[Berlin-wireless] "Richtiges" Erreichbarmachen einer einzelnen IP-Adresse im Adressbereich des WAN-Gateways?

[Christian Hammel]

Hallo Liste,


Mein Freifunk-Router hängt WAN-seitig an einem (öffentlich erreichbaren) 
Gateway und routet Freifunk-Verbindungen über das VPN.

Das klappt auch prima mit einer Ausnahme: Ein von außen erreichbarer 
Server, der auf eine andere IP im (öffentlichen) Adressbereich des 
Gateways lauscht, ist für Clients hinter dem Freifunk-Router nicht 
erreichbar.

Grundsätzlich soll das ja im Normalfall exakt so sein, damit 
Freifunk-Nutzer nicht ins private LAN der Freifunk-Anbieter kommen. 
Anfragen der Clients kommen deshalb nach meinem Verständns wohl gar 
nicht erst via vpn ins offene Internet, von dem aus der Server ja 
erreichbar wäre

Ich würde nun gerne einen einzelnen Rechner (einen Mailserver) aus dem 
IP-Bereich des Gateways für Clients am Freifunk zugänglich machen.

Das sollte so weit ich es verstanden habe mit der Festlegung einer 
statischen Route (im LuCi unter Netzwerk | statische Routen) zu dieser 
IP machbar sein.

Da ich aber die Routingtabellenhierarchie des Policyroutings nicht 
wirklich verstanden habe, sicherheitshalber eine Frage:

Riskiere ich durch eine einzelne statische Route zu einer einzelnen IP, 
gleich das ganze Policyrouting auszuhebeln oder kann ich das getrost so 
machen?

Netz des WAN-Gateways ist: ~.112/29
IP des Gateways: ~.113
IP des für Freifunk-Clients zugänglich zu machenden Servers: ~.114
IP des WAN-Ports des Freifunk-Routers: ~.117
IPs der Freifunk-Clients: Im DHCP-Bereich von LAN und WLAN des 
Freifunk-Routers

Danke

Christian




-- 


Christian Hammel, Wuthenowstr. 9, 12169 Berlin