[Illuminatum]

Hallo zusammen,
ich weiß nicht, ob mir jemand helfen kann, aber ich versuche es gerne

Ich habe einen TP-Link WR841ND mit aktuellster DD-WRT-Software (v3.0-r40189 std (07/04/19)) für dieses Modell. Werksreset durchgeführt.

Ich bin gerade dabei, das WLAN einzurichten. Das "normale" Private WLAN funktioniert ohne Probleme, aber ich schaffe es nicht, ein weiteres Gast-WLAN einzurichten. Ich habe mich an diese Anleituung gehalten: https://wiki.dd-wrt.com/wiki/index.p..._for_beginners
und das versucht:
https://wiki.dd-wrt.com/wiki/index.php/Guest_Network
Aber es funktioniert nicht. Mein Gerät sagt IP-Adresse wird abgerufen.... aber mehr nicht, als ob kein DHCP-Server laufen würde. Aber den habe ich für das Gast WLAN aktiviert. Wenn ich bei meinem Smartphone eine feste IP eintrage aus dem Subnet (10.10.10.5 /24, GW 10.10.10.254 (das habe ich beim Erstellen des Gast-WLANs als IP gewählt) kann es sich wohl mit dem WLAN verbinden, bekommt aber kein Internet.

Als ich den o.g. zweiten Weg versucht habe, hat das Smartphone immerhin wie bei Hotspots benachrichtigt, dass es kein Internet habe und zumindest habe ich eine IP vom DHCP bekommen.

Ein paar Screens:
wlan1.JPG
wlan2.JPG
wlan3.JPG

Kann mir jemand helfen?

Danke im Voraus!

MfG

[Lookbehind]

Kannst du denn den Router (also die 10.10.10.254) pingen? (Evtl ist ein Smartphone hier nicht das beste Mittel für eine Fehlersuche.)
Wenn ja, kannst du auch sowas wie 8.8.8.8 pingen? Und wie sieht ein Traceroute da hin aus?
Wie sieht deine VLAN Konfiguration aus?

[foobar]

Javascript hast du aber erlaubt, oder? Normalerweise kenne ich das Web-Interface so, dass ein Feld "NAT / Masquerade" oder so erscheint, wenn man das Netzwerk auf "unbridged" stellt. Bei dir sehe ich das aber irgendwie nicht auf den Screenshots, was ich mir im Moment nur so erklären kann, dass es per JS aktiviert wird und das bei dir nicht erlaubt ist. Kann aber natürlich auch ein Unterschied in der Firmware oder eine Inkompatibilität im Browser sein. Jedenfalls würde fehlendes NAT erklären, warum kein Internet da ist.

[Illuminatum]

Kannst du denn den Router (also die 10.10.10.254) pingen? (Evtl ist ein Smartphone hier nicht das beste Mittel für eine Fehlersuche.)
Wenn ja, kannst du auch sowas wie 8.8.8.8 pingen? Und wie sieht ein Traceroute da hin aus?
Wie sieht deine VLAN Konfiguration aus?

Hi!
Habe einen Laptop rausgekramt, damit macht das Testen etwas mehr Spaß
Die 10.10.10.254 kann ich anpingen, der Rest geht nicht, auch nicht den Google DNS. Traceroute hört bei 10.10.10.254 auf und das wars.
VLANs habe ich keine konfiguriert. Brauche ich welche?

Javascript hast du aber erlaubt, oder? Normalerweise kenne ich das Web-Interface so, dass ein Feld "NAT / Masquerade" oder so erscheint, wenn man das Netzwerk auf "unbridged" stellt. Bei dir sehe ich das aber irgendwie nicht auf den Screenshots, was ich mir im Moment nur so erklären kann, dass es per JS aktiviert wird und das bei dir nicht erlaubt ist. Kann aber natürlich auch ein Unterschied in der Firmware oder eine Inkompatibilität im Browser sein. Jedenfalls würde fehlendes NAT erklären, warum kein Internet da ist.

Ich vermute auch, dass das NAT fehlt. Aber ich bin eben nochmal der IE drauf und habe das neu konfiguriert, da ploppt nichts auf.
Übrigens, ich habe in der Zwischenzeit OpenWRT drauf installiert und hatte hier ebenfalls meine Probleme und war da jetzt so involviert, dass der Beitrag hier etwas weiter hinten angestanden hat. Am Ende lief es aber erfolgreich mit OpenWRT.
Ich bin nun aber wieder auf dd-wrt gewechselt, weil ich es eigentlich hiermit zum Laufen bringen will.

Wenn ich in den Reiter NAT gehe, kann ich lediglich Port-Forwards einrichten.
Kann es sein, dass dd-wrt das einfach nicht kann? Obwohl halt diese Funktion schon seit 2013 funktioniert:
http://tips.desipro.de/2013/12/06/gu...-setup-dd-wrt/
Ich muss dem NAT doch irgendwie sagen können, was er überhaupt natten soll?! Weil ein "WAN" gibt es bei dem Router ja nicht, ist zumindest nicht konfiguriert (er wird als reiner Access Point genutzt, soll halt zwei WLANs mit unterschiedlichen Subnetzen aufspannen).

Bringt es was, wenn ich irgendwelche iptables poste oder sowas? Kann man da mehr herauslesen?

Danke!

[foobar]

Bringt es was, wenn ich irgendwelche iptables poste oder sowas?

Probier's mal.

[Lookbehind]

Hi!
Habe einen Laptop rausgekramt, damit macht das Testen etwas mehr Spaß
Die 10.10.10.254 kann ich anpingen, der Rest geht nicht, auch nicht den Google DNS. Traceroute hört bei 10.10.10.254 auf und das wars.
VLANs habe ich keine konfiguriert. Brauche ich welche?
...

Nunja, da du das Ding ja nicht als Router, sondern als reinen AP betreiben möchtest, musst du ja irgendeine Möglichkeit haben, das Gast-Netz von deinem privaten zu separieren.
Idealerweise bridgest du dann dein AP-Netz mit dem jeweiligen VLAN.

Dein eigentlicher Router muss dann natürlich auch mit dem VLAN umgehen können.

[Illuminatum]

Probier's mal.

Hm...ich denke nicht, dass man da allzuviel auslesen kann xD

Code:

root@DD-WRT:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain advgrp_1 (0 references)
target     prot opt source               destination

Chain advgrp_10 (0 references)
target     prot opt source               destination

Chain advgrp_11 (0 references)
target     prot opt source               destination

Chain advgrp_12 (0 references)
target     prot opt source               destination

Chain advgrp_13 (0 references)
target     prot opt source               destination

Chain advgrp_14 (0 references)
target     prot opt source               destination

Chain advgrp_15 (0 references)
target     prot opt source               destination

Chain advgrp_16 (0 references)
target     prot opt source               destination

Chain advgrp_17 (0 references)
target     prot opt source               destination

Chain advgrp_18 (0 references)
target     prot opt source               destination

Chain advgrp_19 (0 references)
target     prot opt source               destination

Chain advgrp_2 (0 references)
target     prot opt source               destination

Chain advgrp_20 (0 references)
target     prot opt source               destination

Chain advgrp_3 (0 references)
target     prot opt source               destination

Chain advgrp_4 (0 references)
target     prot opt source               destination

Chain advgrp_5 (0 references)
target     prot opt source               destination

Chain advgrp_6 (0 references)
target     prot opt source               destination

Chain advgrp_7 (0 references)
target     prot opt source               destination

Chain advgrp_8 (0 references)
target     prot opt source               destination

Chain advgrp_9 (0 references)
target     prot opt source               destination

Chain grp_1 (0 references)
target     prot opt source               destination

Chain grp_10 (0 references)
target     prot opt source               destination

Chain grp_11 (0 references)
target     prot opt source               destination

Chain grp_12 (0 references)
target     prot opt source               destination

Chain grp_13 (0 references)
target     prot opt source               destination

Chain grp_14 (0 references)
target     prot opt source               destination

Chain grp_15 (0 references)
target     prot opt source               destination

Chain grp_16 (0 references)
target     prot opt source               destination

Chain grp_17 (0 references)
target     prot opt source               destination

Chain grp_18 (0 references)
target     prot opt source               destination

Chain grp_19 (0 references)
target     prot opt source               destination

Chain grp_2 (0 references)
target     prot opt source               destination

Chain grp_20 (0 references)
target     prot opt source               destination

Chain grp_3 (0 references)
target     prot opt source               destination

Chain grp_4 (0 references)
target     prot opt source               destination

Chain grp_5 (0 references)
target     prot opt source               destination

Chain grp_6 (0 references)
target     prot opt source               destination

Chain grp_7 (0 references)
target     prot opt source               destination

Chain grp_8 (0 references)
target     prot opt source               destination

Chain grp_9 (0 references)
target     prot opt source               destination

Chain lan2wan (0 references)
target     prot opt source               destination

Chain logaccept (0 references)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
LOG        0    --  anywhere             anywhere            state INVALID LOG level warning tcp-sequence tcp-options ip
-options prefix `DROP '
DROP       0    --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset

Chain trigger_out (0 references)
target     prot opt source               destination

Gibts einen anderen Befehl, der mehr infos ausgibt?

Code:

root@DD-WRT:/etc/config# cd /etc/config/
root@DD-WRT:/etc/config# ls
3hotss.webhotspot                  notifier.nvramconfig               routerstyle.webconfig
base.nvramconfig                   notifier.websecurity               schedulerb.nvramconfig
base.webconfig                     olsrd.nvramconfig                  schedulerb.sh
chillispot.nvramconfig             overclocking.webconfig             schedulerb.startup
chillispot.webhotspot              pptpd_client.ip-down               schedulerb.webalive
dhcpd.startup                      pptpd_client.ip-up                 smtp-redirect.firewall
dhcpd.webservices                  pptpd_client.nvramconfig           smtp-redirect.nvramconfig
fon.nvramconfig                    pptpd_client.options               smtp-redirect.webhotspot
fon.webhotspot                     pptpd_client.sh                    sshd.webservices
hotss.nvramconfig                  pptpd_client.startup               syslog.webservices
http-redirect.firewall             pptpd_client.vpn                   telnet.webservices
http-redirect.nvramconfig          proxywatchdog.nvramconfig          ttraff.nvramconfig
http-redirect.webhotspot           proxywatchdog.sh                   ttraff.webservices
language.nvramconfig               proxywatchdog.startup              wdswatchdog.nvramconfig
language.startup                   proxywatchdog.webalive             wdswatchdog.sh
language.webconfig                 radiooff.nvramconfig               wdswatchdog.startup
networksettings.rb532.nvramconfig  radiooff.webservices               wdswatchdog.webalive
networksettings.rb532.webconfig    routerstyle.nvramconfig

https://wiki.dd-wrt.com/wiki/index.p...e_Command_Line

Dein eigentlicher Router muss dann natürlich auch mit dem VLAN umgehen können.

Nee, VLANs wird leider nicht klappen. Die FritzBox kann einiges, aber lang nicht alles. Und VLANs schonmal garnicht

Danke soweit mal!

[foobar]

Code:

root@DD-WRT:~# iptables -L

Masquerading wäre, wenn überhaupt, in der NAT-Tabelle zu finden. Nicht in der FILTER-Tabelle. Du suchst also 'iptables -t nat -L'.

Aber:

Weil ein "WAN" gibt es bei dem Router ja nicht, ist zumindest nicht konfiguriert (er wird als reiner Access Point genutzt, soll halt zwei WLANs mit unterschiedlichen Subnetzen aufspannen).

Das war mir in meinem letzten Post entgangen (war spät, so wie heute auch, also meinen Post mit Vorsicht genießen). Wenn der DD-WRT-Router gar nicht der Router ist, dann bringt NAT natürlich auch nix. Wie Lookbehind schon sagte, muss dann der vorgelagerte Router entscheiden können, was wohin geht. Also VLANs.

Oder du konfigurierst eine Router-Kaskade. Also die Fritzbox ist der erste Router ins Internet und der TP-Link arbeitet als zweiter Router dahinter mit eigenem Masquerading (sieht für die Fritzbox dann wie ein einziges Endgerät aus). Dann muss die Fritzbox beim TP-Link als WAN eingerichtet werden (mit fester IP aus dem FB-Segment oder via IP-DHCP).

Problem: Dann brauchst du drei Subnetze (eins für die Fritzbox, eins für das normale WLAN im TP-Link und eins für das Gastnetz im TP-Link). Das FB-Netz betrachtet der TP-Link als "Internet" und wird es entsprechend filtern. Wenn du den TP-Link ausschließlich als Zugangsknoten für nicht vertrauenswürdige Geräte (Gäste, Smart-TV, solche Späße) nutzen wolltest, wäre die Router-Kaskade vermutlich eine gute Lösung. Soll er aber parallel auch als Bridge zum Subnetz der Fritzbox agieren, wird's kniffelig. Vielleicht kann man das konfigurieren. Vielleicht nicht.

[Illuminatum]

Kann ich dem "IOT" WLAN nicht sagen, dass es das LAN als "WAN" ansieht?
Den´anderen iptables Befehle versuche ich morgen mal.

Danke!

[Lookbehind]

Ich gebe zu bedenken, dass bei der Methode mit der Router-Kaskade die "nicht vertrauenswürdigen" Geräte im IOT-Netz immernoch in der Lage sind, die Geräte im FritzBox-LAN zu sehen und mit diesen zu kommunizieren. Wenn da eine saubere Trennung erfolgen soll, müsste das Netz anders organisiert werden.

Entweder per VLAN, oder das eigentliche LAN müsste hinter den DD-WRT und somit ins gleiche Netz wie das private WLAN gezogen werden. Dadurch würde das FritzBox-LAN zu einem reinen Transfer-Netz mit genau 2 Hosts. Der FritzBox und dem DD-WRT.

[foobar]

Ich gebe zu bedenken, dass bei der Methode mit der Router-Kaskade die "nicht vertrauenswürdigen" Geräte im IOT-Netz immernoch in der Lage sind, die Geräte im FritzBox-LAN zu sehen und mit diesen zu kommunizieren. Wenn da eine saubere Trennung erfolgen soll, müsste das Netz anders organisiert werden.

Nicht, wenn man den TP-Link in der Fritzbox als Gastnetz konfiguriert. Üblicherweise gibt's da eine Einstellung, die LAN-Port Nr. 4 entsprechend einschränkt. Und natürlich kann auch der TP-Link selber (dem man wohl vertrauen darf) diese IP-Adressen einfach wegfiltern.

[Illuminatum]

Masquerading wäre, wenn überhaupt, in der NAT-Tabelle zu finden. Nicht in der FILTER-Tabelle. Du suchst also 'iptables -t nat -L'

Code:

root@DD-WRT:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       udp  --  anywhere             anywhere            udp dpt:dns to:1.1.1.1
DNAT       tcp  --  anywhere             anywhere            tcp dpt:dns to:1.1.1.1

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Ich habe mich mal etwas mehr im dd-wrt Forum umgesehen und anscheinend scheint diese Methode schon sehr fehlerhaft zu sein. Also ich lese immer wieder, dass jemand diverse Builds ausprobiert hat und erst mit irgendeinem relativ alten Build scheint es wieder zu klappen usw...
Also vermutlich muss ich wohl wieder zu OpenWRT wechseln, damit ich das zuverlässig haben will :/

Danke soweit mal!

MfG

[Lookbehind]

Nicht, wenn man den TP-Link in der Fritzbox als Gastnetz konfiguriert. Üblicherweise gibt's da eine Einstellung, die LAN-Port Nr. 4 entsprechend einschränkt. Und natürlich kann auch der TP-Link selber (dem man wohl vertrauen darf) diese IP-Adressen einfach wegfiltern.

Dann muss er aber zwei Stippen von seinem TP-Link zur FritzBox ziehen. Sonst wird der Zugriff vom privaten WLAN auf das normale FritzBox-LAN zu nem echten Abenteuer. Außerdem braucht er dann Source-Based Routing und idealerweise ne Bridge fürs LAN. Wie war das mit komplexem Setup?
Das mit dem wegfiltern der Adressen ist schon einfacher, aber auch irgendwie unsauber.

Aber machbar ist beides. Ja. Mit VLAN wärs einfacher.

Code:

root@DD-WRT:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       udp  --  anywhere             anywhere            udp dpt:dns to:1.1.1.1
DNAT       tcp  --  anywhere             anywhere            tcp dpt:dns to:1.1.1.1

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Ich habe mich mal etwas mehr im dd-wrt Forum umgesehen und anscheinend scheint diese Methode schon sehr fehlerhaft zu sein. Also ich lese immer wieder, dass jemand diverse Builds ausprobiert hat und erst mit irgendeinem relativ alten Build scheint es wieder zu klappen usw...
Also vermutlich muss ich wohl wieder zu OpenWRT wechseln, damit ich das zuverlässig haben will :/

Danke soweit mal!

MfG

DNAT für DNS? Wie gemein!

Da fehlt mindestens n Masquarading für ein sauberes SNAT.

[Illuminatum]

Hm, also ich habe mich jetzt dann entschieden, wieder auf OpenWRT zu wechseln. Mit dd-wrt gibt es einfach zu viele Probleme und klingt ziemlich kompliziert.
Habe das IOT Wlan jetzt eingerichtet und es funktioniert, ebenso wie das interne Wlan.

Vielen Dank für eure Hilfe!

MfG

[Lookbehind]

Mit klassischem NAT? Oder wie hast du die Anbindung gelöst?

[Illuminatum]

Mit klassischem NAT? Oder wie hast du die Anbindung gelöst?

Hi!
Soweit ich das sehe, ja.
Ich habe wie erwähnt, OpenWRT auf dem Router installiert. Es gibt standardmäßg WAN und LAN als (Firewall)Zone. Die WAN-Zone habe ich gelöscht, denn die habe ich faktisch auf dem Router/AP nicht.
Ich habe ein zusätzliches Interface erstellt und dem Interface eine eigene Firewall-Zone gegeben. Dann musste ich eigentlich nur noch das Masquerading und MSS clamping beim LAN aktivieren und die LAN-Zone als erlaubte Forward-Zone für das IOT-LAN einrichten.
[Bild: iotlanz.JPG]

Da ich langsam Freund von "Cat" geworden bin, hier mal zur Übersicht die vermutlich relevanten configs:

Code:

root@OpenWrt:/etc/config# cat network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdd4:c92d:a8fc::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.10.253'
        option gateway '192.168.10.254'
        option dns '192.168.10.254'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '0t 1 2 3'

config interface 'iotlan'
        option proto 'static'
        option ipaddr '10.10.10.254'
        option netmask '255.255.255.0'
        option gateway '192.168.10.254'
        option dns '192.168.10.254'

Code:

root@OpenWrt:/etc/config# cat firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'
        option masq '1'
        option mtu_fix '1'

config include
        option path '/etc/firewall.user'

config zone
        option name 'iotlanz'
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option network 'iotlan'
        option family 'ipv4'

config forwarding
        option dest 'lan'
        option src 'iotlanz'

Code:

root@OpenWrt:/etc/config# cat wireless

config wifi-device 'radio0'
        option type 'mac80211'
        option hwmode '11g'
        option path 'pci0000:00/0000:00:00.0'
        option channel 'auto'
        option country 'US'
        option legacy_rates '1'
        option htmode 'HT40'

config wifi-iface 'default_radio0'
        option device 'radio0'
        option network 'lan'
        option mode 'ap'
        option ssid 'Lummerland'
        option encryption 'psk2+ccmp'
        option key '<secret>'

config wifi-iface
        option device 'radio0'
        option mode 'ap'
        option ssid 'Gastzugang'
        option encryption 'psk2'
        option key '<secret>'
        option network 'iotlan'

Interessanterweise steht in der config das WLAN-Kennwort als Klartext drin. Habe es mal entfernt und die config etwas gekürzt^^

Der aktuelle Zustand funktioniert zumindest so, wie ich mir das vorgestellt habe. Das WLAN Gastzugang hat einen eigenen IP Adressbereich und kann surfen.
Nur ein Problem habe ich, aber ich weiß nicht, ob ich das in dieser Konfiguration ändern kann: Das "IOTLAN"-Netzwerk kann (zumindest per Ping) auf mein internes Netzwerk zugreifen. Und wenn ich eine Firewallregel erstelle allá "allen Hosts im IOTLAN von Zone 'iotlanz' zu jedem Host in 'lan' verbieten", kann das IOTLan auch nicht mehr surfen. Ich habe versucht, den Zugriff auf das Gateway als erste Regel zu erlauben, um danach alles weitere zu verbieten, aber das hat auch nichts geholfen.

Aber wenn ich das richrig sehe, wäre das gleichzusetzen wie mit dem "Internet" (also WAN) von meinem Rechner aus, der ja im internen Netzwerk ist.
Vielleicht könnte ich mit expliziten Whitelists arbeiten? Also z.B. alle TCP/UDP Verbindungen über Port 53 von 'iotlanz' zu 'lan' erlauben, damit DNS aufgelöst werden kann oder alle HTTP/HTTPS Verbindungen erlauben o.ä.? Viel Freiheiten braucht ein IOT Gerät ja nicht, wenn es unbedingt ins Internet telefonieren muss. Andererseits ist ja eh alles noch hinter der Firewall der FritzBox und grundsätzlich ist von außen nichts im internen Netz erreichbar.

Mal schauen. Falls du/ihr mir da einen Firewalltipp habt, gerne rausrücken damit

Danke!

MfG