Router hinter dem Gastzugang der Fritzbox / Lösung für VPN

Hallo,

ehe sich andere vielleicht mal einen Wolf suchen: Ich musste den TP-Link aus dem lokalen LAN verbannen, da es eine unerklärbare Störung gab, da sich ein internes Gerät nicht mehr aussen verbinden konnte. Ich hatte also geplant den FF Router auf LAN 4 der Fritzbox zu legen, und hier den Gastzugang zu aktivieren. Nach dem umpatchen bezog der FF Router keine IP mehr, und tauchte im Graph ohne Upink auf. Machen wir es kurz. Ich der Standardeinstellung der Fritzbox ist im Gastbereicht nur das Standard-Gezumpel wie Port 443, 80 etc. nach aussen offen. Für den Anbindung an den Backbone will der FF Router per VPN über Port 10000 nach draussen. Wer also vor dem gleichen Rätsel steht: In den Filterregeln der Fritzbox für den Gastzugang o.g. Port freischalten und schon geht es.

5 Likes

Und ab der 2014.3.1 versucht der FF-Router zuerste IPv6. Wenn er eine solche auf dem WAN bekommt (von der Fritzbox), dann geht’s raus über einen anderen Port. 10010 (?)
Ich kann’s hier jetzt gerade nicht schauen, nur damit ihr schaut, dass es evtl. noch woanders dran liegen könnte, wenn es trotzdem nicht geht…

Hallo,
ich musste zusätzlich die Fritzbox (7390) neu starten, damit der FF dahinter funktionierte, nach abschalten der Filterregeln. Mag aber auch ein Einzelfall sein :wink:

Jetzt, nachdem dieses funktioniert, wird FF für mich brauchbarer :wink:
Vorherige störende Aspekte

  • IPv6 Advertisement auf der WAN Schnittstelle ins Heimnetz, obwohl in der Fritzbox disabled (Problem mag auch in der Fritzbox liegen)
  • Hoher Broadcast Traffic im Heimnetz durch batman/alfred (open mesh)
1 Like

Hi,
ich habe bezüglich FB-Gastzugang einen Beitrag geschrieben was alles zu tun ist.
FB an Gastzugang.

Noch ein Beitrag mit Freifunk in einer DMZ.
Freifunk in Firewall DMZ

Vielleicht hilft Euch das.

3 Likes

Danke für deine Zusammenfassung. Da mein Internet auch aus einer FritzBox fällt, ist die Trennung über den Gastzugang eine tolle Sache, werde ich ausprobieren.

die gewählte Portrange erscheint mir aber doch SEHR breit.

Sollte 53/UDP für DNS und 10000/UDP für fastd plus evtl. Port80 für ein wget eines update-Images „ausserhalb des Tunnels“ nicht ausreichen?

Ja, da hast Du schon recht, aber ich wollte mich in etwa am AVM-Regelwerk orientieren, welches ja auch nicht so strickt ist. Ansatz war nur, den default-Filter vom Gastnetz für FF fit zu machen. Den UDP-Portrange könnte man auch verkleinern, aber ich brauch schon mehr Ports wenn ich mit mehreren Knoten arbeite. Und immerhin handelt es sich ja bei diesem FIlter nur um ausgehenden Traffic. Und obacht, der Filter auf dem Bild zeigt alles was gesperrt wird und nicht was offen ist.

Wenn man theoretisch eh Freifunk bereitstellt, könnte man sich dann nicht seinen normalen Gastzugang sparen? Oder belastet das die FF-Infrastruktur unnötig?

Genau dafür ist es gedacht. Zumal ein billiger WR841N dank der guten Antennen auf 2.4GHz deutlich weiter „spielt“ als die Antennenstummel im Gehäuse der Fritzbox, die zudem wegen des immensen Kabelverhaus meist gar nicht an funktechnisch sinnvolle Stellen gehängt/gestellt werden kann. Kabel zu kurz oder zu schwer für einen sicheren Stand.

Danke schonmal für die weitergehenden Infos! :blush:

Ein paar Fragen noch zur Klarstellung.

Wenn ich auf meinen bisherigen Gastzugang verzichte, brauche ich also nur Port 10000/UDP und Port 53/UDP in beiden Richtungen zuzulassen?

Was wäre ein Szenario, in dem ich z.B. Port 10000-10010 brauche?

Freigabe von Port 80/TCP wird für automatisierte Updates gebraucht, oder kommen die in der Regel über den Tunnel?

Entschuldigt bitte, wenn ich so genau nachfrage. Ich bin noch gewohnt nicht ein Bit aus dem Netzwerk zu kriegen, wenn ich den Infrastrukturleuten nicht vorher begründet habe, was wo wann warum ankommen muss. :wink:

1 Like

Wenn man den Gastzugang nur für Freifunk verwenden will braucht man folgende Portliste und man kann sogar das Gast-WLAN deaktivieren. Am LAN-Port 4 ist weiterhin das Gastnetzwerk aktiv, vorausgesetzt man hat das Häckchen dafür gesetzt.

1 Like

Super! Eine Frage noch - meines Wissens nach kommt DNS über UDP. Ist das bewusst gewählt oder macht das in der Praxis keinen Unterschied?

Eine DNS-Regel für ausgehenden Traffic sieht auf einer „echten“ Firewall normalerweise so aus.
DNS TCP/UDP TCP(1:65535)/(53), TCP(1:65535)/(53)
D.h.: Eine saubere DNS-Portregel für ausgehenden Traffic beinhaltet TCP und UDP wobei die Verbindung mit TCP realisiert wird.

Bei einer FB sollte man wissen:

  • Am Gastzugang können meines Wissens keine Portfreigaben für eingehenden Traffic definiert werden. Hier können nur Regel (Filter) für den ausgehenden Traffic erstellt werden. (Wie in Liste oben)
  • Am normalen LAN-Port einer FB können Regel für eingehenden Traffic (Freigaben) erstellt werden und optional Regeln (Filter) für ausgehenden Traffic erstellt werden.
  • Im Auslieferungszustand sind eingehende (WAN to LAN und WAN to Gastzugang) Verbindungen überall deaktiviert und ausgehende Verbindungen (LAN to WAN) alles erlaubt. Und beim Gastzugang kann man den Filter alles außer Mail und Surfen einstellen, oder er ist default aktiv, um so zu verbieten, dass am Gastnetz Unsinn getrieben wird. Mit diesem Filter funktioniert aber Freifunk nicht, da keine UDP-Ports und kein DNS-Port freigegen sind. Deshalb die angepassten Filter wie oben den Beiträgen.
  • Für den Freifunk Betrieb am LAN-Port braucht nichts eingestellt werden, da ja alle ausgehenden Verbindungen erlaubt sind.

Mein Freifunk-Router läuft jetzt hinter der Fritz!Box an LAN4 über den Gastzugang. Wie sieht es jetzt eigentlich an den LAN-Ports des TP-Link aus, könnte ich da z.B. eine oder mehrere Nanostation LocoM2 anklemmen? Theoretisch kommt an den LAN-Ports ja schon Freifunk raus?

Ohne Config-Operationen an dem TP-Link könntest Du die Locos dann nur als AP-Bridge (ohne gluon) betreiben.

Es gibt aber irgendwo(? url gern genommen= einen Patch, um Gluon WAN und LAN tauschen zu lassen und so einen WAN-Switch zu erhalten.

Also ohne Trickse wäre es dann wohl -
Fritz!Box LAN4 → Switch mit Power over Ethernet → TP-Links / Uquitis mit Gluon?

Ich warte ja immernoch darauf, dass irgend ein Spielkalb einen großen Haufen 841er auf einen Schreibtisch stellt (oder noch besser: mehr Dutzend VMs mit fastd und alfred aufsetzt) und dann mit ausgedachten Koordinaten in 100km hohen Lettern auf die Karte „schreibt“ „BVB 09“ mit einem (ansatzweise) Kreis drumherum…

2 Likes

Ich habe den Gastzugang an der FB 7362 SL für Freifunk eingerichtet ich musste die auch komplett neu starten bevor es funktioniert hat.

Es gibt Geocacher, die genau dies tun, da bei Mystery-Caches die Koordinaten eh nur ausgedacht sind.
Ist hier irrelevant, aber ich musste dran denken :smiley:

Wieso so viele VMs? Die Daten können einfach so in das Netz gestellt werden.