Statische Route setzen
-
-
-
Leider nein :-(. Aber wenn es nicht praktikabel umsetzbar ist, werde ich es wohl begraben müssen
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „hyrid34“ ()
-
Wenn ich hyrid34 richtig vertehe, dann möchte er, dass der Router aus dem LAN ankommende Pakete mit Ziel 192.168.200.0/24 auf den LAN-Host 192.168.2.101 weiterleitet.
Ist der Fall nicht ganz analog zum Zugriff auf das LTE-Modem?
Würde da nicht folgendes ausreichen:
-
@danXde Kannst du das von GeeGee bestätigen? - ich mag lieber nichts beim Hauptrouter riskieren, sonst ist die Regierung sauer. Muss ich die Zeile dann in die fw.sh einfügen? Wenn ja im Block oder getrennt an bestimmten Stellen?
-
@hyrid34 ...da ich nicht genau weiss, was Du vorhast, gibt's kein finales Feedback. Der erste Befehl muss eher in
/opt/bin/route.sh
eingefügt werden. Dabei müsste dann sichergestellt sein, das das angegebene Gateway immer die gleiche IP nutzt.
Der zweite Befehl müsste in die/opt/bin/fw.sh
dort aber dann eher an der richtigen Stelle mitipt iptables ....
. Je nach Anwendungszweck reicht er aber nicht. Man müsste in der -t nat Tabelle sicher ebenfalls noch was ergänzen.
Grüße
danXde -
Hallo, Ich möchte das selber reichen was bei der FRITZ!Box IP V4 Routing heißt. Damit kann ich über OpenVPN auch mein Heimnetz erreichen.
Zumindest war das Ganze schon mal ein Teilerfolg: Über den Eintrag in Route.sh kann ich auf das Webinterface meines NAS zugreifen (das ging vorher nicht). Leider gehen aber die Samba Freigaben über VPN nicht,- das eigentliche Ziel.
Hätte da noch jemand einen Tipp?
vg -
@hyrid34 ...leider wieder nur die Hälfte. Macht der nachfolgende Router nur Routing, oder auch NAT?
wie schon angesprochen reicht die eine Zeile in derfw.sh
nicht.
Unter Umständen brauchst Du mehere Zeilen. Dabei kannst Du jeden ankommenden Port nur auf ein Ziel umbiegen:
#Default = 192.168.2.0
SPHLAN="192.168.2.0"
FRITZLAN="192.168.200.0"
#Default = 192.168.2.2
FRITZBOXIP="192.168.2.100"
FRITZBOXIP2="192.168.2.101"
ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -o in_0 -j MASQUERADE --mode fullcone
ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -o in_0 -j MASQUERADE --mode fullcone
bei nur Routing eventuell notwendig:
ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -d $SPHLAN/24 -o br0 -j MASQUERADE
ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -d $SPHLAN/24 -o br0 -j MASQUERADE
ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -d $FRITZLAN/24 -o br0 -j MASQUERADE
ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -d $FRITZLAN/24 -o br0 -j MASQUERADE
bei NAT an zweiten Router, bei Routing müssten an der Stelle die konkreten Endgeräte angegeben werden
UDP:
ipt iptables -t nat -A PREROUTING -i gre+ -p udp --dport XXX -j DNAT --to-destination $FRITZBOXIP2
ipt iptables -t nat -A PREROUTING -i gre+ -p udp -m multiport --dport XXX8:XXX9 -j DNAT --to-destination $FRITZBOXIP2
TCP:
ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport XX -j DNAT --to-destination $FRITZBOXIP2
Grüße
danXde
-
Hallo, –vielen Dank für die Hilfe,- ich habe es jetzt aufgegeben. Das ist drei Schritte zu hoch für mich. Ich habe es jetzt so gelöst, – das der Speedport Hybrid alles auf Fritzbox 1 umleitet. OpenVPN läuft auf Fritzbox 1. und dann habe ich eine Router Kaskade gebaut, dass Fritzbox 2 als Router an Fritzbox 1 hängt.
