OpenWRT: Routing in bestimmtes IP-Subnetz blockieren?

Guten Abend,

mein OpenWRT-Router (TL-WR841ND) hängt zum einen mit einer eigenen IP im Heimnetz, sodass er nur eine Bridge darstellt.

Allerdings habe ich auch ein 2. Subnet (10.0.2.0/28), welches virtuell erzeugt wird. Dieses routet dann durch das Heimnetz (10.0.1.0/26).

Nun handelt es sich bei dem 2. Netz um ein Netz, welches zwar ins Internet soll, aber halt nicht auf das 1. Netz zugreifen soll. Nun routet es aber auch dadurch um andere Dinge aufzurufen. Daher würde ich gerne eine Firewall-Regel mit iptables anlegen, welche zwar ein Routing durch das Netz erlaubt (um auf das Internet zuzugreifen), aber kein direktes Routing in das Netz 10.0.1.0/26. Wenn ich nun aus dem 2. Netz ins Internet will routet er durch 10.0.2.1 (OpenWRT-Router, VLAN2) und dann über meinen DSL-Router (10.0.1.1). Eine Bereichssperre von 10.0.1.2 - 10.0.1.62 bringt mir nichts, da ich auch das Routerinterface selbst sperren möchte.

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

barnim

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Netzwerk

30.12.2016, 01:46

Daher würde ich gerne eine Firewall-Regel mit iptables anlegen, welche
zwar ein Routing durch das Netz erlaubt (um auf das Internet
zuzugreifen), aber kein direktes Routing in das Netz 10.0.1.0/26.

Und warum machst du das nicht einfach?

OpenWRT bringt meine ich sogar ein grafisches iptables Frontend mit.

Src: 10.0.2.0/28
Dest: 10.0.1.0/26
Service/Port: any
Action: Drop

Obiges dient der Veranschaulichung, den genauen Wortlaut der OpenWRT GUI habe ich nicht parat, aber das sollte sich recht einfach bauen lassen.

SYSCrashTV

Fragesteller

31.12.2016, 16:09

So, habe einfach noch ein wenig mit dem grafischen Panel gespielt und habe es nun korrekt hinbekommen. Keine Ahnung, ähnlich habe ich es schon einmal versucht, Resultat war bei mir etwa kein Internetzugang oder Zugriff auf das Netz 1.

Ich habe es nun so eingerichtet, dass der Traffic, welcher aus der Firewall-Zone (Gast) kommt und nach 10.0.1.0/26 geht gedropt wird. Wenn ich den Quellbereich 10.0.2.0/28 direkt angebe funktioniert die Sperre nicht. Selbes Spiel, wenn ich als Source und Destination beide Zonen (Gast und Home) setze, welche auf die beiden Interfaces eingerichtet sind...

Whatever. Danke für die Antwort, dann war ich mit meinem Ansatz ja schonmal nicht ganz auf dem falschen Weg..

flaglich

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Netzwerk

29.12.2016, 23:56

Ich verstehe den Halb-Satz "da ich auch das Routerinterface selbst sperren möchte" nicht.

Wenn ich deine Idee halbwegs verstanden habe möchtest du, dass der wrt für das 10.0.2.0/28 das defaultgateway ist und Verkehr der für 0/0 bestimmt ist an 10.0.1.1 (sein defautgateway leitet), 10.0.1.1 soll diesen Verkehr natten. Aus Netz 2 soll keiner (auch aus Zufall) auf 10.0.1.0/26 zugreifen können?

Ideen:

in Netz 1 keine Route nach 10.0.2.0/28 setzen. Dann brauchst du auch keine Firewallregel.

auf dem wrt mit

# iptables -t nat -A POSTROUTING -o eth0 -d 10.0.1.1 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward

Nat und Forwarding einschalten. Eth0 soll mal das Interface zum Netz 1 sein, das muss angepasst werden

Wenn du lustig bist kannst du ja noch alles von netz eins zu netz zwei sperren, sollte aber nicht nötig sein.

# iptables -A FORWARD -s 10.0.1.1 -d 10.0.2.0/28 -j ACCEPT
# iptables -A FORWARD -s 10.0.1.0 -d 10.0.2.0/28 -j DROP

Den Verkehr zwischen Dsl-Router und wrt musst du schon durchlassen, sonst geht es mit dem Internet nicht.

SYSCrashTV

Fragesteller

30.12.2016, 00:23

http://www.directupload.net/file/d/4585/jkzm49n6_png.htm

Nein, das Problem ist nicht, dass ich das Netz 2 aus Netz 1 aufrufen kann, das ist ein NAT.

Problem ist, dass das Netz 2 hat hinter dem Netz 1 steht und über die WAN-Adresse des APs geht und dann erst über den Router ins Internet hoppt. Dadurch kann ich halt auch alle Gerät im Netz 1 aufrufen, was ich gerne verhindern würde. Trotzdem soll der Verkehr halt über den Router in Netz 1 laufen, da ich sonst keine Internetverbindung habe. Die verwendete FRITZ!Box hat leider kein VLAN und ein 2. Kabel für den Gast-LAN-Port geht leider auch nicht.

flaglich

30.12.2016, 00:50

@SYSCrashTV

Netzwerk funktioniert idR bidirektional. Es muss in beide Richtungen funktionieren. Wenn kein Rechner aus Netz 1 eine Route in Netz 2 hat, kann auch kein Rechner aus Netz 2 Geräte in Netz 1 aufrufen. D.h. aufrufen können sie schon, aber da sie nie eine Antwort erhalten geben sie nach dem Timeout auf.

Wenn du allen Verkehr von netz 2 nattest, können die natürlich Geräte in Netz 1 erreichen, also lass das. Die Formulierung meiner nat-regel ist da etwas anders, vielleicht funktioniert es genau so. Wenn nicht musst du die Regel 3 und 4 noch etwas umstellen.

Den Aufbau hatte ich mir übrigens so vorgstellt wie in deiner Skizze.

Hallo, hier gibt es folgende Konstellation:
Eine Fritzbox dient als Router und hostet das Primärnetz. Wie Fritzen das standardmäßig machen, ein 192.168.178.0/24 Netz.
In diesem Netz hängt an einer fixen IP-Adresse ein Asus-Router, der ein 192.168.1.0/24er Netz hostet. In diesem hängt per statischer IP ein DNS-Server - dieser soll auch aus dem 178-er Netz erreichbar sein.

Wie kann ich diesen vernünftig freigeben?

Der Asus-Router unterstützt WAN-DMZ, muss ich das nutzen?
Kann ich das nur per Portfreigabe einrichten? An welchem Router müsste ich dann was einstellen?

Mir ist klar, dass es kein echtes Subnet ist sondern lediglich ein kaskadiertes System. Müsste doch trotzdem gehen (hoffentlich?)

...zur Frage

OpenWRT Router mit WLAN verbunden soll eigenes WLAN erstellen?

Hallo, wie in der Frage schon steht habe ich einen Router mit OpenWRT, der mit meinem WLAN verbunden ist und über LAN zu meinem PC bridged. Nun möchte ich aber zusätzlich noch ein WLAN mit dem OpenWRT-Router erstellen, ist dies möglich? am besten wäre es auch wenn mein Hauptrouter nur die IP des OpenWRT-Routers verwalten müsste und nicht alle Geräte des OpenWRT-Routers, derzeit ist dies nämlich so.

Vielen dank für eure Antworten! :)

...zur Frage

Wie kann ich Routing in bestimmte Netze verhindern?

Nehmen wir mal an, ich habe ein Netzwerk, wo sich mein PC und ein entsprechender WAN-Router befindet. Dieses Netz hat die 192.168.2.0/24. Dieser Router bezieht seinen Internetzugang über ein anderes Netzwerk, in dem er eine IP hat und über das er dann den Internetzugang bereitstellt, dieses Netz ist 192.168.1.0/24.

Wenn ich nun ins Internet navigiere wird die Verbindung von meinem PC an den WAN-Router geleitet, welcher sie dann ins 192.168.1.0-Netz routet, von dort werden sie dann mittels Internet-Router entsprechend ins Internet geroutet.

Nun kann ich ja aus meinem 192.168.2.0-Netz auch auf Geräte im 192.168.1.0-Netz zugreifen. Gibt es dafür eine Möglichkeit dem WAN-Router, dass wenn Anfragen ans 192.168.1.0-Netz direkt gestellt werden, dass diese verweigert werden?

Sinn und Zweck davon soll es sein, dass dass 2. Netzwerk, welches ja hinter dem 1. Netzwerk ist keinen Zugang auf dieses hat, sondern halt nur auf dem Router, damit es ins Internet gehen kann, z.B. 192.168.1.1, aber keine anderen Geräte wie 192.168.1.12 oder andere. In die andere Richtung ist dies ja durch das Deaktivierte IPv4-Routing möglich (vom 1. ins 2. Netz) aber andersrum funktioniert das leider nicht.

Wichtig ist, dass das 1. Netzwerk davon nicht betroffen sein soll, also dort sich alle Geräte weiterhin unterhalten sollen, genauso wie im 2. Netz intern auch.

...zur Frage

Router Subnetz erstellen?

Hallo an alle da draußen,

in der letzten Zeit habe ich mich mal ein wenig mit dem Thema "Router" (eigentlich ja SOHO-Router, also Switch, Accesspoint, Router und Modem in einem) beschäftigt und bin zu folgender Frage gekommen:

Wenn ich zwei Router hintereinander schalten möchte (Hauptrouter und Subrouter), dann muss man ja eigentlich nur den Hauptrouter mit dem DSL verbinden und den Subrouter via WAN-Port und Einstellung "statische oder automatische IP" mit einem LAN-Port des Hauptrouters.
Der Hauptrouter hat ja dann sein LAN-Netz und der Subrouter bekommt gesagt welche IP er am WAN-Port (also im LAN des Hauptrouters) hat und er bekommt die Hauptrouter-IP als Gateway eingestellt.

Jetzt hätte man ja zwei Netze:

Das Haupt-LAN-Netz des Hauptrouters.
Das Subnetz des Subrouters (siehe LAN-Einstellung am Subrouter).

In meinem Fall bestünde das Hauptnetz nun aus statischen IPs aus dem Adressbereich 192.168.0.X und das Subnetz aus automatisch via DHCP vergebenen IPs des Adressbereichs 192.168.1.X .

Wenn bis hierhin nichts zu korrigieren ist, dann kommen wir jetzt zu meinen diesbezüglichen Fragen:

Kann ich mit einem Rechner aus dem Subnetz auf das Hauptnetz zugreifen?
Kann ich aus dem Hauptnetz auf das Subnetz zugreifen?
Muss ich bei der Konfiguration der Geräte im Subnetz noch irgendwelche Dinge beachten, oder ist es in Ordnung, wenn ich den Geräten einfach sage "sucht euch alles selbst" (IP, DNS und Gateway) und schon loggen die sich einfach selbst ins Subnetz 192.168.1.X ein?

Hier zur Verdeutlichung noch eine Skizze zur Frage:

...zur Frage

FritzBox an anderem Router anschließen und eigenständiges Netz aufbauen?

Hey, ich habe daheim eine FritzBox und möchte eine andere daran anschließen. Das habe ich in den Einstellungen unter Internet und weiterer Internet Anbieter und dann an Lan1 anschliessen eingestellt.

Soweit hat es gut funktioniert, jedoch ist es nun so, dass jedes Gerät, welches ich in meinem zweiten Router anschließe, dann auch in der Haupt Box angezeigt wird. Dabei wird das Gerät dann nur als Ip Adresse eingeloggt.

Mein Ziel wäre, dass ich meine Geräte an die zweite FritzBox anschließe und diese nur bei dieser und nicht auch auf dem Haupt-Modem eingeloggt werden. Ich möchte quasi ein zweites Heimnetz system aufbauen, von welchem nur die gesammelten Daten über eine Ip in das Netzt gehen.

Hoffentlich war das soweit verständlich. Viel Spass beim Antworten :D

...zur Frage

Vodafone Fritzbox Loginpage (192.168.178...) ist über subnetz (192.168.0..) erreichbar, warum?

Bin Vodafone Kunde.
Meine Wohnung ist in mehrere kleinere Netzwerke aufgeteilt. Für Smart Home ein Netzwerk. PC (Arbeitszimmer) ein anderes netzwerk. Und Spiele Konsolen, PC und Handys anderes Netzwerk. Alle nutzen den Internet Zuagng über Fritzbox. Netzwerkkabel. Wlan am Fritz aus. Dafür an den einzelnen Routern eingeschalten.

Nun ist meine Fritzbox Configurations Oberfläche 192.168.178... von jedem an den einzelnen Routern angeschlossene, oder Wlan angebundene Computer erreichbar.
Obwohl jedes Router ein anderes Subnetz IP bereich verwaltet. 192.168.0..., 192.168.1.... usw... auch die IP adressen sind dem Subnetz entsprechend vergeben.

Warum ist mein Fritzbox oberfläche erreichbar ?? Wird der Gateway vielleicht in die DNS auflösung auf den Routern miteinbezogen ??

Hab da leicht panisch reagiert. Mein ziel war ja, die netztwerke voneinander zu trennen. so dass der Fritzbox nur angeschlossenen(LAN) von dem Laptop direkt angesprochen werden sollte, zwecks Configuration.

Weis jemand rat ??

...zur Frage

Wie verbinde ich 3 Router miteinander?

Ich habe 3 Räume -> Raum 1 - 52 Rechner ; Raum 2 - 28 Rechner ; Raum 3 - 7 Rechner ; In jeden Raum habe ich einen Router (mit 1 FastEthernet Schnittstelle & 2 serielle) Router 1 hat die IP 192.168.1.0/26 ; Router 2 hat die IP 192.168.1.192/27 ; Router 3 hat die IP 192.168.1.224/28 ; Meine Aufgabe ist es jetzt die Netze miteinander zu verbinden, wie geht das? Ich hab Hubs & Switches ausreichend zur Verfügung. Wenn es geht bitte bildlich beschreiben. :D Ich bedanke mich schon einmal im Voraus. :)

...zur Frage

IPs über wireguard nicht erreichbar?

Mein wireguard-server (wg-easy) hat in meinem Heimnetz die IP 192.168.178.11. Die conf-Dateien:

# Server
[Interface]
PrivateKey = <key>
Address = 10.8.0.1/24
ListenPort = 51820
PreUp = 
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; 
PreDown = 
PostDown = 


# Client: iphone
[Peer]
PublicKey = <key>
PresharedKey = <key>
AllowedIPs = 10.8.0.2/32

Auf meinem iPhone, über Mobilfunk (sowohl Telekom als auch Vodafone Netz) kann ich eine Verbindung aufbauen und erreiche alle IPs. Auch, wenn ich mein iPad mit dem Hotspot verbunden habe und darauf den VPN aktiviert habe, konnte ich alle Geräte erreichen.

Wenn ich in einem anderen WLAN bin (auch 192.168.178.X), kann ich weiterhin eine Verbindung aufbauen und komme auch ins Internet. Allerdings erreiche ich die IPs nicht mehr. 192.168.178.11 (der wireguard-host) ist im Gastnetz z.B. nicht vergeben, kann aber trotzdem nicht gepingt werden.

...zur Frage

Fragen zum DHCP?

Sagen wir ein Host fragt nach einer IP und der DHCP Server antwortet und schickt auch ein DHCP Pack mit (Subnet, Default Router, static routing table entries, etc.)

Wenn mein Host Windows ist. Warum soll es mich interessieren in welchem Subnet ich bin?

Wofür braucht mein Windows Rechner das Wissen über statische Routingeinträge? Forwarding anhand von Routingeinträgen ist doch nicht meine Aufgabe, sondern die eines Routers der wo anders sitzt?

...zur Frage

Welche Adresse dem Router geben?

Ich soll dem Router die letzte Host IP Adresse geben. Es sind 4 verschiedene Subnetze. Wäre die Adresse 172.33.0.254 richtig?

...zur Frage

PFSense - Routing mit WireGuard?

Guten Tag,

ich habe einen Hetzner-Server mit PFSense und Proxmox. Alles schön und gut, läuft soweit. Jetzt möchte ich einen Server mit WireGuard anbinden. Die WireGuard-Verbindung steht, allerdings time ich aus, wenn ich eine Verbindung aufbauen möchte. Es lief einmal kurz, allerdings nach dem 2. Peer nicht mehr. Ich vermute, dass es am Routing liegt, allerdings habe ich davon keine Ahnung. Das Server-Netz hinter der PFSense hat das Subnet 10.10.1.0/24 und das Wireguard-Netz das Subnet 10.30.1.0/24. Welche Gateways/Routen muss ich an der PFSense anlegen, damit ich auf das Server-Netz hinter der PF zugreifen kann über WireGuard?

Danke für jede Hilfe!
LG

...zur Frage

Ein Netz in 12 Subnetze aufteilen?

Hallo Zusammen, kann mir jemand bei dieser Aufgabe helfen? Ich hab die IP : 192.168.1.0 Diese soll ich in 12 Subnetze einteilen und jeweils die Broadcastadressen, Netzadressen und Anzahl der Ip Adressen pro Netz ermitteln.

Vielen Dank!

...zur Frage

IP-Kamera in Subnetz "abklemmen"?

Ich habe einen Router und dort ein Gastnetz konfiguriert. Dieses Gastnetz gehört de facto jemandem, ist also nicht (mehr) verfügbar.

Und dann habe ich eine Webcam. Alt und sicherheitstechnisches Sorgenkind. Ja, ich könnte sie tauschen, doch sie tut es noch für ihre beschränkten Zwecke. Sie hat eine fixe IP, die ich jedoch konfigurieren kann.

Gibt es eine Möglichkeit, dass ich sie so schalten kann, dass, wenn man sie hackt, weder ins Hauptnetz, noch ins Gastnetz kommt? Ich stelle mir das so vor, dass ich mit der Konfiguration von IP-Nummern oder Subnetzen so einstelle, dass ich zwar in die Netzregion der IP-Kamera zugreifen kann, doch die IP-Kamera nicht ins Hauptnetz. Sie soll sich für den Mittelpunkt des Netzes halten und es nicht sein.

Geht das? Wenn ja, bitte langsam für dummies.

...zur Frage

Routing Tabelle bei zwei Netzwerkkarten unter Windows?

Ich habe zwei Netzwerkkarten auf einem Insel-PC. Die eine hat IP-Adresse eth0/192.168.1.10/Subnet 255.255.255.0, die andere eth1/192.168.2.10/Subnet 255.255.255.0

Nun möchte ich von einem Lokalen Client, der auf 192.168.1.10 läuft eine Verbindung zu einem server auf 192.168.2.11 aufbauen.

Wie muss ich die Roting Tabelle einrichten, damit der Request an das richtige Interface (eth1) geleitet wird?

Destination       Gateway        Netmask               Interface
192.168.2.11      ????????       255.255.255.0         eth1

Ich weiß nicht, was ich hier unter "Gateway" eintagen soll. Wenn dann die Antwort von 192.168.2.11 auf eth1 zurückkommt, muss diese wieder geroutet werden? Sie muss ja an den Client gehen, der auf 192.168.1.10 läuft. Die Karte eth1 weiß von dem ja nichts...wie richte ich das nun ein? Ist es erforderlich, auch hier einen Eintag in die Tabelle zu machen? Oder weiß das Betriebssystem automatisch was zu tun ist?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen