[Berlin-wireless] Zugriff ins LAN erlauben
Christian Hammel
hammel at gmx.de
Mo Nov 18 17:12:47 CET 2019
Ich habe mich da erfolglos wundkonfiguriert, da mein Routing-Wissen nicht gereicht hat.
Quick und dirty und auf Grund eines hier etwas speziellen Settings ging es, indem ich zwischen beide einen billigen GL.INET als Bridge gesetzt habe. Dann kann der FF-Router eben nicht auf die Bridge zugreifen, an der außer dem uplink und ihm selbst sowieso nichts hängt.
In meinem Fall hängen allerdings das Gateway vom Firmen-LAN, der Firmenmailserver und der Freifunkrouter gemeinsam im selben (öffentlichen) IP-Netzbereich des Providers und das Policyrouting hat den Zugriff auf diesen IP-Bereich also auch auf den Mailserver verhindert. Der Zugriff auf die mail sollte ermöglicht werden und das Firmen-LAN-Gateway ist ausreichnd gut gesichert (da es ja sowoeso nach außen exponiert ist), so dass die Aushebelei in diesem speziellen Fall kein zusätzliches Risiko erzeugt hat. FAlls dein Setting ähnlich ist, mag das funktionieren. *Innerhalb* eines FirmenLAN würde ich das aber auf gar keinen Fall empfehlen, sonst machst du dir den Netzwerkadmin (völlig zu Recht) zum Feind.
Christian
> Gesendet: Montag, 18. November 2019 um 16:09 Uhr
> Von: "Martin Tille" <edv at gruene.de>
> An: "wirelesslan in Berlin" <berlin at berlin.freifunk.net>
> Betreff: [Berlin-wireless] Zugriff ins LAN erlauben
>
> Hallo liebe Freifunkcommunity,
>
> Im Wiki: https://wiki.freifunk.net/Berlin:Firmware steht:
>
> "Im Zweifelsfall kann der FF-Router einfach an einen LAN-Port gehängt
> werden; durch Policy Routing ist ein Zugriff auf das LAN vom FF-Netzwerk
> aus nicht möglich."
>
> Genau das möchte ich allerdings ermöglichen ggf. nur für einzelne "LAN"
> IPs. Wie kann ich das bewerkstelligen?
>
> Hab's mit einer Firewall Regel im Menü probiert, da steht jetzt
> "beliebiger traffic von beliebiger Rechner in beliebige Zone zu IP
> <LANIP> in beliebige Zone". Das reichte nicht, da steht auch Accept
> Forward statt wie bei den anderen Regeln Accept Input.?
>
> Kann mir da jemand ein Tipp geben?
>
> Mit herzlichen Grüßen
>
> Martin
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
Mehr Informationen über die Mailingliste Berlin