Zwei OpenWRT Netzwerke verbinden, aber nur bestimmte Verbindungen zulassen

[Mitec]

Also vielen Dank für deine ausführliche Erklärung. Werde mich damit nun in Ruhe auseinandersetzen und das Buch müsste heute auch da sein.

Bist Du Dir 100%ig sicher, dass die Cam versucht den HA-Host zu kontaktieren?

100% sicher, nein, aber 140 ist die Kamera und 243 ist Home Assistant:

Mon Feb 17 14:04:00 2025 kern.warn kernel: [49001.753000] reject iot forward: IN=br-iot OUT=br-lan MAC=### SRC=192.168.5.140 DST=192.168.4.243 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=4667 DF PROTO=TCP SPT=39498 DPT=8123 WINDOW=14400 RES=0x00 SYN URGP=0

 

[blurrrr]

Warum sollte die Cam auf den HA-Host auf Port 8123 zugreifen? Das macht überhaupt keinen Sinn... hast Du diesbezüglich zufällig irgendwas bei der Cam konfiguriert? Von alleine kommen diese Geräte eher nicht auf die Idee ihren Client zu kontaktieren. Irgendwas in Richtung "Speicher die Bilder auf dem Host ab" oder dergleichen an der Cam konfiguriert?

 

[Mitec]

Nein, habe nicht aktiviert. Port 8123 ist der Standardport für die Weboberfläche von Home Assistant.

 

[blurrrr]

Hm, keine Ahnung, kann Dir aber auch egal sein, wenn Du die Schotten eh dicht machst

 

[Mitec]

Gerade fällt mir noch eine Sache auf. LAN und IOT Netzwerk haben in der Firewall Forward auf "accept". Warum wird dann nun Forward Rejected?

Mon Feb 17 14:04:00 2025 kern.warn kernel: [49001.753000] reject iot forward: IN=br-iot OUT=br-lan MAC=### SRC=192.168.5.140 DST=192.168.4.243 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=4667 DF PROTO=TCP SPT=39498 DPT=8123 WINDOW=14400 RES=0x00 SYN URGP=0

Das soltle doch eigentlich nicht sein, oder?

config defaults
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'
    list network 'wwan'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-IOT'
    option src 'iot'
    option dest '*'
    option proto 'udp'
    option dest_port '67 68'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule
    option name 'Allow-SSH'
    list proto 'tcp'
    option src '*'
    option dest_port '22'
    option target 'ACCEPT'

config zone
    option name 'iot'
    option input 'REJECT'
    option output 'REJECT'
    option forward 'ACCEPT'
    list network 'iot'
    option log '1'
    option log_limit '10/second'

config forwarding
    option src 'lan'
    option dest 'iot'

 

[Mitec]

Nochmal kurz zu der Firewall. Ich habe bei "lan" und "iot" Forward auf "accept". Dadurch sollen die Netzwerke ja untereinander "reden" könen. Aber genau das wird doch geblockt in der LogNachricht oben:

Mon Feb 17 14:04:00 2025 kern.warn kernel: [49001.753000] reject iot forward: IN=br-iot OUT=br-lan MAC=### SRC=192.168.5.140 DST=192.168.4.243 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=4667 DF PROTO=TCP SPT=39498 DPT=8123 WINDOW=14400 RES=0x00 SYN URGP=0

Buchhandlung hatte heute zu

 

[the other]

Moinsen,
Ich lese ja bisher nur still mit, weil selber genau gar keine Ahnung von openwrt...
Was ich aber bisher meine verstanden zu haben:
Du willst doch ein subnetz für LAN und eines für IoT bzw VLANS anlegen, dann deren traffic regeln...?
Du hast jetzt drei zones angelegt: wan, lan, iot Ziel war, dass das wifi interface und das lan interface ine EINER Zone landen, oder?
Eine Zone ist aber nach meinem Verständnis nicht gleich ein Netzwerk.
Eine Zone umfasst mehrere Interfaces zusammen, also zb 3 lan Ports sind eine Zone, aber ggf mit unterschiedlichen Netzen (VLANS) darin.
Wenn du nur forward erlaubt, dann regelt das nach meinem Wissen nur das forwarding zwischen Netzen in EINER GEMEINSAMEN Zone, nicht aber das forwarding zwischen Zonen...dafür bräuchte es statt forwarding die Option accept forwarding to destination Zone...so habe ich es jedenfalls vverstanden...aber ich bin schnell wieder still...
Hier noch was zu VLANs und Zonen: https://openwrt.org/docs/guide-user/firewall/fw3_network

 

[Mitec]

Danke, ja das hatte ich anders verstanden, also Forward bei "iot" erlaubt nicht automatisch das Zone iot mit Zone lan reden darf (sondern die Schnittstellen innerhalb der Zonen). Das bringt mich weiter!

• FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.

https://openwrt.org/docs/guide-user/firewall/firewall_configuration

Und Zone "iot" hat nun auch keinen Internetzugriff, obwohl ich Input, Output und Forward auf accept habe. Da muss ich erst ein Forwarding von iot nach wan konfigurieren. Das war auch eine falsche Annahme.
Bald habe ich es. Morgen werde ich es auch nochmal neu aufsetzen mit der neuen OpenWRT Version.

 

[blurrrr]

Kann man auf die Zonen nicht einfach verzichten? Ich mein... Zonen bzw. Gruppierungen machen ja durchaus Sinn, wenn man etwas mehr zu verwalten hat, aber je Netz jetzt noch eine eigene Zone...?