Das kostet mir zwar die IPV6 Adresse auf Fritzbox 2 und circa 40 Mbit im Download, aber es funktioniert sonst wenigstens. -
@hyrid34 ... warum betreibst Du die zweite Fritz.Box nicht im Client-IP Mode? Dann würde die erste Box alle Endgeräte mit IP's versorgen.
P.S.': Es liegt vorallem daran, das Du nur punktuell erwähnst, was Du genau vorhast. Daher kann man Dir nicht wirklich zielführend helfen. Sorry.
Grüße
danXde -
-
@hyrid34 ... kannst Du mal noch Beschreiben, was so für Endgeräte wo sind und vor allem was wie miteinander kommunizieren soll.
- Geräte hinter der Fritz.Box 1 sollten mit dem Internet reden
- sollen die Geräte über OpenVPN ereichbar sein?
- müssen die Geräte auf dem Webserver zugreifen können?
- Wohin soll der Webserver kommunizieren dürfen?
Wenn Du das mal beschreiben kannst, dann kann man ein sinnvolles Setup entwickeln. Ob Du eine Fritz.Box mit einer Fritz.Box schützen kann, bezweifle ich ein wenig. ...Wenn die erste mit einem Angriff gehackt werden kann, ist das potential auf jeden Fall gross, das das auch bei der zweiten klappt. Da wäre es schon sinnvoller den SPH mit einzubeziehen.
Was spricht dagegen, den Webserver im LAN des SPH zu plazieren?
Grüße
danXde
-
@danXde nochmals vielen Dank für deine Mühe
Ich erkläre jetzt genauer das "Wunschsetup" (=Speedport Nat ist an und Fritzbox 1 ist Ipclient von Speedport Hybrid; Fritzbox 2 hat NAT an und darin ist mein gesamtes Heimnetz, das vom Netz des Speedport, soweit abgeschottet ist, dass ich vom Heimnetz auf die Webinterface und SSH von Clients aus dem Speedport Netz komme, aber die Clients aus dem Speedport Netz nicht in mein Heimnetz kommen). Das funktioniert soweit super! Ich fand das bezüglich des Hackings des Webserver auch sinnvoll.
Im Lan des Speedports (192.168.2.0) befindet sich die Ip Client Fritzbox 1 (= NAT = off, 192.168.2.101 mit OpenVPN-Server, Webserver, Asterisk, etc) und weitere Clients, insb. ein NAS ( 192.168.2.102). Alles muss Zugriff auf das Internet haben, auch der webserver. An offenen Ports benötige ich nur zur Fritzbox 1 nur TCP80, TCP443, UDP1194, TCP1194. Der Rest übernimmt ein Reverse Proxy (alle Geräte aus Lan des Speedports (192.168.2.0) müssen den webserver erreichen können . Bis auf open-VPN klappt auch alles. wäre da nicht das statische Route-Problem.... (ich brauche das, was bei der Fritzbox ipv4 Routen heißt.... 192.160.1.0 (also das OpenVPN Transportnetz) über 192.168.2.101 ); damit klappt es (wenn statt dem Speedport eine Test-Fritzbox hängt). Die Geräte im Lan des Speedports (192.168.2.0) sollen über VPN erreichbar sein, auch über SAMBA per VPN.
Das Lan von Fritzbox 2 (192.168.200.0) soll natürlich Verbindung zum Internet haben. Zur Fritzbox2 muss die Telefonie und die Ports für das AVM-VPN weitergereicht werden (lokale IP 192.168.2.100). Das hast du mir bereits früher gezeigt und klappt hervorragend.
