Results 1 to 16 of 16

WLAN Gastzugang DD-WRT

  1. #1 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Hallo zusammen,
    ich weiß nicht, ob mir jemand helfen kann, aber ich versuche es gerne

    Ich habe einen TP-Link WR841ND mit aktuellster DD-WRT-Software (v3.0-r40189 std (07/04/19)) für dieses Modell. Werksreset durchgeführt.

    Ich bin gerade dabei, das WLAN einzurichten. Das "normale" Private WLAN funktioniert ohne Probleme, aber ich schaffe es nicht, ein weiteres Gast-WLAN einzurichten. Ich habe mich an diese Anleituung gehalten: https://wiki.dd-wrt.com/wiki/index.p..._for_beginners
    und das versucht:
    https://wiki.dd-wrt.com/wiki/index.php/Guest_Network
    Aber es funktioniert nicht. Mein Gerät sagt IP-Adresse wird abgerufen.... aber mehr nicht, als ob kein DHCP-Server laufen würde. Aber den habe ich für das Gast WLAN aktiviert. Wenn ich bei meinem Smartphone eine feste IP eintrage aus dem Subnet (10.10.10.5 /24, GW 10.10.10.254 (das habe ich beim Erstellen des Gast-WLANs als IP gewählt) kann es sich wohl mit dem WLAN verbinden, bekommt aber kein Internet.

    Als ich den o.g. zweiten Weg versucht habe, hat das Smartphone immerhin wie bei Hotspots benachrichtigt, dass es kein Internet habe und zumindest habe ich eine IP vom DHCP bekommen.

    Ein paar Screens:
    wlan1.JPG
    wlan2.JPG
    wlan3.JPG

    Kann mir jemand helfen?

    Danke im Voraus!

    MfG
    Illuminatum is offline

  2. #2 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,430
    Kannst du denn den Router (also die 10.10.10.254) pingen? (Evtl ist ein Smartphone hier nicht das beste Mittel für eine Fehlersuche.)
    Wenn ja, kannst du auch sowas wie 8.8.8.8 pingen? Und wie sieht ein Traceroute da hin aus?
    Wie sieht deine VLAN Konfiguration aus?
    Lookbehind is offline

  3. #3 Reply With Quote
    Metasyntaktische Variable  foobar's Avatar
    Join Date
    Sep 2004
    Location
    Direkt hinter dir! Buh!
    Posts
    20,983
    Javascript hast du aber erlaubt, oder? Normalerweise kenne ich das Web-Interface so, dass ein Feld "NAT / Masquerade" oder so erscheint, wenn man das Netzwerk auf "unbridged" stellt. Bei dir sehe ich das aber irgendwie nicht auf den Screenshots, was ich mir im Moment nur so erklären kann, dass es per JS aktiviert wird und das bei dir nicht erlaubt ist. Kann aber natürlich auch ein Unterschied in der Firmware oder eine Inkompatibilität im Browser sein. Jedenfalls würde fehlendes NAT erklären, warum kein Internet da ist.
    foobar is offline

  4. #4 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Quote Originally Posted by Lookbehind View Post
    Kannst du denn den Router (also die 10.10.10.254) pingen? (Evtl ist ein Smartphone hier nicht das beste Mittel für eine Fehlersuche.)
    Wenn ja, kannst du auch sowas wie 8.8.8.8 pingen? Und wie sieht ein Traceroute da hin aus?
    Wie sieht deine VLAN Konfiguration aus?
    Hi!
    Habe einen Laptop rausgekramt, damit macht das Testen etwas mehr Spaß
    Die 10.10.10.254 kann ich anpingen, der Rest geht nicht, auch nicht den Google DNS. Traceroute hört bei 10.10.10.254 auf und das wars.
    VLANs habe ich keine konfiguriert. Brauche ich welche?

