Einzelne Privat IP am VPN des FF Routers vorbei leiten zum Privat Router

Folgende frage wurde an mich herangetragen:

gibt es eine Möglichkeit z.B. per IP Tabels eine IP vom VPN Auszuschließen und sofort auf den WAN Port weiter zu leiten? Hier geht es um die Privat IP 192.168.178.200 des Haupt Routers die im FF Netzwerk zur Verfügung stehen soll.

Das wäre doch ein klarer Anwendungsfall für das „Private Wlan“, dass man aktivieren kann und das dann transparent auf den WAN brückt (dann sogar mit WPA2).
Oder muss es unbedingt via SSID Freifunk sein?

VG
Kai

Hmm. Der Anfrager möchte also irgendwo in Eurem Freifunknetz sitzen und seinen Router unter 192.168.178.200 ansprechen können? Ihm/Ihr ist klar, daß das dann auch jeder aus dem Freifunknetz könnte?

Technisch hängen die Clients ja im Mesh, das Routing erfolgt auf den (Gluon-) Gateways (z. T. auch als „Supernode“ bezeichnet) – sprich: auch wenn ich mit meinem Smartphone über meinem Knoten zu Hause verbunden bin, die eigentliche IP-Verbindung existiert nur auf dem Gateway (dafür sorgt das VPN). Vor dem Gateway gibt es keine Eingriffsmöglichkeiten in den WLAN-Datenverkehr auf IP-Ebene (man könnte vielleicht auf Ethernet-Ebene mit ebtables Schindluder treiben, ob aber den Traffic zu einer MAC-Adresse von einem Interface auf ein anderes umzuleiten funktioniert, weiß ich nicht). Nächste Hürde: die Knoten haben gar keine IPv4-Adresse im Mesh; damit können sie auch nicht als Routingziel dienen (sprich: die Gateways könnten, selbst wenn sie wollten, keine IPv4-Geräte außerhalb des Meshes auf einem anderen Interface eines Knotens erreichen).

Kurz und knapp: eher nein. Nicht ohne größere Eingriffe ins gesamte Netz (Gateways, lokaler Knoten muß IPv4 sprechen, …).

Dyndns-Client auf den Router und dann direkt aus dem Internet darauf zugreifen. Ob er im FF oder im Internet hängt ist egal, in beiden Fällen müsste er sicher abgesichert sein. Also dies auch nur mit Routern machen, die regelmäßig Sicherheitsaktualisierungen bekommen.

2 Likes

Zumal diese IP Ranges auch in vielen Communitys durch filter Regeln unterbunden werden :smile:

Naja, intern im Mesh kann ich ja RFC1918 routen, wie ich lustig bin; Peering mit v4 ist aus meiner Sicht eh’ nur 'ne Fingerübung, im Grunde sollte man sich auf v6 fokussieren … (Ja, v4 im Exit und für’s Resolving wird man noch jahrelang brauchen; aber im FF-Netz Angebote hochziehen mit v4 ist irgendwie … komisch). Aber um ICVPN-Erreichbarkeit ging’s dem TS imho auch nicht :wink: