[Berlin-wireless] nochmal Umstieg auf Hedy/Direktausleitung: Policyrouting abschalten?

Christian Hammel hammel at gmx.de
Di Jun 5 23:13:13 CEST 2018


nochmal für's Archiv:

für den Sonderfall WAN = öffentliche IP in einem Netzwerk des Providers 
fiel mir das Policyrouting auf die Füße, weil dadurch die öffentlichen 
Server im selben Netz wie WAN nicht mehr erreichbar waren.

Die Lösung, stattdessen ein backbone-Image zu nutzen hat im Prinzip 
funktioniert. Damit war aber auch die Bandbreitenbeschränkung über das 
QoS weg und mesh wollte nicht so ganz. Letzteres hätte ich vielleicht 
noch hinbekommen. QoS nachzuinstallieren hätte dann doch meine 
IT-Fertigkeiten weit überschritten.

Ich habe das jetzt gelöst, indem ich einfachen GL-inet 150 (mit 
abgeschaltetem WiFi) zwischen die öffentliche IP und das WAN des 
Freifunk-Routers gebaut habe. Damit funktioniert ein "normales" 
user-Image wieder, Policyrouting ist ausgehebelt und alles andere klappt 
auf Anhieb und prima. Vielleicht nicht elegant, ging aber 
(erstaunlicherweise trotz Mehrfach-NAT). Freifunk-Router ist jetzt 
natürlich nicht mehr von außen erreichbar, was mir aber ganz recht ist.

Danke nochmal für eure Tipps.

Hedy 1.0.1 auf dem WDR4300 (default, Neuinstallation) hat auch auf 
Anhieb funktioniert wie es soll. Dank an die Firmware-Bauer.