    Quote Originally Posted by foobar View Post
    Javascript hast du aber erlaubt, oder? Normalerweise kenne ich das Web-Interface so, dass ein Feld "NAT / Masquerade" oder so erscheint, wenn man das Netzwerk auf "unbridged" stellt. Bei dir sehe ich das aber irgendwie nicht auf den Screenshots, was ich mir im Moment nur so erklären kann, dass es per JS aktiviert wird und das bei dir nicht erlaubt ist. Kann aber natürlich auch ein Unterschied in der Firmware oder eine Inkompatibilität im Browser sein. Jedenfalls würde fehlendes NAT erklären, warum kein Internet da ist.
    Ich vermute auch, dass das NAT fehlt. Aber ich bin eben nochmal der IE drauf und habe das neu konfiguriert, da ploppt nichts auf.
    Übrigens, ich habe in der Zwischenzeit OpenWRT drauf installiert und hatte hier ebenfalls meine Probleme und war da jetzt so involviert, dass der Beitrag hier etwas weiter hinten angestanden hat. Am Ende lief es aber erfolgreich mit OpenWRT.
    Ich bin nun aber wieder auf dd-wrt gewechselt, weil ich es eigentlich hiermit zum Laufen bringen will.

    Wenn ich in den Reiter NAT gehe, kann ich lediglich Port-Forwards einrichten.
    Kann es sein, dass dd-wrt das einfach nicht kann? Obwohl halt diese Funktion schon seit 2013 funktioniert:
    http://tips.desipro.de/2013/12/06/gu...-setup-dd-wrt/
    Ich muss dem NAT doch irgendwie sagen können, was er überhaupt natten soll?! Weil ein "WAN" gibt es bei dem Router ja nicht, ist zumindest nicht konfiguriert (er wird als reiner Access Point genutzt, soll halt zwei WLANs mit unterschiedlichen Subnetzen aufspannen).

    Bringt es was, wenn ich irgendwelche iptables poste oder sowas? Kann man da mehr herauslesen?

    Danke!
    Illuminatum is offline Last edited by Illuminatum; 10.07.2019 at 00:46.

  5. #5 Reply With Quote
    Metasyntaktische Variable  foobar's Avatar
    Join Date
    Sep 2004
    Location
    Direkt hinter dir! Buh!
    Posts
    20,983
    Quote Originally Posted by Illuminatum View Post
    Bringt es was, wenn ich irgendwelche iptables poste oder sowas?
    Probier's mal.
    foobar is offline

  6. #6 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,430
    Quote Originally Posted by Illuminatum View Post
    Hi!
    Habe einen Laptop rausgekramt, damit macht das Testen etwas mehr Spaß
    Die 10.10.10.254 kann ich anpingen, der Rest geht nicht, auch nicht den Google DNS. Traceroute hört bei 10.10.10.254 auf und das wars.
    VLANs habe ich keine konfiguriert. Brauche ich welche?
    ...
    Nunja, da du das Ding ja nicht als Router, sondern als reinen AP betreiben möchtest, musst du ja irgendeine Möglichkeit haben, das Gast-Netz von deinem privaten zu separieren.
    Idealerweise bridgest du dann dein AP-Netz mit dem jeweiligen VLAN.

    Dein eigentlicher Router muss dann natürlich auch mit dem VLAN umgehen können.
    Lookbehind is offline

  7. #7 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Quote Originally Posted by foobar View Post
    Probier's mal.
    Hm...ich denke nicht, dass man da allzuviel auslesen kann xD
    Code:
    root@DD-WRT:~# iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain advgrp_1 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_10 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_11 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_12 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_13 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_14 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_15 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_16 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_17 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_18 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_19 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_2 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_20 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_3 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_4 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_5 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_6 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_7 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_8 (0 references)
    target     prot opt source               destination
    
    Chain advgrp_9 (0 references)
    target     prot opt source               destination
    
    Chain grp_1 (0 references)
    target     prot opt source               destination
    
    Chain grp_10 (0 references)
    target     prot opt source               destination
    
    Chain grp_11 (0 references)
    target     prot opt source               destination
    
    Chain grp_12 (0 references)
    target     prot opt source               destination
    
    Chain grp_13 (0 references)
    target     prot opt source               destination
    
    Chain grp_14 (0 references)
    target     prot opt source               destination
    
    Chain grp_15 (0 references)
    target     prot opt source               destination
    
    Chain grp_16 (0 references)
    target     prot opt source               destination
    
    Chain grp_17 (0 references)
    target     prot opt source               destination
    
    Chain grp_18 (0 references)
    target     prot opt source               destination
    
    Chain grp_19 (0 references)
    target     prot opt source               destination
    
    Chain grp_2 (0 references)
    target     prot opt source               destination
    
    Chain grp_20 (0 references)
    target     prot opt source               destination
    
    Chain grp_3 (0 references)
    target     prot opt source               destination
    
    Chain grp_4 (0 references)
    target     prot opt source               destination
    
    Chain grp_5 (0 references)
    target     prot opt source               destination
    
    Chain grp_6 (0 references)
    target     prot opt source               destination
    
    Chain grp_7 (0 references)
    target     prot opt source               destination
    
    Chain grp_8 (0 references)
    target     prot opt source               destination
    
    Chain grp_9 (0 references)
    target     prot opt source               destination
    
    Chain lan2wan (0 references)
    target     prot opt source               destination
    
    Chain logaccept (0 references)
    target     prot opt source               destination
    ACCEPT     0    --  anywhere             anywhere
    
    Chain logdrop (0 references)
    target     prot opt source               destination
    LOG        0    --  anywhere             anywhere            state INVALID LOG level warning tcp-sequence tcp-options ip
    -options prefix `DROP '
    DROP       0    --  anywhere             anywhere
    
    Chain logreject (0 references)
    target     prot opt source               destination
    REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
    
    Chain trigger_out (0 references)
    target     prot opt source               destination
    Gibts einen anderen Befehl, der mehr infos ausgibt?
    Code:
    root@DD-WRT:/etc/config# cd /etc/config/
    root@DD-WRT:/etc/config# ls
    3hotss.webhotspot                  notifier.nvramconfig               routerstyle.webconfig
    base.nvramconfig                   notifier.websecurity               schedulerb.nvramconfig
    base.webconfig                     olsrd.nvramconfig                  schedulerb.sh
    chillispot.nvramconfig             overclocking.webconfig             schedulerb.startup
    chillispot.webhotspot              pptpd_client.ip-down               schedulerb.webalive
    dhcpd.startup                      pptpd_client.ip-up                 smtp-redirect.firewall
    dhcpd.webservices                  pptpd_client.nvramconfig           smtp-redirect.nvramconfig
    fon.nvramconfig                    pptpd_client.options               smtp-redirect.webhotspot
    fon.webhotspot                     pptpd_client.sh                    sshd.webservices
    hotss.nvramconfig                  pptpd_client.startup               syslog.webservices
    http-redirect.firewall             pptpd_client.vpn                   telnet.webservices
    http-redirect.nvramconfig          proxywatchdog.nvramconfig          ttraff.nvramconfig
    http-redirect.webhotspot           proxywatchdog.sh                   ttraff.webservices
    language.nvramconfig               proxywatchdog.startup              wdswatchdog.nvramconfig
    language.startup                   proxywatchdog.webalive             wdswatchdog.sh
    language.webconfig                 radiooff.nvramconfig               wdswatchdog.startup
    networksettings.rb532.nvramconfig  radiooff.webservices               wdswatchdog.webalive
    networksettings.rb532.webconfig    routerstyle.nvramconfig
    https://wiki.dd-wrt.com/wiki/index.p...e_Command_Line

    Quote Originally Posted by Lookbehind View Post
    Dein eigentlicher Router muss dann natürlich auch mit dem VLAN umgehen können.
    Nee, VLANs wird leider nicht klappen. Die FritzBox kann einiges, aber lang nicht alles. Und VLANs schonmal garnicht

    Danke soweit mal!
    Illuminatum is offline

  8. #8 Reply With Quote
    Metasyntaktische Variable  foobar's Avatar
    Join Date
    Sep 2004
    Location
    Direkt hinter dir! Buh!
    Posts
    20,983
    Quote Originally Posted by Illuminatum View Post
    Code:
    root@DD-WRT:~# iptables -L
    Masquerading wäre, wenn überhaupt, in der NAT-Tabelle zu finden. Nicht in der FILTER-Tabelle. Du suchst also 'iptables -t nat -L'.

