[Berlin-wireless] NAT: WAN -> FF

Martin Schmitz rupa
Di Jul 3 14:46:16 CEST 2007


Am 03.07.07 schrieb Sven-Ola Tuecke <sven-ola at gmx.de>:
> Fonera mit FON an WAN macht was du willst? Kann gar nicht sein.

Doch, ganz sicher. Fonera FW 0.7.1 r1 mit manuell installiertem
ff-fonera-pack (aktuelle Version von gestern). Das Ding bekommt per
DHCP eine IP aus meinem LAN und bezieht I-Net über diesen Link.

Trage ich nun auf anderen LAN-Rechneren als Route ein:
-net 104.0.0.0/8 gw 10.247.28.x (WAN-IP der Fonera; gleichzeitig LAN-IP
aus meinem LAN), routet die Fonera mich tadellos ins FF-Netz.

Das Einzige, was ich zusätzlich gemacht habe, ist eine kleine Änderung
in /etc/firewall.user. Dort habe ich die beiden Einträge für ssh
"einkommentiert" und zwei identische Regeln für http eingesetzt. Das
sollte aber eigentlich nur der Erreichbarkeit des WAN-Ifaces dienen,
nicht dem Routing.

> Solltest du was anderes feststellen -
> dann waere das wohl eine 'Sicherheitsluecke' ;-)

Inwiefern ist das eine Sicherheitslücke? Wenn Du das per Update von
ff-fonera-pack abstellst, sag bitte Bescheid. ;-)

(Btw.: zur Zeit scheinen ja fast täglich neue Versionen von
ff-fonera-pack zu erscheinen, kann man das auf der Fonera einfach per
"ipkg install ff-fonera-pack" updaten?)

> Und ja - ist ungewoehnlich in dem Sinne, dass so ein Geraet ja extra 
> RJ45-Buchsen und die ganze Switch/VLAN-logik hat. Fuer den
> Standardfall passt das. Da du 2 WRTs hast: mach' doch den ganzen
> Firewallkram aus und gib dem innen stehenden WRT eine 104er auf eine
> RJ45 Buchse. Die Ethernet-Strippe nutzt du fuer eine
> Punkt-zu-Punkt-Mesh-Verbindung (z.b. 104er Mini-Netz mit /30). OLSR
> uebernimmt das Routing, sollte ETX=1.0 geben. So wuerde ich das
> machen.

Naja, das ginge, wenn der interne WRT nicht unter der Linksys-FW liefe,
weil er a) nicht meiner ist und ich b) die Erreichbarkeit von außen via
HTTPS(!) sehr schätze. Ginge das auch mit DD-WRT? Aber erstmal vielen
Dank, Du hast mir ja damit schon zwei Ansätze geliefert, wie man das
machen könnte.

@nerdpunk: Wie hast Du das denn gelöst, oder hängen bei Deinem WRT LAN
und WAN nicht an einem einzigen Eth-Port?

Viele Grüße,
Martin




Mehr Informationen über die Mailingliste Berlin