[luci] Luci richtig Konfigurieren

[Clemens John]

On Thursday 15 January 2009 13:58:46 Steven Barth wrote:
> Hallo Clemens,
> generell hast du nichts falsch gemacht, das Verhalten deiner Fonera ist
> nachvollziehbar.
> Das "Problem" mit den alten Foneras ist, sie haben nur einen Ethernetport
> und dieser wird von OpenWrt standardmäßig dem Lan zugeordnet und nicht dem
> Wan. Also der Freifunk-Fall dass du kein HNA bist sondern nur "normaler
> Nutzer" und deinen Rechner an den Ethernetport hängst um auf das Freifunk
> zugreifen zu können. Da es ja dabei im Allgemeinen nicht erwünscht ist,
> dass Freifunker auf das eigene Lan zugreifen können ist das Verhalten der
> Fonera korrekt aber wohl nicht passend für deinen Fall, da du ja möchtest,
> dass der Ethernetport dem Wan zugeordnet wird.
>
> Um dein Problem zu lösen solltest du unter Netzwerk einen neue
> Netzwerkeintrag namens "wan" anlegen mit der entsprechenden Konfiguration
> für dein lokales Netz und die Schnittstelle auf die Ethernetschnittstelle
> der Fonera setzen ("eth0" oder "eth1" bin mir grad nicht sicher). Dann
> natürlich noch den
> Netzwerkeintrag "lan" löschen und die Netzwerkeinstellungen anwenden.
>
> Danach kannst du deine Fonera allerdings nur noch über WLAN konfigurieren
> es sei denn du setzt entsprechende Firewallregeln unter Netzwerk ->
> Firewall -> Verkerhrkontrolle (z.B.: Quelle: wan, Ziel: Gerät, Protokoll:
> TCP, Port: 80, Aktion: annehmen; für das Webinterface).
>
> Bleibt noch das Problem, dass die Freifunker dann - weil die Fonera ja in
> deiner Fritzbox steckt - auf dein lokales Netz zugreifen können. Diesem
> Problem begegnet man netzwerktechnisch natürlich am besten an dem
> zuständigen Router für das lokale Netz, also der Fritzbox in deinem Fall.
> Ich weiß allerdings nicht inwieweit man der Firewall der Fritzbox
> entsprechendes beibringen kann.
>
> Man könnte hier als Notlösung die eigentlich NICHT zu empfehlen ist, auch
> wieder mit einer erweiterten Regel unter Netzwerk -> Firewall ->
> Verkehrskontrolle abhelfen. Wenn ich mich jetzt nicht täusche wären das
> folgende Regeln falls dein Lan 192.168.0.0/24 und dein Router 192.168.0.1
> ist:
>
> 1. Quelle: freifunk, Ziel: wan, Zieladresse: 192.168.0.1, aktion: annehmen
> 2. Quelle: freifunk, Ziel: wan, Zieladresse: 192.168.0.0/24, aktion:
> zurückweisen
>
> In äleren Builds gab es mal einen Bug der die Firewallregeln verkehrt herum
> anwendet also möglicherweise die Regeln vertauschen.
>
> Ich hoffe ein wenig Licht in die Sache gebracht zu haben.

Interessant, ich wusste garnicht das die neueren Foneras 2 Lan Ports haben.
Die alten Foneras von denen ich eine hab, haben als Lan Port eth0.

Ich habe das alles soweit gemacht, hänge jetzt aber an einer stelle an der ich 
praktisch die ganze Zeit hänge (war schonmal mehr durch Zufall soweit).

Ich kann vom Lan ganz wunderbar weiterhin auf das Webinterface und auch per 
SSH auf die Fonera zugreifen.

Ich kann vom Laptop der im Freifunknetz hängt jetzt ins Heimnetz 
(192.168.178.X) pingen, ich kann auch Google anpingen oder irgendwelche 
adressen aus dem Internet, ich kann auch das Freifunknetz also praktisch mich 
selbst anpingen und bekomme auch wunderbar antworten, aber ich kann im Firefox 
keine Webseiten aufrufen und auch per wget nicht runterladen. Auch kann ich 
mich aus dem Wlannetz nirgendwo per SSH anmelden. Weder auf dem Freifunkrouter 
noch irgendwo im Lokalen Netz

Ich hänge mal meine Firewallkonfiguration an und habe mal ein paar Screenshots 
von den Luci Einstellungen gemacht.

http://floh1111.de/blogolin/data/image_galery/Computer/Freifunk/505_schnitstellen.jpg
http://floh1111.de/blogolin/data/image_galery/Computer/Freifunk/508_firewall_zonen.jpg
http://floh1111.de/blogolin/data/image_galery/Computer/Freifunk/510_firewall_verkehrskontrolle1.jpg

Die Option Eintrag hinzufügen unter Netzwerk --> Firewall --> 
Berkehrskontrolle - Erweiterte Regeln scheint etwas buggy zu sein zmmindest 
übernimmt es die einstellungen die man macht nicht und man kann auch keine 
weiteren einträge wie Zieladresse definieren weil Luci dann vorher speichern 
möchte und Lehre Firewalleinträge erstellt.
Ich hatte die /etc/config/firewall dann per hand editiert.

Irgendwie bin ich noch nicht komplett schlau.

Bye
Floh1111
-------------- nächster Teil --------------

config 'defaults'
	option 'input' 'ACCEPT'
	option 'output' 'ACCEPT'
	option 'forward' 'ACCEPT'

config 'zone'
	option 'name' 'wan'
	option 'output' 'ACCEPT'
	option 'input' 'ACCEPT'
	option 'forward' 'ACCEPT'
	option 'masq' '1'

config 'forwarding'
	option 'dest' 'wan'
	option 'src' 'wan'

config 'zone'
	option 'name' 'freifunk'
	option 'output' 'ACCEPT'
	option 'input' 'ACCEPT'
	option 'forward' 'ACCEPT'
	option 'network' 'wifi0 OpenVPN'

config 'forwarding'
	option 'dest' 'freifunk'
	option 'src' 'wan'

config 'forwarding'
	option 'dest' 'freifunk'
	option 'src' 'freifunk'

config 'rule'
	option 'dest_port' '80'
	option 'proto' 'tcp'
	option 'target' 'ACCEPT'
	option 'src' 'freifunk'

config 'rule'
	option 'dest_port' '443'
	option 'proto' 'tcp'
	option 'target' 'ACCEPT'
	option 'src' 'freifunk'

config 'rule'
	option 'dest_port' '22'
	option 'proto' 'tcp'
	option 'target' 'ACCEPT'
	option 'src' 'freifunk'

config 'rule'
	option 'dest_port' '698'
	option 'proto' 'udp'
	option 'target' 'ACCEPT'
	option 'src' 'freifunk'

config 'rule'
	option 'src_port' '68'
	option 'src' 'freifunk'
	option 'target' 'ACCEPT'
	option 'dest_port' '67'
	option 'proto' 'udp'

config 'rule'
	option 'dest_port' '8082'
	option 'src' 'freifunk'
	option 'target' 'ACCEPT'
	option 'proto' 'tcp'

config 'forwarding'
	option 'dest' 'wan'
	option 'src' 'freifunk'

# Regeln nach Steven Barth
config 'rule'
	option 'name' 'Internet'
	option 'src' 'freifunk'
	option 'dest' 'wan'
	option 'dest_ip' '192.168.178.1'
	option 'target' 'ACCEPT'
	option 'proto' 'tcp'

config 'rule'
	option 'name' 'LAN'
	option 'src' 'freifunk'
	option 'dest' 'wan'
	option 'dest_ip' '192.168.0.0/24'
	option 'target' 'REJECT'
	option 'proto' 'tcp'