    Aber:

    Quote Originally Posted by Illuminatum View Post
    Weil ein "WAN" gibt es bei dem Router ja nicht, ist zumindest nicht konfiguriert (er wird als reiner Access Point genutzt, soll halt zwei WLANs mit unterschiedlichen Subnetzen aufspannen).
    Das war mir in meinem letzten Post entgangen (war spät, so wie heute auch, also meinen Post mit Vorsicht genießen). Wenn der DD-WRT-Router gar nicht der Router ist, dann bringt NAT natürlich auch nix. Wie Lookbehind schon sagte, muss dann der vorgelagerte Router entscheiden können, was wohin geht. Also VLANs.

    Oder du konfigurierst eine Router-Kaskade. Also die Fritzbox ist der erste Router ins Internet und der TP-Link arbeitet als zweiter Router dahinter mit eigenem Masquerading (sieht für die Fritzbox dann wie ein einziges Endgerät aus). Dann muss die Fritzbox beim TP-Link als WAN eingerichtet werden (mit fester IP aus dem FB-Segment oder via IP-DHCP).

    Problem: Dann brauchst du drei Subnetze (eins für die Fritzbox, eins für das normale WLAN im TP-Link und eins für das Gastnetz im TP-Link). Das FB-Netz betrachtet der TP-Link als "Internet" und wird es entsprechend filtern. Wenn du den TP-Link ausschließlich als Zugangsknoten für nicht vertrauenswürdige Geräte (Gäste, Smart-TV, solche Späße) nutzen wolltest, wäre die Router-Kaskade vermutlich eine gute Lösung. Soll er aber parallel auch als Bridge zum Subnetz der Fritzbox agieren, wird's kniffelig. Vielleicht kann man das konfigurieren. Vielleicht nicht.
    foobar is offline

  9. #9 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Kann ich dem "IOT" WLAN nicht sagen, dass es das LAN als "WAN" ansieht?
    Den´anderen iptables Befehle versuche ich morgen mal.

    Danke!
    Illuminatum is offline

  10. #10 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,430
    Ich gebe zu bedenken, dass bei der Methode mit der Router-Kaskade die "nicht vertrauenswürdigen" Geräte im IOT-Netz immernoch in der Lage sind, die Geräte im FritzBox-LAN zu sehen und mit diesen zu kommunizieren. Wenn da eine saubere Trennung erfolgen soll, müsste das Netz anders organisiert werden.

    Entweder per VLAN, oder das eigentliche LAN müsste hinter den DD-WRT und somit ins gleiche Netz wie das private WLAN gezogen werden. Dadurch würde das FritzBox-LAN zu einem reinen Transfer-Netz mit genau 2 Hosts. Der FritzBox und dem DD-WRT.
    Lookbehind is offline

  11. #11 Reply With Quote
    Metasyntaktische Variable  foobar's Avatar
    Join Date
    Sep 2004
    Location
    Direkt hinter dir! Buh!
    Posts
    20,983
    Quote Originally Posted by Lookbehind View Post
    Ich gebe zu bedenken, dass bei der Methode mit der Router-Kaskade die "nicht vertrauenswürdigen" Geräte im IOT-Netz immernoch in der Lage sind, die Geräte im FritzBox-LAN zu sehen und mit diesen zu kommunizieren. Wenn da eine saubere Trennung erfolgen soll, müsste das Netz anders organisiert werden.
    Nicht, wenn man den TP-Link in der Fritzbox als Gastnetz konfiguriert. Üblicherweise gibt's da eine Einstellung, die LAN-Port Nr. 4 entsprechend einschränkt. Und natürlich kann auch der TP-Link selber (dem man wohl vertrauen darf) diese IP-Adressen einfach wegfiltern.
    foobar is offline

  12. #12 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Quote Originally Posted by foobar View Post
    Masquerading wäre, wenn überhaupt, in der NAT-Tabelle zu finden. Nicht in der FILTER-Tabelle. Du suchst also 'iptables -t nat -L'
    Code:
    root@DD-WRT:~# iptables -t nat -L
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    DNAT       udp  --  anywhere             anywhere            udp dpt:dns to:1.1.1.1
    DNAT       tcp  --  anywhere             anywhere            tcp dpt:dns to:1.1.1.1
    
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination
    Ich habe mich mal etwas mehr im dd-wrt Forum umgesehen und anscheinend scheint diese Methode schon sehr fehlerhaft zu sein. Also ich lese immer wieder, dass jemand diverse Builds ausprobiert hat und erst mit irgendeinem relativ alten Build scheint es wieder zu klappen usw...
    Also vermutlich muss ich wohl wieder zu OpenWRT wechseln, damit ich das zuverlässig haben will :/

    Danke soweit mal!

