Mitec
Member
Hallo Forum
Bald ist hoffentlich mein Projekt "Zwei OpenWRT Netzwerke verbinden, aber nur bestimmte Verbindungen zulassen" (Link) abgeschlossen.
Für den Letzten Schritt, also alle Verbindungen blockieren und nur bestimmte Verbindungen zulasse, möchte ich zuerst noch die Firewall und die Interfaces / Netzwerkschnittstellen besser verstehen.
Interfaces
In der Standardkonfiguration hat OpenWRT 3 Interfaces, lan, wan, wan6 (wobei ich wan6 hier ignoriere).
lan hat das Geräte Bridge (br-lan) mit den Geräten lan1 bis lan3 (Switch Ports)
wan ist ein Switch Port? Nein - wan ist ein Interface mit dem Gerät wan (Switch Port)
Die dazugehörige /etc/interfaces Teile sehen so aus:
Die dazugehörigen Teile der /etc/firewall sehen so aus:
Firewall
Mit diesem Code verstehe ich nun auch die Konfiguration besser, siehe Screenshot Anhang 1
Was ich nicht verstanden habe war, warum eine Zone (hier lan) ein "Forwarding" auf "wan" hat.
Fehlerquelle: Es sah so aus, als ob die Firewall Regel nur für das Forwarding auf das angegebene Ziel unter "Forwarding" gilt.
Nun sehe ich, das Forwarding ist in der Konfigurationsdatei getrennt von der eigentlichen Regel.
----------------------------------
Internet via WLAN Verbindung
Nun wird eine Verbindung über WLAN zu einem Netzwerk hergestellt. Von diesem aus gibt es Zugriff auf das Internet.
Die zugewiesene Firewall ist "wan"
Das dazugehörige Netzwerk Interface ist "wwan". Das wurde eben automatisch erstellt.
Fehlerquelle: hier hatte ich nicht verstanden, warum ich nicht das Netzwerk "lan" zuweise, denn die Geräte im "lan" sollen ja ins Internet.
Schließt man ein Gerät, z.b. einen Computer an das "lan" an, dann wird es ein Teil des Netzwerkes.
Verbindet man sich aber via WLAN zu einem Netz um von dort Internet zu beziehen, dann bezeichnet man das als "wan" (wide area network). Damit ist man dann Teil eines größeren Netzwerks, z.B. des Internets. So habe ich mir das nun gemerkt.
Interfaces
hier gibt es nun zusätzlich das Interface "wwan"
wwan ist ein Interface mit dem Gerät phy0-sta0 (Wireless Adapter)
wan und wwan
Mich hat das immer irritiert. Warum zeigt wan auf wan aber wwan auf phy0-sta0.
Das hat damit zu tun, dass wan die Schnittstelle ist, über die normalerweise Internet bezogen wird. Das ist auf dem Router oft die farbige Netzwerkbuchse.
Da ich das Netzwerk aber "wireless" beziehe, ist die Schnittstelle hier wwan.
Nun wird es aber verwirrend für mich:
Interface "wan" hat Gerät "wan" und Firewall "wan"
Interface "wwan" hat Gerät "unspezifiziert" und Firewall "wan"
Frage1: warum wird bei den Interfaces, wenn man mit der Maus über das Interface "wwan" geht, das Gerät "phy0-sta0" angezeigt aber wenn ich die Schnittstelle bearbeite steht dort "unspezifiziert"?
Frage2: könnte ich beim verbinden zu dem Netzwerk mit Internetverbindung auch als dazugehöriges Netzwerk (eigentlich Interface) "wan" wählen statt dem neu erstellten "wwan". Müsste ja auch gehen nur dann geht es vermutlich nicht, gleichzeitig Internet über Netzwerkkabel zu beziehen?
Die geänderten Teile der Konfigurationsdateien sehen nun so aus:
Die dazugehörige /etc/interfaces Teile sehen so aus:
Die dazugehörigen Teile der /etc/firewall sehen so aus:
Bald ist hoffentlich mein Projekt "Zwei OpenWRT Netzwerke verbinden, aber nur bestimmte Verbindungen zulassen" (Link) abgeschlossen.
Für den Letzten Schritt, also alle Verbindungen blockieren und nur bestimmte Verbindungen zulasse, möchte ich zuerst noch die Firewall und die Interfaces / Netzwerkschnittstellen besser verstehen.
