[fli4l] FLI als Interner Router & mehr.

[Hans Bachner]

Hallo Kay,

Kay Martinen schrieb am 03.04.2024 um 19:18:
> Hallo
> 
> Seit November kein Traffic hier? Ich hoffe es liest noch jemand mit.
> 
> Ich habe folgendes vor (Idee).
> 
> Hier habe ich einen Futro S200 Thin Client (Transmeta 700MHz, ca 256MB 
> RAM, Boot per interner CF) den ich zu ISDN & DSL-Zeiten schon als 
> Internet Router eingesetzt hatte.
> 
> Jetzt möchte ich den für folgendes Konfigurieren und hoffe das jemand 
> ähnliches schon machte und ggf. Tips geben kann.
> 
> 1. LAN-LAN Router zwischen meinem Normalen LAN und 1-2 Abgetrennten 
> LAN-Segmenten, ggf. ohne Masquerading aber mit Firewall wg. OAC plus 
> dhcp für diese beiden Segmente.
> 
> 2. In den PCI-Slot des S200 soll eine ISDN Karte die via Telmond anrufe 
> signalisieren und evtl. Faxe und AB annehmen/Senden soll. Ein 
> ISDN-Anschluß am vorgelagerten Router ist vorhanden.
> 
> 3. Wg. obige Belegung VLAN Nötig. Mein LAN soll dabei untagged sein, die 
> anderen beiden (Retro PCs und ggf. getrennte Management-LAN) sollen 
> Tagged sein. Ob die via-rhine NIC des Futro das kann weiß ich noch 
> nicht. Ein Managed-Switch ist vorhanden.
> 
> 4. Imond/telmond sollen sowohl zum Normalen LAN als auch zum Retro-LAN 
> hin erreichbar sein. Sollte per FW-Regel gehen oder?
> 
> 5. Per OAC will ich ein generelles Deny All für die getaggten Internen 
> LAN-Segmente machen und in der WebUI des FLI dann nur manuell und bei 
> bedarf einen Host frei geben können.
> 
> 6. Der FLI soll im Normalen LAN mit einer Festen IP stehen und ggf. auch 
> Gateway zu den beiden anderen LANs sein. Antwortpakete sollen natürlich 
> dann auch zurück kommen können in das Quellnetz. Kollidiert das mit OAC?
> 
> Als Beispiel mal skizziert:
> 
> LAN: 192.168.1.5/24
> Defaultroute auf WAN-GW (Ein OPN das Masquerading zum WAN-Router macht)
> WebUI, ssh, telmond u.a. (updates) erreichbar
> 
> Retro-VLAN:
> 192.168.5.x/24
> dhcp vergabe an alte Windows, DOS, OS/2 Clients.
> telmond/imonc ssh u.a. erreichbar auch von imonc.
> kein masq, nur FW
> OAC Deny all mit umschaltmöglichkeit via WebUI
> routing von LAN->Retro und Netzroute von Retro->LAN (an OAC vorbei?)
> 
> Management-VLAN:
> 192.168.10.x/24
> dhcp vergabe oder Static Leases an ILO o.a. Interfaces.
> rest wie bei Retro.
> 
> Ich überlege auch ob ich die beiden VLANs nicht in einem zusammen führe 
> um es zu vereinfachen. So viele IP's sind es ja nicht.
> 
> Aktuell habe ich nur; wo ich dies hier aufschreibe; zweifel ob OAC mir 
> da nicht auch den Rückweg verbaut. Denn ich vermute das wird die Hosts 
> per FW-regel blocken und ob das nur in richtung LAN und Default-route 
> wirkt oder auch auf den Rückweg von Verbindungen von LAN zu Retro ist 
> mir nicht ganz klar.
> 
> Theoretisch könnte ich im LAN die Defaultroute ja auch ungültig machen 
> aber dann kommt überhaupt kein Host auf Kommando raus ins Internet und 
> OAC wäre komplett sinnlos.
> 
> Mal wieder so eine "Eierlegende Wollmilchsau" Idee oder? ;)
> 
> Bye/
>    /Kay

Zu OAC kann ich nichts sagen. Der Rest sollte wohl funktionieren.

Bis vor gut einem Jahr hatte ich einen alten Igel Thin Client als Router 
im Büro, der inzwischen durch einen APU ersetzt wurde. Dort hab ich eine 
uralte quad-port Netzwerkkarte (mit einem DEC-Tulip-Chip) verwendet, um 
produktives LAN, DMZ und Gast-LAN sauber zu trennen. Auf dem Port zum 
(ungetaggeten) LAN habe ich mit fli4l-Mitteln noch ein VLAN draufgelegt, 
was für die NIC überhaupt kein Problem war. Ich denke, dass die Hardware 
gar nichts besonderes können muss - VLANs werden doch erst vom Treiber 
auseinander klamüsert, auf Basis der VLAN-Infos im Netzwerkpaket.

Alles andere sollte mit Firewall-Regeln machbar sein - sofern OAC dem 
nicht entgegensteht. Dieses Paket habe ich nie verwendet.

Halt uns auf dem Laufenden, wie es klappt :-)

Viele Erfolg,
Hans.