 

[Mitec]

Gute Frage, ich glaube bei OpenWRT sind die Interfaces, also die Netzwerkschnittstellen automatisch die Zonen. Oder so in der Art.
"Die Firewall eines OpenWrt-Routers ermöglicht es, Netzwerkschnittstellen in Zonen zu gruppieren"

https://openwrt.org/docs/guide-user/firewall/fw3_network#firewall_zones

The firewall of an OpenWrt router is able to collect interfaces into zones to more logically filter traffic.A zone can be configured to any set of interfaces but generally there are at least two zones: lan for the collection of LAN interfaces and wan for the WAN interfaces.

 

[Confluencer]

In /etc/config/firewall hat Folgendes gefehlt.:

config forwarding
    option src 'iot'
    option dest 'lan'

Es kann keinen, einen oder mehr "config forwarding" für dieselbe "src" geben, wo sich dann jeweils nur "dest" unterscheiden.
Das ist die Abbildung der "dst" innerhalb einer Zone, auf die dann die "Intra zone forwarding" Regel angewandt wird.

 

[Mitec]

Kurze Rückmeldung, das Buch "Der OpenWRT Praktiker" ist genial, damit hätte ich mir Tage sparen können, z.b. die ersten Worte zur Forward Regel einer Zone: "Weiterleitung (Forward): Datenverkehr innerhalb einer Zone zwischen zwei Netzadaptern". Das hat bei mir ja lange gedauert bis ich das verstanden habe. Nun, gerade erst auf Seite 111 von 471 Thema Firewall.
Aber auch hier habe ich viel gelernt! Danke
Ich mache gegen Ende auch gerne noch eine kleine Anleitung, wie ich das dann auf OpenWRT umsetze um diesen Faden hier sauber zu beenden!

Eine Frage noch, ich wollte mit einem Telefon auf den Router1, die Regel hat aber lange nicht funktioniert, ich musste die Regel dazu vor die Default-Regel setzen. Das geht aber nur in der Konfigurationsdatei direkt bei OpeWRT, nicht über die grafische Oberfläche, oder? Evtl. kommt es ja auch gleich im Buch Schönes Wochenende!

 

[blurrrr]

Na dann mal gute Unterhaltung beim lesen!

 

[Confluencer]

Ich kann in der UI die Regeln verschieben: am Ende der Zeile kann ich das Listen-Icon, links neben "Edit" mit der linken Maustaste festhalten und dann hoch- bzw. runterziehen.

 

[Mitec]

Ja, das schon, aber oben die Default Regel, die sind ja fix oben, daher dachte ich irgendwie, die kommen und müssen an oberster Stelle stehen. Und soweit ich das gesehen habe stehen die auch in der Config an der ersten Stelle. Daher ging ich davon aus, das dies so üblich und habe das nicht verändert. Und mich dann gewundert, warum meine Regeln nicht funktionieren.

 

[Confluencer]

Ich kann unter "Trafic Rules" jede Regel an beliebige Stelle ziehen. Mir fehlt aktuell noch der Kontext, um zu verstehen, was Du unter "Default Regel" verstehst.

 

[Confluencer]

Die Regeln stehen alle in `config rule" Blöcken, dass was Du scheinbar meinst ist das in dem "config defaults" Block, das ist das was man im "Generel Settings" oben editieren kann. Warum sollte man die in der UI die Reihenfolge von Dingen verändern können die nicht mal auf der selben Seite dargestellt werden? Afaik, sind das die Konfiguration die greift, wenn keine konkrete Zonen-Konfiguration greift.

 

[Mitec]

Ich kann unter "Trafic Rules" jede Regel an beliebige Stelle ziehen.

Also auch die Default-Regel? Um genau zu sein, "config defaults" die man unter Allgemeine Einstellungen einstellt?

Die Regeln stehen alle in `config rule" Blöcken, dass was Du scheinbar meinst ist das in dem "config defaults" Block, das ist das was man im "Generel Settings" oben editieren kann. Warum sollte man die in der UI die Reihenfolge von Dingen verändern können die nicht mal auf der selben Seite dargestellt werden?

Genau das ist ja meine Frage. Ob die Default-Regel, also die "config defaults" die man unter Allgemeine Einstellungen einstellt, in der Datei "firewall" immer an erster Stelle kommen soll. Ich habe grafisch keine Möglichkeit gefunden das zu ändern. Daher die Frage.

Denn, wiederum wäre es ja irgendwie sinnvoll, härtere Default Regeln zu setzen, aber Ausnahmen vorher zu definieren.

 

[Confluencer]

Afaik, sind das die Konfiguration die greift, wenn keine konkrete Zonen-Konfiguration greift.

Ich erinnere mich wieder: die Inhalte von "config defaults" werden als Vorbelegte-Werte beim Anlegen einer neuen Zone in die Zonen-Einstellung vorbelegt. Sinn und Zweck ist wohl das man seine "mach ich immer so" Einstellungen bekommt, und nur noch Abweichungen konfigurieren muss.

Wenn sie funktional in die Firewall eingreifen würden, würde bei mir kein einziges "Inter zone forwarding" funktionieren, weil ich in "config defaults" das "Forwarding" auf "drop" stehen habe. Interessiert aber nicht, weil ich in den jeweiligen Zonen eine andere Konfiguration haben, oder entsprechende "Trafic Rules", die dann die Zonen-Einstellung übersteuert.