[Berlin-wireless] "Richtiges" Erreichbarmachen einer einzelnen IP-Adresse im Adressbereich des WAN-Gateways?

Sven Roederer freifunk at it-solutions.geroedel.de
So Feb 26 15:38:48 CET 2017 

Christian,

ich sehe folgende Möglichkeiten:
- NAT auf dem Freifunk-router: Da der Router ja jeden Host im
Upstream-Netz erreichen kann, kannst du per "iptablesW den SMTP-port des
Mailservers auf einen port (auch port 25) des Routers ummapen. Dadurch
landet dann jeder FF-client bei connect von port 25 des Routers auf dem
Mailserver.
- als statische Route: dabei musst du nur aufpassen, dass der
Routingeintrag in einer Routingtablee mit niedrigerer Priorität landet,
als die aktuellen Regeln. Sonst greifen die Regeln, die den Zugriff der
FF-Clients auf's upstream-LAN unterbinden.

Gruss Sven

Am 23.02.2017 um 23:34 schrieb Christian Hammel:
> Hallo Liste,
> 
> 
> Mein Freifunk-Router hängt WAN-seitig an einem (öffentlich erreichbaren)
> Gateway und routet Freifunk-Verbindungen über das VPN.
> 
> Das klappt auch prima mit einer Ausnahme: Ein von außen erreichbarer
> Server, der auf eine andere IP im (öffentlichen) Adressbereich des
> Gateways lauscht, ist für Clients hinter dem Freifunk-Router nicht
> erreichbar.
> 
> Grundsätzlich soll das ja im Normalfall exakt so sein, damit
> Freifunk-Nutzer nicht ins private LAN der Freifunk-Anbieter kommen.
> Anfragen der Clients kommen deshalb nach meinem Verständns wohl gar
> nicht erst via vpn ins offene Internet, von dem aus der Server ja
> erreichbar wäre
> 
> Ich würde nun gerne einen einzelnen Rechner (einen Mailserver) aus dem
> IP-Bereich des Gateways für Clients am Freifunk zugänglich machen.
> 
> Das sollte so weit ich es verstanden habe mit der Festlegung einer
> statischen Route (im LuCi unter Netzwerk | statische Routen) zu dieser
> IP machbar sein.
> 
> Da ich aber die Routingtabellenhierarchie des Policyroutings nicht
> wirklich verstanden habe, sicherheitshalber eine Frage:
> 
> Riskiere ich durch eine einzelne statische Route zu einer einzelnen IP,
> gleich das ganze Policyrouting auszuhebeln oder kann ich das getrost so
> machen?
> 
> Netz des WAN-Gateways ist: ~.112/29
> IP des Gateways: ~.113
> IP des für Freifunk-Clients zugänglich zu machenden Servers: ~.114
> IP des WAN-Ports des Freifunk-Routers: ~.117
> IPs der Freifunk-Clients: Im DHCP-Bereich von LAN und WLAN des
> Freifunk-Routers
> 
> Danke
> 
> Christian
> 
> 
> 
>

Mehr Informationen über die Mailingliste Berlin