[Berlin-wireless] "Richtiges" Erreichbarmachen einer einzelnen IP-Adresse im Adressbereich des WAN-Gateways?

[Harald Stürzebecher]

Am 26.02.2017 3:39 nachm. schrieb "Sven Roederer" <freifunk at it-solutions.
geroedel.de>:

Christian,

ich sehe folgende Möglichkeiten:
- NAT auf dem Freifunk-router: Da der Router ja jeden Host im
Upstream-Netz erreichen kann, kannst du per "iptablesW den SMTP-port des
Mailservers auf einen port (auch port 25) des Routers ummapen. Dadurch
landet dann jeder FF-client bei connect von port 25 des Routers auf dem
Mailserver.


Wenn das ohne Änderungen an den Clients funktionieren soll, müsste man
AFAICT auch noch unschöne Dinge mit dem DNS tun. Welche Folgen das für das
Zertifikat des Mailservers hat, kann ich nicht abschätzen.

- als statische Route: dabei musst du nur aufpassen, dass der
Routingeintrag in einer Routingtablee mit niedrigerer Priorität landet,
als die aktuellen Regeln. Sonst greifen die Regeln, die den Zugriff der
FF-Clients auf's upstream-LAN unterbinden.


Mir gefällt diese Umgehung der Policy-Regeln irgendwie nicht. Damit wird
die Zusage ungültig, dass es keinen Zugriff auf das private Netz gibt.

Ich würde es vermutlich über ein zusätzliches NAT lösen und den
Freifunkrouter in ein privates Netz stecken. Dann machen die Daten zwar
einen riesigen Umweg über VPN03, aber die Trennung von Freifunk und lokalem
Netz bleibt erhalten. Eventuell macht es für den Mailserver sogar einen
Unterschied, ob der Zugriff aus dem lokalen Netz oder von einer weniger
vertrauenswürdigen IP-Adresse kommt. Das würde ich nicht ohne Rücksprache
mit dem Admin umgehen.


VG
Harald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20170227/ce4942f2/attachment.html>