[fli4l] Fli4l nur als Ethernet Router, wie?

Di Sep 11 20:30:08 CEST 2018

Am 11.09.2018 um 08:26 schrieb Alexander Dahl:
> Hallo Marcus,
> 
> ich meine Du drückst Dich hier sehr unklar aus. Ich halte das nicht für
> hilfreich. :-(
> 
> (Alle Erläuterungen gelten nur für IPv4, bei IPv6 braucht man kein NAT
> machen _und_ auch keine statischen Routen auf der Fritz!Box eintragen.)
> 
> Marcus Roeckrath schrieb Montag, 10. September 2018, 08:59 (CEST):
>>> Wozu dann die Route in der FB auf das interne Netz? Das ist unnötig bzw.
>>> es erlaubt sogar Angreifern, die es ins Netz der FB schaffen in Dein
>>> internes Netz hinter dem fli4l geroutet zu werden. Verstehe ich nicht
>>> den Ansatz.
>>
>> Wenn ANT auf dem fli4l angeschaltet ist, landet eine Anfrage von 192.168.1.x
>> auf der Fritz mit 192.168.178.1. Woher soll die Fritz wissen, über welchen
>> Weg die Antwort wieder zu senden ist?
> 
> Wenn der fli4l NAT macht, dann bekommt er per DHCP oder statisch auf dem
> Interface zu Fritz!Box hin ("WAN") eine IP aus dem Subnetz der
> Fritz!Box, also wenn man in jener nichts weiter umkonfiguriert aus
> 192.168.178.0/24, bspw. 192.168.178.23. Alle Kommunikation vom
> fli4l-Router selbst und den dahinter befindlichen Clients, egal wie die
> Netze hinter dem fli4l-Router aussehen, sehen wegen NAT auf dem
> fli4l-Router für die Fritz!Box so aus als kämen sie von 192.168.178.23
> und dahin schickt jene auch Pakete hin und zurück.
> 
> Da Dein fli4l neben der Fritz!Box selbst das einzige Gerät in
> 192.168.178.0/24 ist, und kein weiteres Gerät auf die Netze hinter dem
> fli4l-Router zugreifen soll, warum auch, ist eine statische Route in der
> Fritz!Box unnötig bzw. sogar kontraproduktiv.
> 
> Im Grunde ist das die gleiche Geschichte wie wenn man den fli4l-Router
> hinter ein Kabelmodem hängt, auch hier ist der fli4l ein
> Ethernet-Router. Im Falle der Fritz!Box wird zwei mal NAT gemacht und
> man kann auf der Fritz!Box noch Dinge einstellen, im Falle des
> Kabelmodems, das ggf. im Bridge-Modus läuft, kann man u.U. gar nichts
> einstellen, auch keine zusätzlichen statischen Routen, die braucht man
> ja wie oben erläutert auch nicht. In beiden Fällen jedoch kann man den
> fli4l auf dem "WAN"-Interface einfach als DHCP-Client laufen lassen und
> NAT machen so wie auch bei DSL-Verbindungen o.ä. auch.
> 
>> Wenn NAT auf dem fli4l aktiv ist, kommt doch die Anfrage nun vonm
>> 192.168.178.2, womit der Antwortweg klar ist, oder?
> 
> Siehe oben.
> 
>> Ob irgendwelche willkürliche Pakete über die additional Route auf dem flirl
>> bearbeitet werden, bestimmt doch deren Paketfilter. Solange da nicht
>> explizit geöffnet wird, landen diese doch im Nirvana.
>>
>> Ich habe da im fli4l den smtp nur für die Fritz geöffnet (Forward), damit
>> deren Statusmails auch im internen Netz landen.
> 
> Aha. Dann hast Du also doch einen Client im Fritz!Box-Netz, der auf ein
> Netz hinter dem fli4l-Router zugreifen soll. (Ich nehme an, der
> SMTP-Server läuft nicht direkt auf dem fli4l-Router?)
> 
> Es gibt auch die Möglichkeit ohne doppeltes NAT zu routen, der fli4l
> macht dann eben kein Masquerading auf dem Interface, das im Netz der
> Fritz!Box hängt. Auch dann braucht der fli4l-Router aber eine IP im Netz
> der Fritz!Box und nur dann ist ein statische Route nötig, weil die
> Anfragen von Clients hinter dem fli4l-Router ja dann nicht mehr durch
> Masquerading bzw. NAT umgeschrieben werden. In dieser statischen Route
> wird dann eben in der Fritz!Box die IP des fli4l-Routers eingetragen.
> 
> Dieser zweite Ansatz gefällt mir nicht. Wenn man Netze hinter dem
> fli4l-Router ändert, muss man das auch immer in der Fritz!Box mit
> nachziehen. Diesen Aufwand spart man sich, wenn der fli4l-Router NAT
> macht.
> 
> Grüße
> Alex
> 

Wie sehen denn die Beispiel Configs von base, dns_dhcp so aus, weiss 
nicht wo ich was eintragen soll?

MfG Sascha

---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus