[fli4l] Fli4l nur als Ethernet Router, wie?

Alexander Dahl lespocky at web.de
Di Sep 11 08:26:59 CEST 2018 

Hallo Marcus,

ich meine Du drückst Dich hier sehr unklar aus. Ich halte das nicht für
hilfreich. :-(

(Alle Erläuterungen gelten nur für IPv4, bei IPv6 braucht man kein NAT
machen _und_ auch keine statischen Routen auf der Fritz!Box eintragen.)

Marcus Roeckrath schrieb Montag, 10. September 2018, 08:59 (CEST):
>> Wozu dann die Route in der FB auf das interne Netz? Das ist unnötig bzw.
>> es erlaubt sogar Angreifern, die es ins Netz der FB schaffen in Dein
>> internes Netz hinter dem fli4l geroutet zu werden. Verstehe ich nicht
>> den Ansatz.
>
> Wenn ANT auf dem fli4l angeschaltet ist, landet eine Anfrage von 192.168.1.x
> auf der Fritz mit 192.168.178.1. Woher soll die Fritz wissen, über welchen
> Weg die Antwort wieder zu senden ist?

Wenn der fli4l NAT macht, dann bekommt er per DHCP oder statisch auf dem
Interface zu Fritz!Box hin ("WAN") eine IP aus dem Subnetz der
Fritz!Box, also wenn man in jener nichts weiter umkonfiguriert aus
192.168.178.0/24, bspw. 192.168.178.23. Alle Kommunikation vom
fli4l-Router selbst und den dahinter befindlichen Clients, egal wie die
Netze hinter dem fli4l-Router aussehen, sehen wegen NAT auf dem
fli4l-Router für die Fritz!Box so aus als kämen sie von 192.168.178.23
und dahin schickt jene auch Pakete hin und zurück.

Da Dein fli4l neben der Fritz!Box selbst das einzige Gerät in
192.168.178.0/24 ist, und kein weiteres Gerät auf die Netze hinter dem
fli4l-Router zugreifen soll, warum auch, ist eine statische Route in der
Fritz!Box unnötig bzw. sogar kontraproduktiv.

Im Grunde ist das die gleiche Geschichte wie wenn man den fli4l-Router
hinter ein Kabelmodem hängt, auch hier ist der fli4l ein
Ethernet-Router. Im Falle der Fritz!Box wird zwei mal NAT gemacht und
man kann auf der Fritz!Box noch Dinge einstellen, im Falle des
Kabelmodems, das ggf. im Bridge-Modus läuft, kann man u.U. gar nichts
einstellen, auch keine zusätzlichen statischen Routen, die braucht man
ja wie oben erläutert auch nicht. In beiden Fällen jedoch kann man den
fli4l auf dem "WAN"-Interface einfach als DHCP-Client laufen lassen und
NAT machen so wie auch bei DSL-Verbindungen o.ä. auch.

> Wenn NAT auf dem fli4l aktiv ist, kommt doch die Anfrage nun vonm
> 192.168.178.2, womit der Antwortweg klar ist, oder?

Siehe oben.

> Ob irgendwelche willkürliche Pakete über die additional Route auf dem flirl
> bearbeitet werden, bestimmt doch deren Paketfilter. Solange da nicht
> explizit geöffnet wird, landen diese doch im Nirvana.
>
> Ich habe da im fli4l den smtp nur für die Fritz geöffnet (Forward), damit
> deren Statusmails auch im internen Netz landen.

Aha. Dann hast Du also doch einen Client im Fritz!Box-Netz, der auf ein
Netz hinter dem fli4l-Router zugreifen soll. (Ich nehme an, der
SMTP-Server läuft nicht direkt auf dem fli4l-Router?)

Es gibt auch die Möglichkeit ohne doppeltes NAT zu routen, der fli4l
macht dann eben kein Masquerading auf dem Interface, das im Netz der
Fritz!Box hängt. Auch dann braucht der fli4l-Router aber eine IP im Netz
der Fritz!Box und nur dann ist ein statische Route nötig, weil die
Anfragen von Clients hinter dem fli4l-Router ja dann nicht mehr durch
Masquerading bzw. NAT umgeschrieben werden. In dieser statischen Route
wird dann eben in der Fritz!Box die IP des fli4l-Routers eingetragen. 

Dieser zweite Ansatz gefällt mir nicht. Wenn man Netze hinter dem
fli4l-Router ändert, muss man das auch immer in der Fritz!Box mit
nachziehen. Diesen Aufwand spart man sich, wenn der fli4l-Router NAT
macht.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6

Mehr Informationen über die Mailingliste Fli4L