Umständen brauchst Du mehere Zeilen. Dabei kannst Du jeden ankommenden Port nur auf ein Ziel umbiegen:


      #Default = 192.168.2.0
      SPHLAN="192.168.2.0"
      FRITZLAN="192.168.200.0"

      #Default = 192.168.2.2
      FRITZBOXIP="192.168.2.100"
      FRITZBOXIP2="192.168.2.101"

      ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -o in_0 -j MASQUERADE --mode fullcone
      ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -o in_0 -j MASQUERADE --mode fullcone

      bei nur Routing eventuell notwendig:
      ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -d $SPHLAN/24 -o br0 -j MASQUERADE
      ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -d $SPHLAN/24 -o br0 -j MASQUERADE
      ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -d $FRITZLAN/24 -o br0 -j MASQUERADE
      ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -d $FRITZLAN/24 -o br0 -j MASQUERADE


      bei NAT an zweiten Router, bei Routing müssten an der Stelle die konkreten Endgeräte angegeben werden
      UDP:
      ipt iptables -t nat -A PREROUTING -i gre+ -p udp --dport XXX -j DNAT --to-destination $FRITZBOXIP2
      ipt iptables -t nat -A PREROUTING -i gre+ -p udp -m multiport --dport
      XXX8:XXX9 -j DNAT --to-destination $FRITZBOXIP2

      TCP:
      ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport XX -j DNAT --to-destination $FRITZBOXIP2





      Grüße

      danXde
      Hallo, –vielen Dank für die Hilfe,- ich habe es jetzt aufgegeben. Das ist drei Schritte zu hoch für mich. Ich habe es jetzt so gelöst, – das der Speedport Hybrid alles auf Fritzbox 1 umleitet. OpenVPN läuft auf Fritzbox 1. und dann habe ich eine Router Kaskade gebaut, dass Fritzbox 2 als Router an Fritzbox 1 hängt.


      Das kostet mir zwar die IPV6 Adresse auf Fritzbox 2 und circa 40 Mbit im Download, aber es funktioniert sonst wenigstens.
      Ok, danke für dein Angebot. Anbei 2 Schemata mit dem Ist und dem Wunschzustand. Beim Ist-Zustand ist der DSL Speed schlechter und Fritzbox 2 hat kein ipv6, deswegen dieses Thema zur Realisierung der Wunschkonfig. Problem ist hierbei die Statische Route.


      vg
      Bilder
      • Wunschkonfig.PNG

        414,41 kB, 1.536×1.420, 1.478 mal angesehen
      • Derzeitige_Konfig_Speed_Schlechter_kein_IPv6_auf_fritz2.PNG

        284,52 kB, 1.536×1.380, 483 mal angesehen
      @hyrid34 ... kannst Du mal noch Beschreiben, was so für Endgeräte wo sind und vor allem was wie miteinander kommunizieren soll.

      - Geräte hinter der Fritz.Box 1 sollten mit dem Internet reden
      - sollen die Geräte über OpenVPN ereichbar sein?
      - müssen die Geräte auf dem Webserver zugreifen können?
      - Wohin soll der Webserver kommunizieren dürfen?

      Wenn Du das mal beschreiben kannst, dann kann man ein sinnvolles Setup entwickeln. Ob Du eine Fritz.Box mit einer Fritz.Box schützen kann, bezweifle ich ein wenig. ...Wenn die erste mit einem Angriff gehackt werden kann, ist das potential auf jeden Fall gross, das das auch bei der zweiten klappt. Da wäre es schon sinnvoller den SPH mit einzubeziehen.

      Was spricht dagegen, den Webserver im LAN des SPH zu plazieren?

      Grüße

      danXde
      @danXde nochmals vielen Dank für deine Mühe

      Ich erkläre jetzt genauer das "Wunschsetup" (=Speedport Nat ist an und Fritzbox 1 ist Ipclient von Speedport Hybrid; Fritzbox 2 hat NAT an und darin ist mein gesamtes Heimnetz, das vom Netz des Speedport, soweit abgeschottet ist, dass ich vom Heimnetz auf die Webinterface und SSH von Clients aus dem Speedport Netz komme, aber die Clients aus dem Speedport Netz nicht in mein Heimnetz kommen). Das funktioniert soweit super! Ich fand das bezüglich des Hackings des Webserver auch sinnvoll.

      Im Lan des Speedports (192.168.2.0) befindet sich die Ip Client Fritzbox 1 (= NAT = off, 192.168.2.101 mit OpenVPN-Server, Webserver, Asterisk, etc) und weitere Clients, insb. ein NAS ( 192.168.2.102). Alles muss Zugriff auf das Internet haben, auch der webserver. An offenen Ports benötige ich nur zur Fritzbox 1 nur TCP80, TCP443, UDP1194, TCP1194. Der Rest übernimmt ein Reverse Proxy (alle Geräte aus Lan des Speedports (192.168.2.0) müssen den webserver erreichen können . Bis auf open-VPN klappt auch alles. wäre da nicht das statische Route-Problem.... (ich brauche das, was bei der Fritzbox ipv4 Routen heißt.... 192.160.1.0 (also das OpenVPN Transportnetz) über 192.168.2.101 ); damit klappt es (wenn statt dem Speedport eine Test-Fritzbox hängt). Die Geräte im Lan des Speedports (192.168.2.0) sollen über VPN erreichbar sein, auch über SAMBA per VPN.

      Das Lan von Fritzbox 2 (192.168.200.0) soll natürlich Verbindung zum Internet haben. Zur Fritzbox2 muss die Telefonie und die Ports für das AVM-VPN weitergereicht werden (lokale IP 192.168.2.100). Das hast du mir bereits früher gezeigt und klappt hervorragend.

      Ich hoffe, es wird jetzt klarer,

      VG
      @hyrid34 ...klarer, aber noch nicht klar. Der Teil Fritz.Box2 sollte passen, habe ich zumindest so verstanden. Also zum Teil hinter der Fritz.Box1. Wenn die im IP-Client Mode betrieben wird, sollte diese ein Switch mit AP sein. Die IP dient dann primär zum Konfigurieren der Box und kann für VoIP Setup genutzt werden. Alle anderen Funktionalitäten sind dann mehr oder weniger "off". Die nachgelagerten Devices wie OpenVPN-Server, Webserver, etc. sollten vom SPH IP's bekommen. Daher müsstest Du dann das Portforwarding auch nicht auf die Fritz.Box1 IP, sondern auf das jeweilige Device legen. Also Port TCP 80,443 auf Webserver (Port 80 sollte vermieden werden, oder nur einen Redirect auf 443 realisieren), Für OpenVPN dann die Ports UDP1194, TCP1194.

      Ansonsten würde ich Die Empfehlen, den SPH z.B. per DHCP von 100-200 zu vergeben. Im OpenVPN dann den Clients 210-220 im gleichen Netz zuzuweisen. Dann kannst Du eventuell die Nummer mit dem Routing weglassen.

      Ansonsten müssten wir noch mal wegen dem Routing schauen, das würde dann in Routing + FW.sh Anpassungen enden.

      Grüße

      danXde
      Hallo,

      die FRITZ!Box 1 ist eigentlich nur noch eine Linux Hülle, die gefreetz ist und als lan Switch fungiert. Keine avm eigene Funktion wird genutzt. Über Freetz sind Webserver, OpenVPN, SSH, Asterisk etc. direkt auf der Fritzbox. Die Portforwardings müssen deswegen direkt auf die Fritzbox1.

      Ja, Port 80 hat nur einen automatischen redirect auf 443.

      Jetzt zu dem eigentlichen Problem nämlich OpenVpn. Wenn ich das richtig verstanden habe, bekommt man bei openVPN keine Ip im gleichen Subnetz (wie es beim AVM VPN der Fall ist), sondern es wird ein Transportnetz aufgebaut (Der VPN Server = die FRITZ!Box ist DHCP des Transportnetzes). Und dieses Transportnetz wiederum wird von der FRITZ!Box in das lan des Speedports geroutet,- D.h., – ich brauche immer ein Routing auf das Transportnetz, Wenn die FRITZ!Box nicht wie in meiner jetzigen Konfiguration auch DHCP Server eines eigenen Netzes (192.168.3.0) ist.

      Also brauchen wir meines Verständnisses nach diese Ergänzung in der Route.sh Und irgendwo anders,- wahrscheinlich in der fw.sh mit deren Inhalt ich komplett überfordert bin;-)

      vg
      @hyrid34

      so kommen wir der Sache näher:

      ich denke, zusammen mit dem Routing in der route.sh

      route add -net 192.168.1.0/24 gw 192.168.2.101

      sollten das die Einträge sein, die im fw.sh an der richtige Stelle ergänzt werden müssen.

      #Default = 192.168.2.0
      SPHLAN="192.168.2.0"
      FRITZLAN="192.168.1.0"

      #Default = 192.168.2.2
      FRITZBOXIP="192.168.2.100"
      FRITZBOXIP1="192.168.2.101"

      ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -d $SPHLAN/24 -o br0 -j MASQUERADE
      ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -d $FRITZLAN/24 -o br0 -j MASQUERADE

      ipt iptables -t nat -A PREROUTING -i gre+ -p tcp --dport 80 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport 80 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i gre+ -p tcp --dport 443 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport 443 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i gre+ -p tcp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i gre+ -p udp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
      ipt iptables -t nat -A PREROUTING -i ppp256 -p udp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1


      Die passenden Stellen können wir gern in einer Session auf deinem SPH konfigurieren.

      Grüße

      danXde