<html>
<head>
<meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
Hallo Phillip and @all,<br>
<br>
Erst mal frohes neues für alle.<br>
<br>
Das Policy based Routing ist für mich ein neues Thema, aber ich
werde versuchen es zu verstehen. <br>
<br>
D.h. also, dass im Gegensatz zu den bisherigen Annahmen hier (hier
gabs mal irgendwo einen Fred zu), VPN-Traffic gar nicht direkt ins
Internet gekippt wird, sondern dann als VPN im VPN läuft?<br>
<br>
Die unten beiden Regeln verhindern "nur" das Routen von VPN-Traffic
ins oder übers Mesh?<br>
<br>
<tt>root@10-230-96-1:~# ip rule</tt><tt><br>
</tt><tt>0: from all lookup local</tt><tt><br>
</tt><tt>1000: from all lookup olsr</tt><tt><br>
</tt><tt>2000: from all lookup localnets</tt><tt><br>
</tt><tt>19999: from all iif tunl0 lookup olsr-tunnel</tt><tt><br>
</tt><tt>19999: from all iif br-dhcp lookup olsr-tunnel</tt><tt><br>
</tt><tt>19999: from all iif ffvpn lookup olsr-tunnel</tt><tt><br>
</tt><tt>20000: from all iif tunl0 lookup olsr-default</tt><tt><br>
</tt><tt>20000: from all iif br-dhcp lookup olsr-default</tt><tt><br>
</tt><tt>20000: from all iif ffvpn lookup olsr-default</tt><tt><br>
</tt><tt>20001: from all iif tunl0 unreachable</tt><tt><br>
</tt><tt>20001: from all iif br-dhcp unreachable</tt><tt><br>
</tt><tt>20001: from all iif ffvpn unreachable</tt><tt><br>
</tt><tt>32766: from all lookup main</tt><tt><br>
</tt><tt>32767: from all lookup default</tt><tt><br>
</tt><tt>root@10-230-96-1:~#</tt><tt><br>
</tt><br>
Unter <a class="moz-txt-link-freetext" href="http://www.linupedia.org/opensuse/Policy_Based_Routing">http://www.linupedia.org/opensuse/Policy_Based_Routing</a> hab ich
einen brauchbaren Artikel zu PBR gefunden. So richtig verstehen tu
ich in allerdings nicht. :)<br>
<br>
Ich kann Pakete markieren, hier einfach mal mit 32:<br>
<tt>iptables -A PREROUTING -t mangle -p tcp -d 176.31.245.160 -j
MARK --set-mark 32</tt><br>
<br>
Schiebe dann alle Pakete mit der Markierung 32 in die Regel 777:<br>
<tt>ip rule add fwmark 32 priority 999 table 777</tt><br>
<br>
Wenn ich dann alle Pakete aus der Tabelle 777 ins WAN schieben will
(192.168.178.1 ist die Fritte vom Anschluss), dann laufen die Pakete
auf die Reject-Regel der iptables:<br>
<tt>ip route add default via 192.168.178.1 dev br-wan table 777</tt><br>
<br>
Die IP gehört zu monip.org, wo man per Shell-Script diee eigene IP
auslesen kann (<tt>w3m -dump <a class="moz-txt-link-freetext" href="http://www.monip.org/">http://www.monip.org/</a> | awk -F': '
'/IP/ { print $2 }'</tt>)<br>
<br>
Von hier aus komme ich leider seit ein paar Tagen nicht weiter.<br>
<br>
Hat jemand eine Idee was ich hier falsch mache? Oder was u.u. noch
fehlt?<br>
<br>
Danke für die Mühe!<br>
<br>
<br>
Gruß,<br>
Marc<br>
<br>
<br>
<div class="moz-cite-prefix">Am 28.12.2015 um 21:42 schrieb Philipp
Borgers:<br>
</div>
<blockquote cite="mid:20151228204245.GD10600@mi.fu-berlin.de"
type="cite">
<pre wrap="">Moin,
guck dir mal Policy-Routing (ip rule help) und die entsprechen
Konfigurations-Option in OpenWRT an.
Über das Mesh sollen keinen VPN03 Tunnel aufgebaut werden. Die unten erwähnten
Regel verhindern das teilweise. Die Liste der Server ist leider unvollständig.
Wir arbeiten an einer besseren Lösung.
Gruß Philipp
On Mon, Dec 28, 2015 at 07:07:45PM +0100, Marc Kura wrote:
</pre>
<blockquote type="cite">
<pre wrap="">Hallo zusammen,
Aus Performance-Gründen möchte ich bestimmten Traffic direkt ins
Internet ausleiten und nicht über den VPN-Tunnel schieben. Die Basis ist
dazu kathleen 0.1.1.
Hier gab es ja mal eine Diskussion dazu, die ich leider nicht mehr
finde. In dem Fred ging es darum, dass VPN-Verbindungen grundsätzlich
nicht in den Freifunk-Tunnel geschoben werden, sondern direkt ins Internet.
Im Router habe ich bisher nur folgende Konfiguration gefunden:
/etc/config/firewall:
config rule
option proto 'udp'
option name 'Reject-VPN-over-ff-1'
option dest 'freifunk'
option dest_ip '77.87.48.10'
option dest_port '1194'
option target 'REJECT'
option family 'ipv4'
config rule
option proto 'udp'
option name 'Reject-VPN-over-ff-2'
option dest 'freifunk'
option dest_ip '77.87.49.66'
option dest_port '1194'
option target 'REJECT'
option family 'ipv4'
Meinem Verständnis nach bedeutet dies, dass ein Testrouter kein
Freifunk-VPN aufbauen kann, wenn er (zum testen) hinter einem
Freifunk-Router hängt (Reject)?
Ich möchte z.B. alle Verbindungen zur IP 84.200.77.164 direkt ins
Internet leiten, oder von mir aus alle Verbindungen über Port 666. Wie
mach ich das?
Gruß,
Marc
_______________________________________________
Berlin mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Berlin@berlin.freifunk.net">Berlin@berlin.freifunk.net</a>
<a class="moz-txt-link-freetext" href="http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin">http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin</a>
Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
</pre>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
Berlin mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Berlin@berlin.freifunk.net">Berlin@berlin.freifunk.net</a>
<a class="moz-txt-link-freetext" href="http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin">http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin</a>
Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv</pre>
</blockquote>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Marc Kura
Phone: +49-30-69201323 Fax: +49-30-69201737
<a class="moz-txt-link-freetext" href="mailto:email@kura.de">mailto:email@kura.de</a>
"Und Schäuble hat gesagt, für Ihn sind alle Menschen gleich - ob Deutsch
oder Ausländer .............alles Verbrecher!"
</pre>
</body>
</html>