Webserver oder anderen Dienst über einen Router ins FF Netz

[Tommy]

@3dfx: ich habe was gefunden, versteckt am Ende dieses Artikels: https://freifunk-halle.org/mediawiki/wi ... r_mit_OLSR Das sollte doch die Rückroute sein?! Komme blos aktuell nicht auf den Router zum testen, da kein FF Netz in der Nähe

Ich weiß nur noch nicht, ob ich die zusätzliche Schnittstelle einer Firewall Zone zuweisen muß (Bsp. "freifunk") Als ich das gestern im UI probierte, verlor die freifunk zone reproduzierbar das target (also der Eintrag rechts neben dem Pfeil, wo sonst "freifunk" steht war auf "reject" oder so). Ließ sich nur per Reset auf Grundeinstellungen fixen.

Wenn es damit klappt, schreibe ich mal eine EINFACHE Anleitung für DAUs wie mich

[3dfxatwork]

@kwm das hatte ich schon heute morgen gemacht.
@Tommy deshalb preferiere ich die methode 2 ips auf ein interface zu mappen und kein weiteres virtuelles interface hinzuzufügen. Aber ich würde es in die Zone Freifunk hinzufügen. Außerdem bei Firewall Verkehrsregeln eine Regel hinzufügen: (keine SNAT Regel)

Code: Alles auswählen

Beschränke auf Adressfamilie: ipv4
Protokoll: beliebig
Nach ICMP-Typ filtern: any

Quell-Zone: freifunk
Quell-MAC-Adresse: beliebig
Quell-IP: beliebig
Quellport: beliebig 
Ziel-Zone: lan
Zieladresse: 192.168.1.y
Zielport: beliebig
Aktion: annehmen
Zusätzliche Argumente: leer

Und in die benutzerdefinierten Regeln das einfügen (die erste Zeile solltest du schon haben)

Code: Alles auswählen

iptables -t nat -I PREROUTING -d 10.62.40.x -j DNAT --to-destination 192.168.1.y
iptables -t nat -I POSTROUTING -s 192.168.1.y -j SNAT --to 10.62.40.x

(Das 2. könnte man im UI auch als SNAT Regel unter verkehrsregeln definieren.)

[Tommy]

deshalb preferiere ich die methode 2 ips auf ein interface zu mappen und kein weiteres virtuelles interface hinzuzufügen

Da verstehe ich den Unterschied beim konfigurieren nicht. Ich dachte ich habe gemapped indem ich das Interface "extern" über ifname "wireless0" dem existierenden wireless0 zugefügt habe. Zumindest hatte ich das im von Dir verlinkten openWRT Trac Kommentar so interpretiert. Wenn man das so in der config einträgt und dann ins UI schaut ist es halt als interface extern aufgeführt. Ich dachte das wäre normal so?! Im Umkehrschluss kann man das interface dann natürlich auch direkt im UI anlegen - in der config steht dann das selbe.

Code: Alles auswählen

config interface 'wireless0'
        option dns '8.8.8.8 212.204.49.83 141.1.1.1'
        option netmask '255.255.255.255'
        option proto 'static'
        option ipaddr '10.62.40.63'

config interface 'extern'
        option ifname 'wireless0'
        option proto 'static'
        option ipaddr '10.62.40.2'
        option netmask '255.255.255.0'

[3dfxatwork]

In dem Link standen beide Varianten, deshalb habe ich gleich an die richtige geankert, aber wie gesagt sollte mit beiden funktionieren, wenn du die 2 Regeln auf meinem vorherigen Betrag noch einfügst.

[Tommy]

In dem Link standen beide Varianten, deshalb habe ich gleich an die richtige geankert, aber wie gesagt sollte mit beiden funktionieren, wenn du die 2 Regeln auf meinem vorherigen Betrag noch einfügst.

Dann kannst Du ja nur dieses Beispiel meinen und einen simplen "list" Eintrag. Das würde dann wiederum, denke ich, die Firewall Zone Spielereien ersparen, da die ja schon auf das Interface angelegt sind.

Code: Alles auswählen

config interface foo
  option ifname eth1
  list ipaddr 10.8.0.1/24
  list ipaddr 10.9.0.1/24
  list ip6addr fdca:abcd::1/64
  list ip6addr fdca:cdef::1/64

also quasi so

Code: Alles auswählen

config interface 'wireless0'
        option dns '8.8.8.8 212.204.49.83 141.1.1.1'
        option netmask '255.255.255.255'
        option proto 'static'
        option ipaddr '10.62.40.63'
        list ipaddr '10.62.40.2/24'

[Tommy]

Geht immer noch nicht

Habe jetzt die Adresse über SSH in der /etc/config/nettwork gemapped (Im UI ist davon nichts zu sehen). Mehrmals rebooted.