Ich hoffe, es wird jetzt klarer,
VG -
@hyrid34 ...klarer, aber noch nicht klar. Der Teil Fritz.Box2 sollte passen, habe ich zumindest so verstanden. Also zum Teil hinter der Fritz.Box1. Wenn die im IP-Client Mode betrieben wird, sollte diese ein Switch mit AP sein. Die IP dient dann primär zum Konfigurieren der Box und kann für VoIP Setup genutzt werden. Alle anderen Funktionalitäten sind dann mehr oder weniger "off". Die nachgelagerten Devices wie OpenVPN-Server, Webserver, etc. sollten vom SPH IP's bekommen. Daher müsstest Du dann das Portforwarding auch nicht auf die Fritz.Box1 IP, sondern auf das jeweilige Device legen. Also Port TCP 80,443 auf Webserver (Port 80 sollte vermieden werden, oder nur einen Redirect auf 443 realisieren), Für OpenVPN dann die Ports UDP1194, TCP1194.
Ansonsten würde ich Die Empfehlen, den SPH z.B. per DHCP von 100-200 zu vergeben. Im OpenVPN dann den Clients 210-220 im gleichen Netz zuzuweisen. Dann kannst Du eventuell die Nummer mit dem Routing weglassen.
Ansonsten müssten wir noch mal wegen dem Routing schauen, das würde dann in Routing + FW.sh Anpassungen enden.
Grüße
danXde -
Hallo,
die FRITZ!Box 1 ist eigentlich nur noch eine Linux Hülle, die gefreetz ist und als lan Switch fungiert. Keine avm eigene Funktion wird genutzt. Über Freetz sind Webserver, OpenVPN, SSH, Asterisk etc. direkt auf der Fritzbox. Die Portforwardings müssen deswegen direkt auf die Fritzbox1.
Ja, Port 80 hat nur einen automatischen redirect auf 443.
Jetzt zu dem eigentlichen Problem nämlich OpenVpn. Wenn ich das richtig verstanden habe, bekommt man bei openVPN keine Ip im gleichen Subnetz (wie es beim AVM VPN der Fall ist), sondern es wird ein Transportnetz aufgebaut (Der VPN Server = die FRITZ!Box ist DHCP des Transportnetzes). Und dieses Transportnetz wiederum wird von der FRITZ!Box in das lan des Speedports geroutet,- D.h., – ich brauche immer ein Routing auf das Transportnetz, Wenn die FRITZ!Box nicht wie in meiner jetzigen Konfiguration auch DHCP Server eines eigenen Netzes (192.168.3.0) ist.
Also brauchen wir meines Verständnisses nach diese Ergänzung in der Route.sh Und irgendwo anders,- wahrscheinlich in der fw.sh mit deren Inhalt ich komplett überfordert bin;-)
vg -
@hyrid34
so kommen wir der Sache näher:
ich denke, zusammen mit dem Routing in derroute.sh
route add -net 192.168.1.0/24 gw 192.168.2.101
sollten das die Einträge sein, die imfw.sh
an der richtige Stelle ergänzt werden müssen.
#Default = 192.168.2.0
SPHLAN="192.168.2.0"
FRITZLAN="192.168.1.0"
#Default = 192.168.2.2
FRITZBOXIP="192.168.2.100"
FRITZBOXIP1="192.168.2.101"
ipt iptables -t nat -A POSTROUTING -s $SPHLAN/24 -d $SPHLAN/24 -o br0 -j MASQUERADE
ipt iptables -t nat -A POSTROUTING -s $FRITZLAN/24 -d $FRITZLAN/24 -o br0 -j MASQUERADE
ipt iptables -t nat -A PREROUTING -i gre+ -p tcp --dport 80 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport 80 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i gre+ -p tcp --dport 443 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport 443 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i gre+ -p tcp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i ppp256 -p tcp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i gre+ -p udp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
ipt iptables -t nat -A PREROUTING -i ppp256 -p udp --dport 1194 -j DNAT --to-destination $FRITZBOXIP1
Die passenden Stellen können wir gern in einer Session auf deinem SPH konfigurieren.
Grüße
danXde
-
-
Teilen
- Facebook 0
- Twitter 0
- Google Plus 0
- Reddit 0
-
Benutzer online 1
1 Besucher