[Berlin-wireless] Verständnisfrage zum Kathleen PolicyRouting

[Malte]

On Sun, 8 Jan 2017, Smilie wrote:

>>> Um was es mir auch geht ist die Abgrenzung eines privaten LAN
>>> (WAN-Port) vom Freifunk. Ist das schon automatisch durch ein
>>> masquerading gelöst? Ich hatte gehofft, dass ich die Antwort auch
>>> im FAQ finden kann.
>> https://wiki.freifunk.net/Berlin:Firmware#Ist_mein_privates_Netz_sicher_vom_Freifunk-Netz_abgetrennt.3F
>> Schon im ersten Satz da findet sich eine Erklärung inkl. Link auf
>> https://wiki.freifunk.net/Policy_Routing
>> Nebenbei ist Masquerading keine Technik zum Trennen von Netzwerken;
>> alles Masquerading der Welt hielte ja niemanden davon ab, von einem
>> Freifunk-Client aus ein "ping 192.168.0.1" zu machen.
> ???
> Das kann doch nur geroutet werden, wenn die Route zu 192.168.0.1
> bekannt ist bzw. annonciert wird.

Also wenn ich hier einen Rechner an den Router anschließe, der Router mir 
ein Default-Gateway gibt auf seiner Freifunk-IP und ich auf dem Rechner 
dann ein mtr 192.168.0.1 (*keine* Freifunk-IP) mache, antwortet mir der 
*Router*, dass das so nicht passt. Ich würde mich jetzt mal alles andere 
als darauf verlassen, dass der Router die Pakete verwirft oder in 
Masquerading einpackt, falls er eben selbst eigentlich auf die IP hört und 
*kein* Policy-Routing (mit korrekten Einstellungen...) aktiv ist.

Abgesehen davon machen die Berliner Freifunk-Router kein Masquerading, das 
passiert auf dem VPN03.

> Ich dachte, dass sich bei Masquerading der 192.168.0.1er für eine 
> globale Adresse ausgibt, weil die Route zu privaten Adressen sogar nicht 
> bekannt sein darf.

Was heißt denn bitte "nicht bekannt sein darf", wenn der Freifunk-Router 
(angenommen ohne Policy-Routing) eben nur eine Routing-Tabelle hat? Ohne 
weitere Firewall wird dann eben geroutet wie's passt, insbesondere zu den 
eigenen lokalen Interfaces.

Grüße,
Malte