Mein Router hängt per WAN an meinem Heimnetz hinter der FritzBox. Ich möchte gerne meinen Media-Rechner über einen LAN-Port per Kabel in das Freifunk-Netz hängen, dieser soll aber über das LAN auf SMB-Freigaben meiner NAS zugreifen können, die im WAN-Netz steht und auch dort bleiben muss.
Wie ich es lese wäre eine Portfreigabe zwischen den Media-Rechner und der NAS eine gute Option, was man über /etc/firewall.user machen könnte. Das bedeutet, ich muss beide Rechner in der FW-Regel korrekt benennen. Da kriege ich gerade einen Knoten ins Hirn. Die NAS kann ich direkt als IP-Adresse benennen, das ist kein Problem. Doch der Rechner am LAN wird ja vom DHCP des Routers mit einer IP versorgt, die sich ja ändern könnte. Die MAC-Adresse ist wie ich es lese im FW nicht erlaubt, auch der Hostname scheint keine Option zu sein ala „dest_hostname“. Oder kann man gezielt ein bestimmtes Port am Switch als src/dest in einer FW-Regel verwenden?
Habt ihr Ideen dazu? Würde ein generelles NAT mit Masq für die SMB-Ports zwischen LAN und WAN das Problem lösen? Ich möchte auf gar keinen Fall ein offenes Tor in Richtung FF-WLAN oder für alle FF-Knoten in der Community herstellen.
Habt ihr da Tips für mich? Würde mich sehr freuen.
Ich habe heute versucht, in der Datei „dhcp“ in Sektionen „config host“ die statische Zuordnung bestimmter IP-Adressen zu mac-Adressen zu erledigen. Tut leider nicht wie erwartet :-(. Ich habe folgendes eingefügt:
— snip —
Feste IPs für KodiBox und Notebook (zum Test) vergeben. Bei der Konfiguration von lan
startet DHCP bei der Grundadresse n+100, also meine ich es wäre gut unter 100 zu starten,
zb auf der bisher zugeordneten Adresse des Notebooks -20
config host
option ip ‚10.142.113.50‘
option mac ‚F0:DE:F1:B6:4E:D3‘
option name ‚LenovoNotebook‘
config host
option ip ‚10.142.113.51‘
option mac ‚4C:52:62:12:FC:13‘
option name ‚KodiBox‘
— snip —
Nach „/etc/init.d/dnsmasq reload“ bzw reboot bekommt der Rechner mit der überprüften mac-Adresse eine andere IP-Adresse als gestern zugewiesen, leider nicht die gewünschte. Der Befehl „swconfig dev switch0 show“ liefert anders als vor der Änderung eine Liste vom Mac-Adressen (?woher?). Hier dieser Teil der Ausgabe:
— snip —
Global attributes:
enable_vlan: 1
ar8xxx_mib_poll_interval: 500
ar8xxx_mib_type: 0
enable_mirror_rx: 0
enable_mirror_tx: 0
mirror_monitor_port: 0
mirror_source_port: 0
arl_table: address resolution table
Too many entries found, displaying the first 100 only!
Port 0: MAC 16:62:56:fc:da:30
Port 0: MAC 0a:fb:97:e1:62:ad
Port 0: MAC 9e:a8:7e:3e:54:26
Port 0: MAC be:21:17:28:ad:d2
— snip —
Wobei jetzt nach dem Ersetzen der Datei durch das Original und dem Reboot des Routers diese Liste mit den Mac-Adressen immer noch in der Ausgabe ist, habe ich mich getäuscht und sie gehört immer dazu?
Soweit meine aktuellen Versuche. Vielleicht kann mir jemand helfen, dass ich in die richtige Richtung schaue…
Die Freifunk Knoten sind bei uns weniger Router und mehr Switche. Auf denen passiert also kein Routing. Das Routing, der DHCP Server und NAT bzw. Firewall Sachen passieren erst bei der durch den Verein gestellten Gateway Infrastuktur. Der Freifunk Knoten mesht (baut Verbindugen auf, sorgt dafür das Knoten per Kabel und WLAN gleichzeitig verbunden werden können usw.) nur. Aber alles nur auf Layer 2.
Die Freifunk Knoten haben auch keine IPv4 innerhalb des FFRN Client Netz. Einzig eine IPv6. Ein Port Forwarding wäre insofern aus dem Client Netz per IPv4 gar nicht möglich da der Knoten gar nicht angesprochen werden kann.
Es wäre nun technisch möglich für IPv6 Forwarding zu bauen, ich würde aber doch aus verschiedenen Gründen davon abraten:
das FFRN Client Netz ist absolut öffentlich. Es ist nicht sinnvoll möglich nur deinem Rechner oder Geräten zugriff zu erlauben. Es kann im Prinzip alles umgangen werden.
es ist leider nicht möglich solche Anpassungen dauerhaft mit unserer Firmware zu konfigurieren. Beim nächsten Update wird es kaputt gehen. Hoffentlich in einer Art und Weise die den Schutz nicht kaputt macht.
An deiner Stelle würde ich wohl über ein VPN nachdenken. Sei es Wireguard über die FritzBox oder ein etwas komplizierteres Overlay Netzwerk Konstrukt mit Nebula/Tailscale/ZeroTier oder wie sie alle heißen.
Ansonsten könnte man Noch über einen zweiten Netzwerkadapter für deinen Rechner nachdenken um in beiden Netzen gleichzeitig zu sein. Das würde dann auch die volle Geschwindigkeit bewahren.
Wobei die Konfigurationsmöglichkeiten (im Falles das du was anderes als „Linux“ benutzt) ggf. ein beschränkender Faktor sein könnten.
Vielen Dank für die Aufklärung, da hatte ich wohl die falsche Vorstellung. Ist denn die Zone LAN ebenso wie die Zone WLAN im FF-Netz so dass ich jedes durchgeschleifte Port dort veröffentlichen würde? FW4 ist aber aktiv, ich könnte also da ein Loch bohren - wenn dieses allerdings automatisch in die Öffentlichkeit führt bringt das nichts.
Ich glaube die Sache wird zu kompliziert. Die zweite Netzwerkkarte scheint gut zu sein, nur dann muss ich mich auf diesem Rechner um ein passendes Routing bemühen. VPN ist auch eine Idee, aber dann muss ich immer noch dafür sorgen, dass SMB ohne VPM direkt auf die Netzwerkkarte geht.
Es gibt zwar die Firewall Zone LAN. Mir ist aber gerade so als ob die nicht zum Einsatz käme und nur ein Überbleibsel von der Standard OpenWrt Config ist. Aber ich habe das jetzt nicht verifiziert.
Die Firewall an sich gibt es um dein privates LAN und das Freifunk Netz voneinander abzuschirmen. Das ist soweit schon richtig.
Aber da der Router keine IPv4 im Freifunk Client Netz hat ist das ganze auch relativ egal.
Aktuell kommt noch FW3 (mit iptables) zum Einsatz. Die Migration zu fw4 steht noch an.
Ich würde dir raten die Idee mit der Firewall Modifiaktion zu verwerfen. Es ist nicht sinnvoll möglich.
Eine andere Möglichkeit welche mir noch einfällt wäre (falls dein Freifunk Router kein swconfig verwendet) das Uplink Netz per tagged VLAN auf dem Port an dem dein Rechner hängt auszuleiten. Das wäre (eben unter der Voraussetzung das dein Modell kein swconfig mehr verwendet und auf DSA umgestellt wurde) auch upgradefest möglich. Im Prinzip wäre das dann wie die zweite Netzwerkkarte.