[Berlin-wireless] "Richtiges" Erreichbarmachen einer einzelnen IP-Adresse im Adressbereich des WAN-Gateways?

Philipp Borgers borgers at mi.fu-berlin.de
Di Feb 28 13:27:16 CET 2017 

On Mon, Feb 27, 2017 at 11:00:05PM +0100, Christian Hammel wrote:
> @Sven, @ Harald,
> 
> danke. Das hilft weiter.
> 
> es geht tatsächlich vor allem um den Zugriff per https auf das
> Webmail-Interface des Mailservers.
> 
> >     - als statische Route: dabei musst du nur aufpassen, dass der
> >     Routingeintrag in einer Routingtablee mit niedrigerer Priorität landet,
> >     als die aktuellen Regeln. Sonst greifen die Regeln, die den Zugriff der
> >     FF-Clients auf's upstream-LAN unterbinden.
> 
> Das hatte ich befürchtet. Dann werde ich wohl wenn Haralds Lösung nicht
> geht, mal testen und suchen müssen, wo LuCi eine statische Route tatsächlich
> einträgt.

https://wiki.openwrt.org/doc/uci/network#ipv4_routes

Wenn du eine Route anlegst, kannst du auch eine Option "table" angeben.

Wahrscheinlich musst du noch eine Regel in der Firewall anlegen, die Paket aus
dem Freifunk-Netz/Zone (option src 'freifunk') zur IP des Servers (option
dest_ip '1.2.3.4') durchlässt.

> > Mir gefällt diese Umgehung der Policy-Regeln irgendwie nicht. Damit wird
> > die Zusage ungültig, dass es keinen Zugriff auf das private Netz gibt.
> > 
> > Ich würde es vermutlich über ein zusätzliches NAT lösen und den
> > Freifunkrouter in ein privates Netz stecken.
> 
> Das könnte sogar noch einfacher sein. Danke für den Tipp. Ich gehe dem mal
> nach, ob der Gatewayrouter das ohne Zwischenschaltung von noch einem Router
> kann.
> 
> > Eventuell macht es für den Mailserver
> > sogar einen Unterschied, ob der Zugriff aus dem lokalen Netz oder von
> > einer weniger vertrauenswürdigen IP-Adresse kommt. Das würde ich nicht
> > ohne Rücksprache mit dem Admin umgehen.
> 
> Kläre ich mal. Der hatte mich ja überhaupt erst darauf hingewiesen, dass der
> Zugriff von Freifunk-Clients aus nicht geht und dass das unmöglich an seinem
> Mailserver liegen kann.
> 
> Danke
> 
> Christian
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20170228/52f119ac/attachment.sig>

Mehr Informationen über die Mailingliste Berlin