Interfaces
In der Standardkonfiguration hat OpenWRT 3 Interfaces, lan, wan, wan6 (wobei ich wan6 hier ignoriere).
lan hat das Geräte Bridge (br-lan) mit den Geräten lan1 bis lan3 (Switch Ports)
wan ist ein Switch Port? Nein - wan ist ein Interface mit dem Gerät wan (Switch Port)
Die dazugehörige /etc/interfaces Teile sehen so aus:
Code:
config device
option name 'br-lan'
option type 'bridge'
list ports 'lan1'
list ports 'lan2'
list ports 'lan3'
config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.7.1'
option netmask '255.255.255.0'
option ip6assign '60'
config interface 'wan'
option device 'wan'
option proto 'dhcp'Die dazugehörigen Teile der /etc/firewall sehen so aus:
Code:
config defaults
option syn_flood 1
option input REJECT
option output ACCEPT
option forward REJECT
config zone
option name lan
list network 'lan'
option input ACCEPT
option output ACCEPT
option forward ACCEPT
config zone
option name wan
list network 'wan'
list network 'wan6'
option input REJECT
option output ACCEPT
option forward REJECT
option masq 1
option mtu_fix 1
config forwarding
option src lan
option dest wanFirewall
Mit diesem Code verstehe ich nun auch die Konfiguration besser, siehe Screenshot Anhang 1
Was ich nicht verstanden habe war, warum eine Zone (hier lan) ein "Forwarding" auf "wan" hat.
Fehlerquelle: Es sah so aus, als ob die Firewall Regel nur für das Forwarding auf das angegebene Ziel unter "Forwarding" gilt.
Nun sehe ich, das Forwarding ist in der Konfigurationsdatei getrennt von der eigentlichen Regel.
----------------------------------
Internet via WLAN Verbindung
Nun wird eine Verbindung über WLAN zu einem Netzwerk hergestellt. Von diesem aus gibt es Zugriff auf das Internet.
Die zugewiesene Firewall ist "wan"
Das dazugehörige Netzwerk Interface ist "wwan". Das wurde eben automatisch erstellt.
Fehlerquelle: hier hatte ich nicht verstanden, warum ich nicht das Netzwerk "lan" zuweise, denn die Geräte im "lan" sollen ja ins Internet.
Schließt man ein Gerät, z.b. einen Computer an das "lan" an, dann wird es ein Teil des Netzwerkes.
Verbindet man sich aber via WLAN zu einem Netz um von dort Internet zu beziehen, dann bezeichnet man das als "wan" (wide area network). Damit ist man dann Teil eines größeren Netzwerks, z.B. des Internets. So habe ich mir das nun gemerkt.
Interfaces
hier gibt es nun zusätzlich das Interface "wwan"
wwan ist ein Interface mit dem Gerät phy0-sta0 (Wireless Adapter)
wan und wwan
Mich hat das immer irritiert. Warum zeigt wan auf wan aber wwan auf phy0-sta0.
Das hat damit zu tun, dass wan die Schnittstelle ist, über die normalerweise Internet bezogen wird. Das ist auf dem Router oft die farbige Netzwerkbuchse.
Da ich das Netzwerk aber "wireless" beziehe, ist die Schnittstelle hier wwan.
Nun wird es aber verwirrend für mich:
Interface "wan" hat Gerät "wan" und Firewall "wan"
Interface "wwan" hat Gerät "unspezifiziert" und Firewall "wan"
Frage1: warum wird bei den Interfaces, wenn man mit der Maus über das Interface "wwan" geht, das Gerät "phy0-sta0" angezeigt aber wenn ich die Schnittstelle bearbeite steht dort "unspezifiziert"?
Frage2: könnte ich beim verbinden zu dem Netzwerk mit Internetverbindung auch als dazugehöriges Netzwerk (eigentlich Interface) "wan" wählen statt dem neu erstellten "wwan". Müsste ja auch gehen nur dann geht es vermutlich nicht, gleichzeitig Internet über Netzwerkkabel zu beziehen?
Die geänderten Teile der Konfigurationsdateien sehen nun so aus:
Die dazugehörige /etc/interfaces Teile sehen so aus:
Code:
config interface 'wwan'
option proto 'dhcp'Die dazugehörigen Teile der /etc/firewall sehen so aus:
Code:
config zone
option name 'wan'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'wan'
list network 'wan6'
list network 'wwan'Anhänge
Zuletzt bearbeitet: