zunächst einmal vielen Dank für die Arbeit am Projekt und die Mühe beim Erstellen der Flash-Images!
Komplikationsfrei habe ich einen TP-Link WDR4300 mit einem entsprechenden Image flashen können. Dieser läuft auch an einer Fritzbox als Boarder Device einwandfrei … mit einer kleinen Einschränkung.
Kurz zur Erklärung:
Auf der Box läuft ein Linux-netfilter-Paket, welches den Zugriff auf die Box selbst (INPUT) aus jeglichen Richtungen (lan,dsl) auf ein absolutes Minimum beschränkt. Wenn ich nun den Freifunk-Router ans LAN der Box anschließe, ergeben sich folgende LOGS:
Offensichtlich erzeugt der Zugriff auf 's Freifunk-Netz Netzverkehr vom DSL-Device (mit der öffentlichen IP) auf das LAN-Device der Box selbst (192.168.*.1). Nur ungern würde ich eine Regel hinzufügen, die den gesamten Traffic vom dsl-Device auf die Box selbst gestattet …
Das bedeutet, daß mit den geladenen netfilter-Regeln aktuell kein Traffic von und zum Freifunk-Netz zustande. Für eine Idee diesbezüglich wäre ich sehr dankbar !
Beste Grüße,
danke für die Antwort - obwohl sie mich etwas irritiert: UDP Port 53 wird für alle Clients im LAN der Box im FORWARD erlaubt, ebenso wie im INPUT. Daran dürfte es eigentlich nicht liegen … zumal in den Logs explizit Port 80 TCP auftaucht …
Frohe Ostern,
Ich brauche etwas Zeit, um die TCP-Header in Source, Dest, Port, Proto usw. zu dekodieren.
Immer noch gibt es im WLAN-Netz des WDR4300-FF-Routers keinen Internetzugang. Wenn ich die Firewall auf der FritzBox ausschalte, schon.
Grüße,
ich verstehe nach wie vor nicht, was da passiert ist.
Verstehe ich richtig „Box“ ist hier der NAT-Router „vor“ dem FF-Router?
Und der FF-Router (Gluon?) versucht beim Start (oder ständig?) auf das lokale WAN-Gateway auf Port 80 zuzugreifen?
Was würde der da denn zu holen versuchen? Da würde mich mal die URL interessieren.
Paket kommt von außen: IN=dsl. Genaueres kann man nicht sagen, da ja die IP-Adressen manuell verstümmelt wurden. Warum eigentlich? Es fällt niemanden etwas ab wenn die korrekten Adressen angegeben werden.
kurz zu Euren Fragen:
Der FF-Router hing am LAN eines Routers (Fritzbox), der die I-Netverbindung herstellt.
Verwendet wird die Gluon-FW.
MIttlerweile hängt der FF-Router in einem speziellen Subnetz der Fritzbox, dem Gastzugang (192.168.179.0/24).
Entscheidend für den I-Netzugriff der Geräte im Freifunk-WLAN waren, wie der Trickreiche schon korrekt dargestellt hat, Zugriffsmöglichkeiten in der FORWARD-Chain für dieses Subnetz auf Port 10040 UDP. Damit lief es … gestern. Heute ergab sich, bei über Nacht abgeschaltetem FF-Router, wieder Folgendes:
(Nun auch mit vollständigem TCP-Header … )
Erst nachdem ich eine Regel
iptables -A INPUT -i guest -j ACCEPT
eingefügt habe, läuft der I-Net-Zugriff im FF-WLAN. Um ehrlich zu sein, gefällt mir diese Regel nicht so gut … bedeutet sie doch, daß jeder, der physischen Zugriff auf den FF-Router hat, per LAN-Zugang an diesem auch Zugang zur Firtbox hat …
Das widerspricht der Idee des Gastzugangs, also der kompletten Trennung zwischen LAN des (Haupt-)Routers und des Gast-(W)LANs komplett.
Grüße,
JD.
Edit:
Offensichtlich möchten auch die Supernodes Zugriff auf den ersten Router:
Bist Du sicher, die relevanten Dienste auf dem FF-Router neu gestartet zu haben nach Änderung auf seiner Versorgung mit WAN (am einfachsten: Reboot)?
Da ich echt keine Lust auf Rätselraten habe, werde ich mich jetzt hier ausklinken bis zu dem Zeitpunkt, wo hier Ross und Reiter genannt werden, meine Kristallkugel ist nämlich gerade in der Werkstatt.
Offensichtlich handelt es sich um eine DNS-Anfrage eines Clients im FF-Netz. Diese wird scheinbar auf den DNS des Boarder-Devices umgelenkt (192.168.179.1). Vermutlich in meinem speziellen Fall daher, daß der FF-Router im Gast-LAN des Boarder-Devices hängt. Wie ich oben schrieb, finde ich das eigentlich nicht so schön - warum kann der FF-Router DNS-Anfragen seiner Clients nicht im FF-Netz beantworten und muß hierzu Zugriff auf den Haupt-Router haben ?
Grüße,
JD.
Edit: Beim Nachzählen fiel mir gerade auf, daß mit der Länge des Frames etwas nicht stimmt: Es sollten (s.o.) 59 Bytes sein, sind aber nur 54 …
Der Freifunkrouter beantwortet überhaupt gar keine DNS Anfragen aus dem Freifunk Netz. Die Freifunk Clients fragen andere Resolver, nicht den kleinen Plaste Router. Der Router selbst muß natürlich DNS Requests absetzten können (NTP, FASTD-Peers,…). Um dies zu tun nutzt er den Resolver, den er vom lokalen Router per DHCP zugewiesen bekommen hat.
Mit DNS-Anfrage meinte ich eine Anfrage vom FF-Node (192.168.179.22:9000) an den "Haupt-"Router (192.168.179.1:53). Ist mein FF-Node ein in Deinem Terminus „Freifunk-Client“ ?
Was ich nicht meinte waren Clients im WLAN des FF-Routers.
Also nochmal: Da das FF-Netz (also das Netz aus allen FF-Knoten) doch Gateways ins I-Net hat, könnten doch diese DNS-Anfragen in eben dieses laufen, also nicht vorher über eine (DNS-)Anfrage an den eigentlichen Hauptrouter ?
Könntest Du evtl. noch einmal die (topologischen) Unterschiede zwischen FF-Node und FF-Client erläutern ?
Und um auf meine Frage zurückzukommen: Es ist also erforderlich, daß ich Zugriff vom guest-Device des Hauptrouters auf eben diesen selber zulasse, z.B. für solche DNS-Requests ?
Könnte ich diesen Zugriff zumindest auf einige existentielle Ports wie z.B. UDP 53 beschränken ?
FF-Node = FF-Router: Hat Layer2 Verbindung zum heimischen Router. DNS Requests von diesem Device müssen zugelassen werden. Sonst geht es einfach nicht.
FF-Client: Client in FF-WLAN. Hat keine Layer2-Verbindung zum Router. Dieser „sieht“ auch keinerlei Traffic von diesem Device.
Für DNS sind absolut zwingend Port 53 für UDP und TCP zuzulassen. Der Client kann jederzeit von UDP auf TCP umschalten. Alle anderen im Internet kursierenden Anleitungen sind falsch.