Code: Alles auswählen

config interface 'wireless0'
        option dns '8.8.8.8 212.204.49.83 141.1.1.1'
        option netmask '255.255.255.255'
        option proto 'static'
        option ipaddr '10.62.40.63'
        list ipaddr '10.62.40.2/24'

Beide benutzerdefinierten Regeln eingetragen

Code: Alles auswählen

iptables -t nat -I PREROUTING -d 10.62.40.2 -j DNAT --to-destination 192.168.1.155
iptables -t nat -I POSTROUTING -s 192.168.1.155 -j SNAT --to 10.62.40.2

HNA Ankündigung auf 10.62.40.2/32 gemacht (ist auch sichtbar auf anderen Routern)

Dienst über das namees Plugin angekündigt http://10.62.40.2:80|tcp|Dessau-Info (Wird auch auf anderen Routern angezeigt)


Ping vom Router an den der Raspi angeschlossen ist

Code: Alles auswählen

PING 10.62.40.2 (10.62.40.2): 56 data bytes
64 bytes from 10.62.40.2: seq=0 ttl=64 time=0.402 ms
64 bytes from 10.62.40.2: seq=1 ttl=64 time=0.351 ms
64 bytes from 10.62.40.2: seq=2 ttl=64 time=0.298 ms
64 bytes from 10.62.40.2: seq=3 ttl=64 time=0.316 ms
64 bytes from 10.62.40.2: seq=4 ttl=64 time=0.306 ms

--- 10.62.40.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.298/0.334/0.402 ms

Ping von allen anderen Routern

Code: Alles auswählen

PING 10.62.40.2 (10.62.40.2): 56 data bytes

--- 10.62.40.2 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Trace von einem Router im Meshnet

Code: Alles auswählen

traceroute to 10.62.40.2 (10.62.40.2), 30 hops max, 38 byte packets
 1  10.62.40.2  1.214 ms
 2  *
 3  *
 4  10.62.40.2  989.995 ms !H

Trace vom Spielplatz (nicht im WLAN Mesh)

Code: Alles auswählen

traceroute to 10.62.40.2 (10.62.40.2), 30 hops max, 38 byte packets
 1  10.62.1.1  19.821 ms
 2  10.62.40.2  46.743 ms
 3  *
 4  *
 5  *
 6  *
 7  *
 8  *
 9  *
10  *
11  *
12  *
13  *
14  *
15  *
16  *
17  *
18  *
19  *
20  *
21  *
22  *
23  10.62.40.2  997.732 ms !H

[3dfxatwork]

Das können wir uns dann morgen mal live anschauen, habe da jetzt auch gerade keine weitere Idee zu.

[kwm]

Wenn möglich bitte den FF-Router und den Raspi mitbringen.

PS.: Da war auch noch was mit Bier! Gibt es im EBK nicht, muss also mitgebracht werden. 3dfx trinkt Hell und ich trink Schwarz.

[Tommy]

Bei Dunklem kenn ich mich nicht aus - bitte Marke angeben, ansonsten habe ich eh ne Kiste Krombacher im Kofferraum

[Tommy]

Soll ich Router und Raspi mitbringen?

[3dfxatwork]

Theoretisch haben wir ja auch Freifrunk, wäre nur doof, wenn wir uns aussperrten, also ware das vielleicht besser.

[Tommy]

Wird eh ne Bastelstunde, WB bringt so einen Ubiquitty Dildo mit

Und ich brauche Vorabinfo über "NanoStation Loco M2"

[kwm]

Bei Dunklem kenn ich mich nicht aus - bitte Marke angeben, ansonsten habe ich eh ne Kiste Krombacher im Kofferraum

Egal, nur kein Hefeweizen.

[Tommy]

Na denn lassen wir mal rocken!!!! http://10.62.40.2/free.mp3

[3dfxatwork]

@Tommy kannst du bitte noch ausprobieren die SNAT Regel über die Weboberfläche einzustellen? Dazu unter Firewall -> Verkehrsregeln -> Bereich SNAT eine Regel hinzufügen (die einstellungen sollte selbsterkärend sein). Und anschließend das bei uns im Wiki dokumentieren?

[Tommy]

Das scheint nicht zu gehen. Ich habe die beiden manuellen Regeln auskommentiert und dafür eine SNAT Regel gemacht s. screenshoot. Dann kriege ich keinen Ping mehr. Die Beiden Regeln wieder einkommentiert und die SNAT Regel deaktiviert - Ping wieder da. Vielleicht habe ich auch nur einen Fehler in den target IP's unten. Da wußte ich nicht warum 2x target IP

[Tommy]

Stopp, Kommando zurück! NAT ist der Hinweg und SNAT ist der Rückweg. Es funzt so wie in diesem Screenshoot ohne die Benutzerdefinierten

[Tommy]

Somit bleibt als einzige schwer zu überwindende Hürde, das editieren der /etc/config/network über SSH um die 2. IP zu mappen. Ich probiere heute Abend nochmal den Weg über das zusätzliche Interface. Dann hätten wir eine Lösung, die sich, recht DAU sicher, komplett über das UI abbilden lässt.

Anleitung im Wiki mache ich selbstverständlich sobald ich o.g. noch eroiert habe. SSH + vi birgt m.E. ein beträchtliches Risiko sich die config zu zerschießen.

[3dfxatwork]

Du kannst nur die SNAT Regel über das UI einstellen die benutzerdefinierte DNAT Regel muss dort bleiben.
Weiterhin hast muss bei SNAT die QuellAdresse die des Raspis sein und nicht die Zieladresse, ansonsten richtig.

[Tommy]

Du kannst nur die SNAT Regel über das UI einstellen die benutzerdefinierte DNAT Regel muss dort bleiben.
Weiterhin hast muss bei SNAT die QuellAdresse die des Raspis sein und nicht die Zieladresse, ansonsten richtig.

Sicher? Aktuell funktioniert es aber so wie oben und ohne Benutzerdefiniert. Hmmm, vielleicht nach einem Reboot nicht mehr, das habe ich nicht getestet.

Ich dachte, das dieser Screen DNAT und SNAT definiert. Also als Sorglospaket sozusagen.

[3dfxatwork]

Hmm ich bin der Meinung das definiert nur SNAT, aber vielleicht ist die Bennenung im UI einfach nur suboptimal. Probiere bitte mal nach einem neustart.

[Tommy]

Also ich habe jetzt alle möglichen Kombinationen bei der SNAT Regel durch - nüscht. Die Pings die ich heute morgen bekommen habe kamen vom Router, nicht vom Raspi. Ich habe die beiden Benutzerdefinierten wieder drin und die SNAT Regel deaktiviert - damit gehts

[3dfxatwork]

Ok gut

[Tommy]

Also mal ne Zusammenfassung als Vorabversion fürs Wiki

Vorbedingungen: Im folgenden wird davon ausgegangen, dass wir einen http Dienst unter Port 80 auf einer eigenen IP anbieten wollen. Die IP die im Beispiel verwendet wir ist die 10.62.40.1. Der Server (Raspi) wird also unter http://10.62.40.2 erreichbar sein. Der Router, an dem der Raspi über einen gelben LAN Port verbunden ist, hat im Beispiel die IP 10.62.40.63. Diese IP's müßt ihr vorher wissen und vor allem im Wiki registriert haben. Die LAN Schnittstelle des Routers arbeitet im Adressbereich 192.168.1.x und damit fangen wir an:

1. Raspi auf eine feste IP einstellen. Der DHCP auf dem LAN vergibt default Adressen von 192.168.1.100 - 192.168.1.250. Die IP des Raspi sollte also au0erhalb des Bereiches liegen. Ich gehe im weiteren Verlauf davon aus, das dem Raspberry die 192.168.1.50 fest zugeordnet wird wie folgt:

Code: Alles auswählen

iface eth0 inet static
	address 192.168.1.50
	netmask 255.255.255.0
	gateway 192.168.1.1
	dns-nameservers 192.168.1.1 8.8.8.8

Anmerkung: auf meinem Raspi funktionierte die Namensauflösung nicht. Ich habe daher das paket resolvconf nachinstalliert und die Nameserver hart verdrahtet

2. IP bekanntmachen. Auf dem Router bearbeiten wir nun die Datei /etc/config/network mit dem Editor vi. Wir suchen uns das Interface wireless0. Dieses wollen wir verändern. Im Original sieht das so aus:

Code: Alles auswählen

config interface 'wireless0'
	option dns '8.8.8.8 212.204.49.83 141.1.1.1'
	option netmask '255.255.255.255'
	option proto 'static'
	option ipaddr '10.62.40.63'

Wir möchten diesem Interface eine zweite IP zuweisen, nämlich die, unter der der Service später erreichbar sein soll. Wir müssen dem Interface mitteilen, das es statt mit einer IP Adress mit einer Liste von IP Adressen arbeiten soll. Das sieht dann so aus. Oben die IP des Routers und unten die IP unseres neuen Dienstes

Code: Alles auswählen

config interface 'wireless0'
	option dns '8.8.8.8 212.204.49.83 141.1.1.1'
    option netmask '255.255.255.255'
    option proto 'static'
    list ipaddr '10.62.40.63'
    list ipaddr '10.62.40.2/24'

Nach dem Abspeichern ist dann der Exkurs auf die Konsolen auch schon beendet und der Rest der Arbeit findet im Webinterface des Routers statt.

3. Firewall Regeln. Im Webinterface gehen wir unter Netzwerk -> Firewall -> Benutzerdefinierte Regeln. Dort Tragen wir die Routing Regeln vom Router zum Raspi und zurück ein. (Hinweg = NAT, Rückweg = SNAT)

Code: Alles auswählen

iptables -t nat -I PREROUTING -d 10.62.40.2 -j DNAT --to-destination 192.168.1.50
iptables -t nat -I POSTROUTING -s 192.168.1.50 -j SNAT --to 10.62.40.2

Damit werden die Pakete, die auf 10.62.40.2 reinkommen auf 192.168.1.50 weitergeleitet und rückwärts genauso. Nach dem Speichern der Regeln wird ein Neustart des Routers fällig, den ihr jetzt durchführt. Nach dem Neustart sollte ein "Ping 10.62.40.2" vom Raspi beantwortet werden und der Raspi ebenfalls auf Allen Ports aus dem Freifunknetz erreichbar sein.

4. HNA Ankündigung

5. Dienst Ankündigung

[3dfxatwork]

Die Firewallverkehrsregel zum durchlassen fehlt noch

[Tommy]

Die Firewallverkehrsregel zum durchlassen fehlt noch

AFAIR habe ich keine drin, zumindest habe ich nach dem letzten Reset keine zugefügt. Das muß ich heute abend nochmal checken.

[Tommy]

Ich habe den Wiki Beitrag erweitert https://freifunk-halle.org/mediawiki/wi ... _.28NAT.29

Eigentlich ist es eher was für eine separate Seite. Ich wußte aber nicht wie ich das mache. Vielleicht kann es wer verschieben. Ansonsten fundet man es nur, wenn man nach OLSR Freigabe sucht.

[kwm]

Ich habe den Wiki Beitrag erweitert https://freifunk-halle.org/mediawiki/wi ... _.28NAT.29

Eigentlich ist es eher was für eine separate Seite. Ich wußte aber nicht wie ich das mache. Vielleicht kann es wer verschieben. Ansonsten fundet man es nur, wenn man nach OLSR Freigabe sucht.

Neue Seiten legt man an, in dem man einen Seitennamen angibt, der noch nicht existiert. Ich habe da noch eine Anmerkung gemacht. Grundsätzlich sollten wir das in zwei getrennten Themen abhandeln. Da der ursprüngliche Beitrag von einem raspi ausgeht, auf dem olsr läuft und der über vpn ans ff-netz gebunden ist. Jetzt aber auch ein raspi behandelt wird, der ohne olsr und ohne vpn Dienste für ff-netzt bereitstellt.

Dann wäre noch wichtig, wenn dem ff-router am wlan0 mehr als eine IP-Adresse zugewiesen wird. Hier ein ganzes Netz, das man dem ff-router unter admin > olsr noch mitteilt, welches seine Haupt-IP-Adresse ist.

[Tommy]

Jopp, betr. 2 Adressen bin ich voll Deiner Meinung. Sind unterschiedliche Ansätze. Der Artikel darf gern komplettiert werden. Wenn er allein steht, sollte HNA Ankündigung auch noch mit rein (Was jetzt im oberen Teil abgehandelt wird.) Das mit mehreren Adressen ist mir (noch) zu hoch. Ich habe ja nur das niedergeschrieben, was bei mir zum Erfolg geführt hat.


Deine Anmerkung verwirrt. In dem Moment sind wir grad im WebIF des Router und Du beziehst dich auf die rc.local des Raspi. Diesen Gedankensprung versteht der Laie (und ich auch) nicht

[3dfxatwork]

Ich habe mal die /24 entfernt in der Anleitung, das sollte immer /32 (kann man weglassen) sein außer man will wirklich das ganze Netz weiterleiten. Die IP müsste nicht noch zusätzlich als HNA angekündigt werden, das sollte olsr alleine hin bekommen.