[Berlin-wireless] NAT vom Freifunk > WAN abschalten

ulf kypke u.kypke
Sa Apr 21 15:46:14 CEST 2012


wenn du das nat auf dem tplink ausmachst und dein internet router die
einzige nat instanz ist, dann braucht der internet router eine netzroute zu
dem tplink, irgendwas mit 104.0.0.0/8 gateway die ip des tplinks am wan.
dann auf dem tplink forwaring allow, das wars.
ich habe seit meiner umstellung auf 1und1 weil nun fritzbox mit integr.
vdsl modem das selbe setup. fritzbox ist router, tplink am lan und macht
vpn und tunnelt das 104/8 via nat durch mein lan.
zur sicherheit habe ich dann noch die regel, dass alles aus 104 nur die
fritzbox aber keine andere im lan erreichen soll.
ich poste hier mal die config:

root at k159gw:~# cat /etc/config/firewall

config 'defaults'
    option 'syn_flood' '1'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'drop_invalid' '1'

config 'zone'
    option 'name' 'lan'
    option 'network' 'lan'
    option 'input' 'ACCEPT'
    option 'output' 'ACCEPT'
    option 'forward' 'ACCEPT'

config 'zone'
    option 'name' 'wan'
    option 'network' 'wan'
    option 'input' 'REJECT'
    option 'output' 'ACCEPT'
    option 'forward' 'ACCEPT'
    option 'mtu_fix' '0'
    option 'masq' '0'

config 'rule'
    option 'src' 'wan'
    option 'proto' 'udp'
    option 'dest_port' '68'
    option 'target' 'ACCEPT'
    option 'family' 'ipv4'

config 'rule'
    option 'src' 'wan'
    option 'proto' 'icmp'
    option 'icmp_type' 'echo-request'
    option 'target' 'ACCEPT'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'ssh'
    option 'src' 'wan'
    option 'proto' 'tcp'
    option 'dest_port' '22'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'https'
    option 'src' 'wan'
    option 'proto' 'tcp'
    option 'dest_port' '443'

config 'rule'
    option 'target' 'ACCEPT'
    option '_name' 'wanallow'
    option 'src' 'lan'
    option 'dest' 'wan'
    option 'proto' 'all'
    option 'dest_ip' '10.99.7.1'
    option 'family' 'ipv4'

config 'rule'
    option '_name' 'lanblock'
    option 'src' 'lan'
    option 'dest' 'wan'
    option 'proto' 'all'
    option 'dest_ip' '10.99.7.0/27'
    option 'target' 'DROP'
    option 'family' 'ipv4'

config 'zone'
    option 'input' 'ACCEPT'
    option 'forward' 'REJECT'
    option 'output' 'ACCEPT'
    option 'name' 'vpn'
    option 'masq' '1'
    option 'mtu_fix' '1'
    option 'network' 'vpn'

config 'forwarding'
    option 'dest' 'vpn'
    option 'src' 'lan'




Am 21. April 2012 07:59 schrieb Thomas Buchroth <t.buc at web.de>:

> Hallo liebe Freifunker,
>
> ich würde gern das NAT dem Router überlassen der den Uplink zum Internet
> macht. Dazu möchte ich auf dem Freifunk Router das NAT abschalten, das ist
> wohl nicht so einfach, gibt es irgendwo eine Anleitung?
>
> Dank Stefan und Dennis benutze ich inzwischen dieses Image
> http://firmware.pberg.freifunk.net/backfire/10.03.2-timestamp/2012-04-19_12-27/ar71xx/openwrt-ar71xx-tl-wr741nd-v1-squashfs-sysupgrade.binund natürlich den passenden Router TL-WR741ND. Zusätzlich zur
> Grundausstattung habe ich auf dem  TL-WR714ND die Pakete
> luci-mod-admin-full luci-app-firewall installiert.
>
> Via Weboberfläche das NAT einfach abschalten klapt leider nicht.
> Das NAT aus dem LAN des TL-WR741ND Richtung FF und Richtung WAN sollte
> möglichst weiterhin funktionieren.
>
>
> Gruss Thomas
>
>
> Ihr WEB.DE Postfach immer dabei: die kostenlose WEB.DE Mail App für
> iPhone und Android.
> *https://produkte.web.de/freemail_mobile_startseite/*<https://produkte.web.de/freemail_mobile_startseite/>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>



-- 
----------------------------------
Dipl.-Ing. Ulf Kypke-Burchardi
Köpenicker Strasse 159
10997 Berlin, Germany
+49 - (0) 177 - 3405152
----------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20120421/aaf199d7/attachment.html>



Mehr Informationen über die Mailingliste Berlin