[fli4l] Fli4l nur als Ethernet Router, wie?
Sascha Petri
Sascha.Petri at gmx.de
Di Sep 11 20:38:04 CEST 2018
Am 11.09.2018 um 20:30 schrieb Sascha Petri:
> Am 11.09.2018 um 08:26 schrieb Alexander Dahl:
>> Hallo Marcus,
>>
>> ich meine Du drückst Dich hier sehr unklar aus. Ich halte das nicht für
>> hilfreich. :-(
>>
>> (Alle Erläuterungen gelten nur für IPv4, bei IPv6 braucht man kein NAT
>> machen _und_ auch keine statischen Routen auf der Fritz!Box eintragen.)
>>
>> Marcus Roeckrath schrieb Montag, 10. September 2018, 08:59 (CEST):
>>>> Wozu dann die Route in der FB auf das interne Netz? Das ist unnötig
>>>> bzw.
>>>> es erlaubt sogar Angreifern, die es ins Netz der FB schaffen in Dein
>>>> internes Netz hinter dem fli4l geroutet zu werden. Verstehe ich nicht
>>>> den Ansatz.
>>>
>>> Wenn ANT auf dem fli4l angeschaltet ist, landet eine Anfrage von
>>> 192.168.1.x
>>> auf der Fritz mit 192.168.178.1. Woher soll die Fritz wissen, über
>>> welchen
>>> Weg die Antwort wieder zu senden ist?
>>
>> Wenn der fli4l NAT macht, dann bekommt er per DHCP oder statisch auf dem
>> Interface zu Fritz!Box hin ("WAN") eine IP aus dem Subnetz der
>> Fritz!Box, also wenn man in jener nichts weiter umkonfiguriert aus
>> 192.168.178.0/24, bspw. 192.168.178.23. Alle Kommunikation vom
>> fli4l-Router selbst und den dahinter befindlichen Clients, egal wie die
>> Netze hinter dem fli4l-Router aussehen, sehen wegen NAT auf dem
>> fli4l-Router für die Fritz!Box so aus als kämen sie von 192.168.178.23
>> und dahin schickt jene auch Pakete hin und zurück.
>>
>> Da Dein fli4l neben der Fritz!Box selbst das einzige Gerät in
>> 192.168.178.0/24 ist, und kein weiteres Gerät auf die Netze hinter dem
>> fli4l-Router zugreifen soll, warum auch, ist eine statische Route in der
>> Fritz!Box unnötig bzw. sogar kontraproduktiv.
>>
>> Im Grunde ist das die gleiche Geschichte wie wenn man den fli4l-Router
>> hinter ein Kabelmodem hängt, auch hier ist der fli4l ein
>> Ethernet-Router. Im Falle der Fritz!Box wird zwei mal NAT gemacht und
>> man kann auf der Fritz!Box noch Dinge einstellen, im Falle des
>> Kabelmodems, das ggf. im Bridge-Modus läuft, kann man u.U. gar nichts
>> einstellen, auch keine zusätzlichen statischen Routen, die braucht man
>> ja wie oben erläutert auch nicht. In beiden Fällen jedoch kann man den
>> fli4l auf dem "WAN"-Interface einfach als DHCP-Client laufen lassen und
>> NAT machen so wie auch bei DSL-Verbindungen o.ä. auch.
>>
>>> Wenn NAT auf dem fli4l aktiv ist, kommt doch die Anfrage nun vonm
>>> 192.168.178.2, womit der Antwortweg klar ist, oder?
>>
>> Siehe oben.
>>
>>> Ob irgendwelche willkürliche Pakete über die additional Route auf dem
>>> flirl
>>> bearbeitet werden, bestimmt doch deren Paketfilter. Solange da nicht
>>> explizit geöffnet wird, landen diese doch im Nirvana.
>>>
>>> Ich habe da im fli4l den smtp nur für die Fritz geöffnet (Forward),
>>> damit
>>> deren Statusmails auch im internen Netz landen.
>>
>> Aha. Dann hast Du also doch einen Client im Fritz!Box-Netz, der auf ein
>> Netz hinter dem fli4l-Router zugreifen soll. (Ich nehme an, der
>> SMTP-Server läuft nicht direkt auf dem fli4l-Router?)
>>
>> Es gibt auch die Möglichkeit ohne doppeltes NAT zu routen, der fli4l
>> macht dann eben kein Masquerading auf dem Interface, das im Netz der
>> Fritz!Box hängt. Auch dann braucht der fli4l-Router aber eine IP im Netz
>> der Fritz!Box und nur dann ist ein statische Route nötig, weil die
>> Anfragen von Clients hinter dem fli4l-Router ja dann nicht mehr durch
>> Masquerading bzw. NAT umgeschrieben werden. In dieser statischen Route
>> wird dann eben in der Fritz!Box die IP des fli4l-Routers eingetragen.
>>
>> Dieser zweite Ansatz gefällt mir nicht. Wenn man Netze hinter dem
>> fli4l-Router ändert, muss man das auch immer in der Fritz!Box mit
>> nachziehen. Diesen Aufwand spart man sich, wenn der fli4l-Router NAT
>> macht.
>>
>> Grüße
>> Alex
>>
>
Wie sehen denn die Beispiel Configs von base, dns_dhcp so aus, weiss
nicht wo ich was eintragen soll?
Der fli4 soll dann auch NAT machen.
Fritzbox soll dann nur das WLAN, Telefonie machen, der rest soll dann
wie gehabt der fli4l machen.
MfG Sascha
---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus
Mehr Informationen über die Mailingliste Fli4L