[wlanfhain] Re: OpenWRT, OLSR und NAT

Sven-Ola T�cke mail2news
Mo Okt 4 10:41:31 CEST 2004


Hallo Cornelius,

ich halte gar nichts davon, via HNA irgendwas aus dem 192.168er zu 
announcen. Es wurde zwar von niemanden offen ausgesprochen - aber ich würde 
mich dafür verwenden, dass diese Adressen auch im Freifunk/OLSR als *privat* 
angesehen werden. Ausserdem wird es möglichweise den bekannten 
"bei-mir-geht-es-doch"-Effekt geben, weil die 192.168er von vordefinierten 
Routing- oder Firewall-Regeln gar nicht erst weitergeleitet werden. So 
schließt man dann einige Teilnehmer aus - und es ist einfach eine weitere 
Fehlerquelle...

Ich fände es besser, auf das WLAN-eth ein Alias einzurichten. Beipspiel: 
"ifconfig eth1:0 172.x.y.z+1" und die damit entstandene zweite IP-Adresse 
des "eth1:0-devices" via HNA anzukündigen. Der olsrd kann leider nicht mit 
Aliases umgehen, also bleibt nur der Weg über HNA. Das Alias kann man dann 
z.B. komplett mit DNAT auf einen internen Rechner im 192.168er umleiten.

P.S.: Das Wochenende war leider nicht so erfolgreich. Eine der zentralen 
Funktionen der PnP-Firmware ist das Firmware-Upload via Web-Interface für 
Updates oder Firmware-Wechsel. Das hatte ich als AWK-cgi-script längst 
fertig und musste aber feststellen, das die Busybox-Variante vom AWK leider 
nicht "binary-clean" ist. Weil ich nix ordentliches gefunden habe, musste 
ich meine etwas angestaubten C-Kenntnisse bemühen. Kurz und gut: Es wird 
wohl bis zum Ende der Woche dauern...

P.P.S: Wenn jetzt jemand fragte: "Warum macht der das?" wäre die Antwort: 
"Weil ich gesehen habe, wie sich Leute mit dem TFTP die Finger brechen!".

Gruß, Sven-Ola

"Cornelius Keller" <ckeller at informatik.hu-berlin.de> schrieb im Newsbeitrag 
news:415DAAA3.40105 at informatik.hu-berlin.de...
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hi Dave,
>
> im prinzip sollte das routen ganz einfach sein, da du egentlich in der
> olsrd.conf einen eintrag für HNA  192.168.x.x machen mußt, und dann
> kümmert sich olsr um das setzen der richtigen routen auf deien 
> Netzbereich.
>
> Was allerdings richtig ist ist das wenn das jeder so macht es im OLSR
> Netz bald ein ziemliches chaos geben wird. Deswegen würde ich dir
> empfehlen einen nicht ganz so häufig verwendeten 192.168.x.x Netzbereich
> zu wählen, d.h. nicht 192.168.1.0  sondern vieleicht 192.168.23.0 und im
> ~ Wiki einzutragen daß du diesen bereich für dein Nezt zu hause
> beanspruchst.
>
> Das kann bei einen wachsenden olsr netz natürlich keine Dauerlösung sein
> , da das schnell unübersichtlich wird im wiki, ist für den Anfang denke
> ich aber aktzeptabel.
>
> Wenn Sven-ola mit seiner openwrt plug and play firmware fertig ist,
> wollte ich ohnehin eine website einrichten, auf der man vorkonfigurierte
> versionen dieser Firmware bekommt, inklusive eines über eine Datenbank
> eindeutig gehaltenen subnets für interne, nicht olsr rechner, aus dem
> der openwrt dann adressen per dhcp an alle clients vergibt die über das
> switch interface angeschlossen sind.
>
> Ich werde auch alle alten im Wiki bereits eingetragenen Netze in der
> Datenbank berücksichtigen, und die möglichkeit geben sich sowohl die
> olsr ip als auch die IPs für das interne Switch interface frei zu
> wählen, sofern sie noch nicht von jmd. anderem genutzt werden.
>
> Gruß
> - - Cornelius
>
> PS: das bridging mußt du natürlich in jedem fall ausschalten, macht bei
> solchen routing sachen nur probleme.
>
>
>
> Sven-Ola Tücke wrote:
> | Hi Dave,
> |
> | soweit ich aus Deinen Ausführungen überhaupt schlau geworden bin: Du
> willst
> | offenbar DNAT. Also vom Funknetz aus (via WLAN, mit OLSR, IP=172.16.x.x)
> | einen internen Rechner (via Ethernet, kein OLSR, IP=192.168.x.x)
> erreichen.
> | DNAT geht nur in PREROUTING. Lies doch einfach mal das "NAT HOWTO" auf
> | http://www.netfilter.org/documentation/index.html#documentation-howto 
> und
> | schau nach dem Stichwort "DNAT".
> |
> | "Dave" <tre at gmx.de> schrieb im Newsbeitrag 
> news:415D62F3.7050002 at gmx.de...
> |
> |>Hi Sven-Ola,
> |>
> |>danke für die schnelle antwort. dein paket hatte ich mir schon
> |>installiert und funktioniert auch prima. iss aber halt ausschließlich
> |>masquerading, sprich es gibt keine möglichkeit, dass pakete von
> |>außerhalb zu meinen rechnern finden, es sei denn, wir stellen alle
> |>unsere 192.168.x.x netze nach draußen, was ich aber für keine gute idee
> |>halte (zu viel chaos, geht wahrschl. eh nicht wegen des 172er
> |>subnetzes). um das zu umgehen gedachte ich, nat mit einem festen
> |>ip-address-mapping zu machen. was auch läuft, allerdings halt nur der
> |>verkehr von draußen nach drinnen und umgekehrt. der olsrd aufm wrt will
> |>aber auch mal einen meiner lokalen rechner unter der 172.16.x.x anpingen
> |>- geht schief, denn dafür braucht man output-nat-regeln. tja. :( ich hab
> |>grad mal openwrt kompiliert (hatte vorher nur das fertige rom) und mal
> |>schauen, dieser fehler soll wohl auch auftreten, wenn der kernel
> |>gepatcht wurde, die iptables user-programme aber mit alten headern
> |>kompiliert wurden. bin am ausprobieren, denke mal nat wird noch für alle
> |>interessant, die lokale rechner nicht mit olsr laufen haben, aber
> |>trotzdem einbinden wollen, ohne die ganze lokale netzwerkstruktur zu
> |>ändern.
> |>
> |>grüße
> |>dave
> |>
> |>Sven-Ola Tücke schrieb:
> |>
> |>
> |>>Hi Dave,
> |>>
> |>>in einem aktuellen OpenWRT sind die iptables aktiv und funktional. Dein
> |>>Problem wird sein, dass Du die "br0" (Bridge-Device) noch nicht vom
> |>>WLAN-Device getrennt hat. Prüfe mit "brctl show". Falls doch, hat Du 
> Dich
> |>>evt. vertippt: "iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o
> |>
> |>eth1 -j
> |>
> |>>MAQUERADE". Zum "br0"-Auftrennen schaust Du einfach in mein ipk: Lade
> |>>http://styx.commando.de/sven-ola/ipkg/olsrd_0.4.7_mipsel.ipk und packe 
> es
> |>>aus "tar xvzf olsrd_0.4.7_mipsel.ipk". In dem ipk ist u.a. 
> "data.tar.gz",
> |>>packe dieses auch aus "tar xvzf data.tar.gz" und schau dann in
> |>>"etc/init.d/S53olsrd".
> |>>
> |>>Gruß, Sven-Ola
> |>>
> |>>"Dave" <tre at gmx.de> schrieb im Newsbeitrag
> |>>news:415C4CBE.5090200 at gmx.de...
> |>>
> |>>
> |>>
> |>>>Hi Liste,
> |>>>
> |>>>ich kann irgendwie keine NAT-OUTPUT-Regeln erzeugen - liefert: 
> "invalid
> |>>>arguments" - ich hab herausgefunden, dass das wohl an einem fehlenden
> |>>>modul der iptables liegt. an sich braucht man normalerweise keine
> |>>>OUTPUT-Regeln. Nur will ich meine Rechner hinterm WRT54 unter anderen
> |>>>IP-Adressen im 172.x.x.x netz sichtbar machen und ich denke es ist der
> |>>>olsr daemon, der versucht sie anzupingen (wegen der erreichbarkeit 
> undso
> |>>>- ohne korrektes nat nat. nicht erreichbar :( ) und dazu bräuchte ich
> |>>>OUTPUT-Regeln (weil lokal generierte pings - iss klar). hat jemand da
> |>>>irgendeine idee, wie ich an das fehlende modul komme oder obs noch
> |>>>anders geht als mit den output-nat regeln?
> |>>>
> |>>>danke schonmal
> |>>>dave
> |>>>
> |>>>ansonsten bin ich echt begeistert, wie flawless openwrt und olsr
> |>>>funktionieren. jetzt fehlt nur noch ein link ins internet
> |>>>
> |>>>
> |>>>
> |>>>
> |>>>
> |>>
> |>>
> |>>
> |>>
> |>>
> |>
> |>
> |>
> |
> |
> |
> |
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.5 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
>
> iQEVAwUBQV2qo5FbnvyehKdrAQJ/MAf/QONsIWt9Rxrmqm+10snVczN8bRVjPCxY
> R4keF0bMsYRsrQlhzXHWnS0rBT3wB9weQjhr/p83selWNzXKgEpDadg0aJT84l14
> KYUcZPTn7TT1w3Bgmbh2kzUZiBKp226BgKVRzDUCdYn8lr6YzsA334OAN4NluxtQ
> JO1ARt2H3dcrswL6LwGkpSAZBWF7iSz9K7iFSCtU98pMcWH2YuAcIEd3uqX0AiQ+
> zCQrviWAUGMUw9mtHiUhplr2/9coEpcHSwIr+SEUvuOvMfRR8RwIaICZ7c2rw8kk
> s7O29actnLN4eJDKDiox3FTbPllBZqFRA9Vap78ZkWL2WNihyXCM0w==
> =yCrV
> -----END PGP SIGNATURE-----
> 








Mehr Informationen über die Mailingliste Berlin