[Solved] Eigenen Service im FF verfügbar machen (was: DNS/IP Whitelist um FF VPN zu umgehen wegen Performance)

So, hab das jetzt getestet:

  • Mit dem Laptop am gelben Port eine v4 IP bekommen und im Freifunk Netz gewesen
  • Wieder zurückgesteckt auf die Firewall und dort die dem Laptop vergebene DHCP Adresse eingetragen
  • Bei der Firewall auf dem Interface den VPN Service aktiviert
  • Mit dem Laptop ins Freifunk WLAN rein
  • Verbunden auf die Firewall IP per https und unserem VPN service Port
  • SSL Handshake funktioniert und dann geht auf einmal nix mehr weiter
  • Am Anfang ging sogar der Ping vom Laptop auf die Firewall - das geht jetzt nicht mehr

Da bin ich jetzt echt verwirrt…

Hmm DHCP Lease Time abgelaufen und die Firewall hat sich keine neue geholt?

Was möchtest Du damit beweisen? Dass Du dann einen nicht mehr Autoupdate-fähigen Freifunk-Router bauen kannst.
Sei Dir gewiss, dass es nicht lange dauern wird, bis wahlweise die Admins der von Dir genutzt Domain fluchen werden. Oder Deine lokalen Nutzenden.
Oder beide.

Einen Vorschlag, wie Du das Problem umgehen kannst habe ich oben unterbreitet. Das war Dir zu komplex.
Das was Du dort ausprobierst würde auch funktionieren, ist nur mangels Gluon-Paket und „Eincompiliert in Deiner Domain“ nicht updatefest und damit meines Erachtens extrem kritisch zu betrachten. Zumal in der Hand von Leuten die Schwierigkeiten in der Netzadministration haben wie Du sie mit dem letzten Posting schilderst.

Das ist ja das Problem das ich weiter oben schon beschrieben habe: Die Firewall mit dem VPN Service drauf unterstützt im HA modus kein DHCP - nur fixe IPs…

Ich hab ja gar nicht die Firmware angepasst. Das Forum hier kann scheinbar keinen threaded view. Ich versuche die Lösung wie von DSchmidtberg vorgeschlagen.

Ich hab folgendes gemacht:

  1. Internet → Firewall Cluster → VLAN3010 → TL-WR1043ND-WAN Buchse (das ist ja Standard)

  2. TL-WR1043ND-GelbeBuchse1 → VLAN3011 → Firewall Cluster (und auf diesem Interface Ping und VPN Service angemacht)

Die gelbe Buchse ist Client Netz (weiter oben bereits getestet). Somit sollte man innerhalb des Freifunknetzes auf die Firewall zugreifen können wie auf jeden anderen Client auch.

Das ist ja bis dahin alles Standard. Problem ist nun das die Firewall eben kein DHCP kann.

Wenn ich nun eine freie IP raussuche und das der Firewall fest zuweise macht diese dem FF-AP diese per ARP auch bekannt:

root@www:~# batctl translate 10.80.47.168
00:09:0f:09:00:07

Allerdings geht der Ping dahin eben nicht:

root@www:~# batctl p 10.80.47.168
PING 10.80.47.168 (00:09:0f:09:00:07) 20(48) bytes of data
From 10.80.47.168: Destination Host Unreachable (icmp_seq 1)
^C— 10.80.47.168 ping statistics —
1 packets transmitted, 0 received, 100% packet loss
rtt min/avg/max/mdev = 0.000/0.000/0.000/0.000 ms

Und da häng ich jetzt.

So,
haben nun einen Firewall Upgrade hinter uns.

Ich kann jetzt auf der Firewall mit HA modus einen DHCP Client konfigurieren und bekomme auch eine IP Adresse.

Bild sieht nun also so aus:
Internet → Firewall → FF Uplink → FF AP (blau)

FF AP (gelb) → Client Netz → Firewall mit DHCP client (bekommt eine 10.80.XX.XX Adresse)

Wenn ich nun per batctl t „IP Adresse“ die MAC auflösen lasse kommt die richtige MAC.

Ping ist auf der Firewall aktiviert, batctl p „IP oder auch MAC“ geht nun aber nicht.

VPN Service ist auch aktiviert an dem Interface - geht auch ned.

FF AP Konfig ist nicht verbastelt.

Was mache ich da noch falsch?

  1. Einen Ansatz wählen, der nicht installationsfreundlich ist.
  2. Dein Szenario hier nicht so dokumentieren (Text wie auch zu illustrieren (layout)), dass sich jemand findet, der es nachzuvollziehen vermag.
  3. Im falschen Unterforum posten.
  4. Ein Betreff wählen, der zumindest nach meinem Dafürhalten nicht dafür sorgt, dass diejenigen, die helfen könnten, das anhand des Betreffs erkennen, dass es für sie interessant sein könnte.

Oder drastischer formuliert: Du versuchst mit Gluon etwas zu tun wofür es nicht gebaut wurde und fragst an der falschen Stelle auf eine Weise dass es möglichst von wenigen gelesen und von noch weniger Personen nachvollzogen wird, was Du überhaupt als Szenario hast.

So, jetzt funktioniert das.
Internet → Firewall → FF Uplink VLAN → FF AP (blau)
FF AP (gelb) → Client Netz VLAN → Firewall mit aktiviertem DHCP client

Problem war, das FF Uplink VLAN und Client Netz VLAN am gleichen Port der Firewall hingen und somit die gleiche MAC Adresse hatten. Somit wusste der FF AP nicht, an wenn er das Paket schicken sollte und hat das immer an Uplink verschickt.

Jetzt hängt unser VPN Service also zusätzlich im FF Netz.

1 Like