Christian



Am 23.05.2018 um 11:09 schrieb Christian Hammel:
> Hallo Sven,
> 
> die meisten Punkte habe ich wohl "nebenbei" schon erledigt, ohne sie extra zu erwähnen.
> BSSID und mcast hätte ich allerdings in der Tat übersehen. Und danke für den Link zu den Quellen.
> 
> Christian
> 
>> Gesendet: Dienstag, 22. Mai 2018 um 23:50 Uhr
>> Von: "Sven Roederer" <freifunk at it-solutions.geroedel.de>
>> An: berlin at berlin.freifunk.net
>> Betreff: Re: [Berlin-wireless] nochmal Umstieg auf Hedy/Direktausleitung: Policyrouting abschalten?
>>
>> Christian,
>>
>> richtig die groben Details sind gar nicht so kompliziert. Aber ein
>> paar Sachen macht der Assistent noch:
>> - dhcp:
>>    - default lease-time auf 5 Minuten reduzieren
>>    - DNS-Servers: https://github.com/openwrt/luci/blob/master/contrib/package/community-profiles/files/etc/config/profile_berlin#L36
>> - adhoc-mesh:
>>    - BSSID ändern https://github.com/openwrt/luci/blob/master/contrib/package/community-profiles/files/etc/config/profile_berlin#L25
>>    - mcast-rate: https://github.com/openwrt/luci/blob/master/contrib/package/community-profiles/files/etc/config/profile_berlin#L19
>> - wenn du magst kannst du die Interfaces noch umbenennen, um "kompatibel" zu sein
>>    - wlan{0|1}-dhcp-{2|5}
>>    - wlan{0|1}-adhoc-{2|5}
>>    - br-dhcp
>> - ...
>>
>> Insb. die punkte unter "adhoc-mesh" sind glaube irgendwie nicht unwichtig ...
>>
>> Gruss Sven
>>
>>
>> Am 22.05.2018 um 22:46 schrieb Christian Hammel:
>>> Hallo Perry,
>>>
>>> danke für den Tipp.
>>>
>>> Hat funktioniert und ich musste nicht erlernen, wie man herausoperiert, was die FW-Entwickler mit viel Mühe und gutem Grund hineinoperiert haben.
>>>
>>> Und für's Archiv, falls nochmal jemand darüber stolpert:
>>>
>>> Mangels Assistent muss man in dem Fall ein paar Sachen "zu Fuß" einrichten:
>>> - Password und Koordinaten setzen. Dazu fordert das Gerät auf (ohne Password einloggen, dann geht es)
>>> - WAN: IP-Konfiguration vom Provider eintragen (oder DHCP)
>>> - LAN: statische IP und DHCP-Netz setzen
>>> Damit sollten der Router und seine Clients schon mal Netz haben, jetzt noch verfreifunken:
>>> - Wireless: die Master/AP-Einträge von "LEDE" auf "berlin.freifunk.net" umbenennen, Frequenz eingeben,...
>>> - Wireless: bei den radio0 und radio1-Abschnitten ein weiteres wireless-Netz für mesh hinzufügen (ad hoc-Mode) und mit "erstelle" an eine neue Schnittstelle (z.B. wireless0 und 1) binden.
>>> - Die neuen Schnittstellen mit den mesh-IPs versehen (statisch, Maske 255.255.255.255)
>>> - OLSR an diese Schnittstellen binden
>>> Nun mesht es auch.
>>>
>>> Gruß
>>>
>>> Christian
>>>
>>>
>>> Am 17.05.2018 um 21:17 schrieb Perry:
>>>> Hallo Christian,
>>>>
>>>> Vielleicht für dein setup ist der backbone version die beste lösung.  Es
>>>> gibt weder policy routing noch ffuplink.
>>>>
>>>> Gruß,
>>>> Perry
>>>>
>>>> On 17.05.2018 20:42, Christian Hammel wrote:
>>>>> Sorry, nochmal das Thema.
>>>>>
>>>>> Ich habe eine etwas spezielle Installation, bei der mir vermutlich durch
>>>>> den Umstieg auf Direktausleitung das Policyrouting auf die Füße fällt
>>>>>
>>>>> WAN-seitig hängt mein Router an einer öffentlich sichtbaren IP, die zu
>>>>> einem /29-Netz gehört.
>>>>> Der Router soll (WAN-seitig) auf X.X.X.126 hören (Netz: 120, Gateway:
>>>>> 121, Broadcast: 127).
>>>>>
>>>>> Die Clients im DHCP-Netz des Routers sollen weiterhin nicht von außen
>>>>> ansprechbar sein.
>>>>>
>>>>> Die Clients sollen aber abweichend vom Standard-Setup in die Lage
>>>>> kommen, andere Rechner aus dem o.g. Netz zu erreichen. (Die bieten
>>>>> ohnehin öffentlich Dienste an.) Das geht leider noch nicht.
>>>>>
>>>>> Der Router selbst soll weiterhin von außen per http und ssh erreichbar
>>>>> sein (ist er gerade nur manchmal, meist kommt connection refused)
>>>>>
>>>>> Freifunk-Policyrouting habe ich zunächst unter System | Systemstart
>>>>> deaktiviert. Ohne Erfolg. Danach noch in
>>>>> /etc/config/freifunk-policyrouting die Option enable auf 0 gesetzt. Das
>>>>> hat auch nicht den erwünschten Effekt gebracht.
>>>>> Nun bin ich mit meinem Know-how am Ende.
>>>>>
>>>>> 1.
>>>>> Kann die Nichterreichbarkeit von außen daran liegen, dass ich die
>>>>> statische XXX.126 sowohl dem Interface WAN als auch dem FFUPLINK
>>>>> zugeteilt habe und damit selbst Verwirrung stifte, wer antworten soll?
>>>>>
>>>>> 2.
>>>>> Ich bin mir leider nicht mal im Klaren, ob mir eigentlich bezüglich der
>>>>> Nichterreichbarkeit der öffentlichen Dienste, z.B. auf dem Server
>>>>> XXX.122 wirklich das Policyrouting auf die Füße fällt oder die
>>>>> Firewall-Zonen.
>>>>> Was ich in (1) zum Policyrouting gefunden habe, ist mir außer dem
>>>>> Eintrag in config leider zu hoch als dass ich es anpassen könnte.
>>>>> Jemand eine Idee, ob ich das mit Bordmitteln in den Griff bekomme
>>>>> (möglichst ohne noch einen weiteren Router zwischen den Freifunk-Router
>>>>> und die IP im öffentlichen Netz zu klemmen)?
>>>>>
>>>>> Danke
>>>>>
>>>>> Christian
>>>>>
>>>>>
>>>>> (1)
>>>>> http://luci.subsignal.org/trac/browser/luci/trunk/contrib/package/freifunk-policyrouting/files/etc?order=name
>>>>>
>>>>>
>>>>>
>>>>>
>>>>
>>>> _______________________________________________
>>>> Berlin mailing list
>>>> Berlin at berlin.freifunk.net
>>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>>>>
>>>
>>> _______________________________________________
>>> Berlin mailing list
>>> Berlin at berlin.freifunk.net
>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> 



Mehr Informationen über die Mailingliste Berlin