    MfG
    Illuminatum is offline

  13. #13 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,430
    Quote Originally Posted by foobar View Post
    Nicht, wenn man den TP-Link in der Fritzbox als Gastnetz konfiguriert. Üblicherweise gibt's da eine Einstellung, die LAN-Port Nr. 4 entsprechend einschränkt. Und natürlich kann auch der TP-Link selber (dem man wohl vertrauen darf) diese IP-Adressen einfach wegfiltern.
    Dann muss er aber zwei Stippen von seinem TP-Link zur FritzBox ziehen. Sonst wird der Zugriff vom privaten WLAN auf das normale FritzBox-LAN zu nem echten Abenteuer. Außerdem braucht er dann Source-Based Routing und idealerweise ne Bridge fürs LAN. Wie war das mit komplexem Setup?
    Das mit dem wegfiltern der Adressen ist schon einfacher, aber auch irgendwie unsauber.

    Aber machbar ist beides. Ja. Mit VLAN wärs einfacher.

    Quote Originally Posted by Illuminatum View Post
    Code:
    root@DD-WRT:~# iptables -t nat -L
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    DNAT       udp  --  anywhere             anywhere            udp dpt:dns to:1.1.1.1
    DNAT       tcp  --  anywhere             anywhere            tcp dpt:dns to:1.1.1.1
    
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination
    Ich habe mich mal etwas mehr im dd-wrt Forum umgesehen und anscheinend scheint diese Methode schon sehr fehlerhaft zu sein. Also ich lese immer wieder, dass jemand diverse Builds ausprobiert hat und erst mit irgendeinem relativ alten Build scheint es wieder zu klappen usw...
    Also vermutlich muss ich wohl wieder zu OpenWRT wechseln, damit ich das zuverlässig haben will :/

    Danke soweit mal!

    MfG
    DNAT für DNS? Wie gemein!

    Da fehlt mindestens n Masquarading für ein sauberes SNAT.
    Lookbehind is offline

  14. #14 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Hm, also ich habe mich jetzt dann entschieden, wieder auf OpenWRT zu wechseln. Mit dd-wrt gibt es einfach zu viele Probleme und klingt ziemlich kompliziert.
    Habe das IOT Wlan jetzt eingerichtet und es funktioniert, ebenso wie das interne Wlan.

    Vielen Dank für eure Hilfe!

    MfG
    Illuminatum is offline

  15. #15 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,430
    Mit klassischem NAT? Oder wie hast du die Anbindung gelöst?
    Lookbehind is offline

  16. #16 Reply With Quote
    Held Illuminatum's Avatar
    Join Date
    Mar 2007
    Location
    In BW
    Posts
    5,152
    Quote Originally Posted by Lookbehind View Post
    Mit klassischem NAT? Oder wie hast du die Anbindung gelöst?
    Hi!
    Soweit ich das sehe, ja.
    Ich habe wie erwähnt, OpenWRT auf dem Router installiert. Es gibt standardmäßg WAN und LAN als (Firewall)Zone. Die WAN-Zone habe ich gelöscht, denn die habe ich faktisch auf dem Router/AP nicht.
    Ich habe ein zusätzliches Interface erstellt und dem Interface eine eigene Firewall-Zone gegeben. Dann musste ich eigentlich nur noch das Masquerading und MSS clamping beim LAN aktivieren und die LAN-Zone als erlaubte Forward-Zone für das IOT-LAN einrichten.
    [Bild: iotlanz.JPG]

    Da ich langsam Freund von "Cat" geworden bin, hier mal zur Übersicht die vermutlich relevanten configs:

    Code:
    root@OpenWrt:/etc/config# cat network
    
    config interface 'loopback'
            option ifname 'lo'
            option proto 'static'
            option ipaddr '127.0.0.1'
            option netmask '255.0.0.0'
    
    config globals 'globals'
            option ula_prefix 'fdd4:c92d:a8fc::/48'
    
    config interface 'lan'
            option type 'bridge'
            option ifname 'eth0.1'
            option proto 'static'
            option netmask '255.255.255.0'
            option ipaddr '192.168.10.253'
            option gateway '192.168.10.254'
            option dns '192.168.10.254'
    
    config switch
            option name 'switch0'
            option reset '1'
            option enable_vlan '1'
    
    config switch_vlan
            option device 'switch0'
            option vlan '1'
            option vid '1'
            option ports '0t 1 2 3'
    
    config interface 'iotlan'
            option proto 'static'
            option ipaddr '10.10.10.254'
            option netmask '255.255.255.0'
            option gateway '192.168.10.254'
            option dns '192.168.10.254'
    Code:
    root@OpenWrt:/etc/config# cat firewall
    
    config defaults
            option syn_flood '1'
            option input 'ACCEPT'
            option output 'ACCEPT'
            option forward 'REJECT'
    
    config zone
            option name 'lan'
            option input 'ACCEPT'
            option output 'ACCEPT'
            option forward 'ACCEPT'
            option network 'lan'
            option masq '1'
            option mtu_fix '1'
    
    config include
            option path '/etc/firewall.user'
    
    config zone
            option name 'iotlanz'
            option input 'ACCEPT'
            option forward 'REJECT'
            option output 'ACCEPT'
            option network 'iotlan'
            option family 'ipv4'
    
    config forwarding
            option dest 'lan'
            option src 'iotlanz'
    Code:
    root@OpenWrt:/etc/config# cat wireless
    
    config wifi-device 'radio0'
            option type 'mac80211'
            option hwmode '11g'
            option path 'pci0000:00/0000:00:00.0'
            option channel 'auto'
            option country 'US'
            option legacy_rates '1'
            option htmode 'HT40'
    
    config wifi-iface 'default_radio0'
            option device 'radio0'
            option network 'lan'
            option mode 'ap'
            option ssid 'Lummerland'
            option encryption 'psk2+ccmp'
            option key '<secret>'
    
    config wifi-iface
            option device 'radio0'
            option mode 'ap'
            option ssid 'Gastzugang'
            option encryption 'psk2'
            option key '<secret>'
            option network 'iotlan'
    Interessanterweise steht in der config das WLAN-Kennwort als Klartext drin. Habe es mal entfernt und die config etwas gekürzt^^

    Der aktuelle Zustand funktioniert zumindest so, wie ich mir das vorgestellt habe. Das WLAN Gastzugang hat einen eigenen IP Adressbereich und kann surfen.
    Nur ein Problem habe ich, aber ich weiß nicht, ob ich das in dieser Konfiguration ändern kann: Das "IOTLAN"-Netzwerk kann (zumindest per Ping) auf mein internes Netzwerk zugreifen. Und wenn ich eine Firewallregel erstelle allá "allen Hosts im IOTLAN von Zone 'iotlanz' zu jedem Host in 'lan' verbieten", kann das IOTLan auch nicht mehr surfen. Ich habe versucht, den Zugriff auf das Gateway als erste Regel zu erlauben, um danach alles weitere zu verbieten, aber das hat auch nichts geholfen.

    Aber wenn ich das richrig sehe, wäre das gleichzusetzen wie mit dem "Internet" (also WAN) von meinem Rechner aus, der ja im internen Netzwerk ist.
    Vielleicht könnte ich mit expliziten Whitelists arbeiten? Also z.B. alle TCP/UDP Verbindungen über Port 53 von 'iotlanz' zu 'lan' erlauben, damit DNS aufgelöst werden kann oder alle HTTP/HTTPS Verbindungen erlauben o.ä.? Viel Freiheiten braucht ein IOT Gerät ja nicht, wenn es unbedingt ins Internet telefonieren muss. Andererseits ist ja eh alles noch hinter der Firewall der FritzBox und grundsätzlich ist von außen nichts im internen Netz erreichbar.

    Mal schauen. Falls du/ihr mir da einen Firewalltipp habt, gerne rausrücken damit

    Danke!

    MfG
    Illuminatum is offline

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •