Routing + FW zwischen LAN und WAN (mal wieder)

[sneumann]

Moin!

Ich reihe mich ein in die Liste der Leute,
die als HNA Ihr Hausnetz nicht in den Griff kriegen.
Ich habe womöglich meherere unabhängige Probleme:

Mein Setup sieht eigentlich so aus wie hier http://www.freifunk-halle.de/phpBB3/vie ... 8039#p8039
also

Code: Alles auswählen

                                       ^ (Antenne)  FF-Netz via 104.x.x.x                   
                                       | "Notebook-User" via 10.x.x.x mit DHCPSplash
                                       |
                                     (WLAN)
192.168.6.3                 +------------------------------+
DSL-Router --(statisch->)-- |(WAN 6.2) FF-Router  (LAN 7.2)| --(<-DHCP)-- lokale PC via 192.168.7.x
   |                        +------------------------------+
   |
   (DHCP 192.168.6.x)
   +---- andere lokale PC

Ich möchte nun gerne aus dem 192.168.7.x in das 192.168.6.x Netz gelangen
(und umgekehrt). Das Routing im Router 6.3 habe ich eingerichtet,
ich komme aus dem 6.x auf den FF-Router sowohl unter 6.2 als auch 7.2.
Aus dem 7.x komme ich nicht auf http://6.3/

1) Brauche ich hier zwischen 7.x und 6.x noch weitere FW Regeln in local.fw ?
Vorschläge ?

2) Lässt die normale FW im FF-Router Pakete aus 104.x und 10.x fallen,
wenn die gefälschte 192.168.x.x Absenderadressen haben ?
Ich bin nicht kriminell genug, das "mal eben" ausprobieren zu können.

Sobald das läuft, kommt als nächstes Projekt, dass der FF-Router
DHCP für beide Netze 7.x und 6.x machen soll, denn der ZyXel macht
kein lokales DNS, bzw. nicht für die 7.x. Dazu würde ich auf der 6.3
den DHCP deaktivieren.

1) Wo/Wie starte ich am besten einen DHCPd auf dem WAN Interface,
um 6.x Anfragen zu beantworten ?

2) Brauche ich FW-Regeln, um DHCP am WAN zum 6.x durchzulassen ?

3) Tauchen diese DHCP 6.x hosts im dnsmasq auf ?

Danke und Gruss,
Steffen

[tox]

also für die richtung 7.x -> 6.x benötigst du keine weiteren regeln, denn die richtung läuft bereits als standard-gateway des ff-routers. du musst allerdings durch geeignete regeln festlegen, dass dann die pakete aus dem wlan und evtl auch dem vpn nicht in 6.x gelangen. für die andere richtung musst du deinem dsl-router mitteilen, dass er die 6.x-pakete an den ff-router zu routen hat und nicht in das internet. wenn das nicht einstellbar sein sollte, dann hast du die möglichkeit, diese einstellung an jedem rechner einzeln im 6.x-bereich vorzunehmen.

bei der firewall-frage muss ich passen. benutze die lan-anschlüsse nicht. als ich die mal ausprobiert hatte, war irgendwas komisch an der firewall...

deine dhcp-sache ist etwas merkwürdig. nach deiner aussage müsste der freifunkrouter dann auch das dns für den 6.x-bereich übernehmen, also willst du quasi dem dsl-router sämtliche aufgaben wegnehmen, wofür er da ist, dhcp und dns. das kann man machen, ist aber nicht sehr wartungsfreundlich. den dhcp-sever auf dem wan-port des freifunk-routeres muss man manuell einrichten. und ich hab keinen schimmer, wie das mit dem dns dann läuft. man müsste theoretisch dann den dsl-router als relay einrichten.

so weit meine gedanken dazu.

[sneumann]

also für die richtung 7.x -> 6.x benötigst du keine weiteren regeln, denn die richtung läuft bereits als standard-gateway des ff-routers. du musst allerdings durch geeignete regeln festlegen, dass dann die pakete aus dem wlan und evtl auch dem vpn nicht in 6.x gelangen. für die andere richtung musst du deinem dsl-router mitteilen, dass er die 6.x-pakete an den ff-router zu routen hat und nicht in das internet.

Das Routing klappt (wie gesagt, bei ZyXel nur über telnet einstellbar),

bei der firewall-frage muss ich passen.

Schade, die waren mir am wichtigsten, denn mit S45firewall stop käme ich im Haus
prima zurecht

deine dhcp-sache ist etwas merkwürdig. nach deiner aussage müsste der freifunkrouter dann auch das dns für den 6.x-bereich übernehmen, also willst du quasi dem dsl-router sämtliche aufgaben wegnehmen, wofür er da ist, dhcp und dns.

Er darf ja noch DSL und die Firewall nach aussen machen

Gruss,
Steffen

[sneumann]

So,

hier noch ein paar Antworten. Die FW Regeln lassen sich
sowohl für das Routing zwischen 6.x und 7.x als auch die DHCP
Anfragen mit folgende Regeln anpassen:

Code: Alles auswählen

/etc/local.fw
#!/bin/sh
...
	start)
...
		iptables -I INPUT   -i $WANDEV -d 255.255.255.255 -p udp --sport 68 --dport 67 -j ACCEPT
		iptables -I FORWARD -i $WANDEV -d 255.255.255.255 -p udp --sport 68 --dport 67 -j ACCEPT
...		

		# Traffic between DSL router PCs and FF router PCs
		iptables -I FORWARD -i $WANDEV -s $WANNET -o $LANDEV -d $LANNET -j ACCEPT
		iptables -I FORWARD -i $LANDEV -s $LANNET -o $WANDEV -d $WANNET -j ACCEPT
...

Für das DHCP auf dem WAN Interface darf in der dnsmasq.conf
nicht except-interface=vlan1 stehen, das habe ich in der S60dnsmasq
einfach auskommentiert.

Dazu braucht es für das Netz am DSL Router noch Optionen:

Code: Alles auswählen

/etc/local.dnsmasq.conf:
dhcp-range=dslwired,192.168.6.100,192.168.6.50,255.255.255.0,12h
dhcp-option=dslwired,option:router,192.168.6.3
dhcp-option=dslwired,6,192.168.6.3

damit den PCs am DSL Router nicht der FF-Router als DNS und defaultroute
angeboten wird. Zum einen wäre es unsinnig , zum anderen geht's nicht
(wahrscheinlich wegen den FW Regeln). Achso, und der DSL Router darf
natürlich kein DHCP anbieten ...

So long,
Steffen