Skip to content

OpenWRT - Zonen

Verschoben OpenWRT & Ubiquiti ER-X
  • Was mir immer noch etwas Kopfschmerzen bereitet, ist die Firewall. Mal ein Beispiel.

    f3da391f-459f-40b7-bcbe-58cfb5afb2cb-grafik.png

    Ich habe zwei LANs, einmal LAN und einmal "DMZ". Wenn ich nun vom LAN aus Teilnehmer in der "DMZ" erreichen will, geht das so nicht. Dafür muss man die Einstellungen von LAN editieren.

    7f173a6c-c491-41db-be0a-a95e044baf76-grafik.png

    Danach kann ich dann einen Teilnehmer aus der "DMZ" z.B. pingen.

    frank@:~$ ping 192.168.5.99
    PING 192.168.5.99 (192.168.5.99) 56(84) Bytes Daten.
    64 Bytes von 192.168.5.99: icmp_seq=1 ttl=63 Zeit=0.707 ms
    64 Bytes von 192.168.5.99: icmp_seq=2 ttl=63 Zeit=0.712 ms
    ^C
    --- 192.168.5.99 ping statistics ---
    2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1019ms
    rtt min/avg/max/mdev = 0.707/0.709/0.712/0.002 ms
    

    Ok, so weit verstanden. Aber wofür ist dann dieses Forward zuständig 🤔

    5d8000c1-388f-4cd3-9577-af85049cbd9b-grafik.png

  • Was mir immer noch etwas Kopfschmerzen bereitet, ist die Firewall. Mal ein Beispiel.

    f3da391f-459f-40b7-bcbe-58cfb5afb2cb-grafik.png

    Ich habe zwei LANs, einmal LAN und einmal "DMZ". Wenn ich nun vom LAN aus Teilnehmer in der "DMZ" erreichen will, geht das so nicht. Dafür muss man die Einstellungen von LAN editieren.

    7f173a6c-c491-41db-be0a-a95e044baf76-grafik.png

    Danach kann ich dann einen Teilnehmer aus der "DMZ" z.B. pingen.

    frank@:~$ ping 192.168.5.99
    PING 192.168.5.99 (192.168.5.99) 56(84) Bytes Daten.
    64 Bytes von 192.168.5.99: icmp_seq=1 ttl=63 Zeit=0.707 ms
    64 Bytes von 192.168.5.99: icmp_seq=2 ttl=63 Zeit=0.712 ms
    ^C
    --- 192.168.5.99 ping statistics ---
    2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1019ms
    rtt min/avg/max/mdev = 0.707/0.709/0.712/0.002 ms
    

    Ok, so weit verstanden. Aber wofür ist dann dieses Forward zuständig 🤔

    5d8000c1-388f-4cd3-9577-af85049cbd9b-grafik.png

    Es ist was heller geworden 🙂

    7b86e97c-31a5-44b6-809f-25d9d1c2ee4a-image.png

    Die besagte Forward Regel

    Zonen.png

    Diese Forward Regel zieht erst dann, wenn es mehrere Interfaces in einer Zone gibt. Aus der Doku

    • INPUT rules for a zone describe what happens to traffic trying to reach the router itself through an interface in that zone.
    • OUTPUT rules for a zone describe what happens to traffic originating from the router itself going through an interface in that zone.
    • FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.

    Das heisst nun, das ein Forwarding zwischen zwei Zonen immer eine spezifische Regel unter Traffic Rules benötigt.

    Forwarding between zones always requires a specific rule.

    Somit ist ein Forwarding zwischen zwei Zonen in den Standard Einstellungen nicht erlaubt. Das kann ich hier auch so bestätigen. Das ist ja auch das was ich mit meiner "DMZ"-Zone erreichen möchte. Kein Zugriff auf LAN.

    Unter Zone ⇒ Forwardings kann man jetzt sehen, das das Forwarding von LAN in Richtung WAN und DMZ erlaubt ist. WAN ist logisch, sonst komme ich ja nicht ins Internet. DMZ habe ich eingestellt, damit ich auch Teilnehmer im DMZ Netz erreichen kann, wenn ich da mal ran muss.

    8a548c29-8bc5-4074-8099-66460bcea9a8-image.png

    Stelle ich das jetzt so ein.

    dca8b393-f613-4cab-a377-ffbc2bb8ddf5-image.png

    Dann kann ich von der DMZ Zone aus das LAN erreichen. Aha, so langsam verstehe ich 😉

    Quelle: https://forum.openwrt.org/t/firewall-zones-and-settings/84369

  • ufw - Die einfache Firewall

    Linux ufw linux
    3
    0 Stimmen
    3 Beiträge
    306 Aufrufe
    FrankMF
    Beispiel um eingehend einen Port für eine IP-Adresse zu erlauben. ufw allow from 1.1.1.1 to any port 8000
  • nano - Zeilennummern dauerhaft anzeigen

    Linux linux
    3
    2
    0 Stimmen
    3 Beiträge
    2k Aufrufe
    FrankMF
    @masko Danke für die Ergänzung. Um den Code zu markieren, kannst Du im Texteditor auf </> klicken oder einfach 4 Leerzeichen vor den Code setzen. Dann sieht es besser aus Und Willkommen im Forum!
  • Redis - Zweite Instanz

    Redis redis linux
    1
    0 Stimmen
    1 Beiträge
    287 Aufrufe
    Niemand hat geantwortet
  • NanoPi R4S - OpenWrt upgraden !?

    NanoPi R4S openwrt nanopir4s
    4
    3
    0 Stimmen
    4 Beiträge
    631 Aufrufe
    FrankMF
    Ich schrieb ja oben über Daten Sichern bevor man was macht...... Ok, danach war die Installation lauffähig, aber das Webinterface kaputt. Kryptische Fehlermeldung, die ich auch mit Google nicht fixen konnte. Naja, es war nicht so schwer da ich ja noch einen R4S mit identischer Konfiguration hatte. SD_Karte getauscht und weiter geht's.... Aber!! Warum? Ich musste ganz schön lange suchen, bis ich heraus fand das es mittlerweile eine neue Version als Release Candidate gibt. https://openwrt.org/releases/21.02/notes-21.02.0-rc1 Diese Version habe ich dann installiert und das Upgrade ist gescheitert. Da ich auf der alten Installation auch schon eine ganze Menge getestet hatte und es evt. auch vermurkst hatte, war es ja nicht so verkehrt mal was frisches aufzusetzen. Kurz meine Konfigurationsdateien kontrolliert und nach kleineren Korrekturen und Reboot lief alles wieder wie vorher. Diesmal habe ich mir die SD-Karte als Image gesichert. Nur für den Fall, das ich das mal dringend brauche. Es bleibt weiterhin nicht ganz einfach eine OpenWrt Installation aktuell zu halten. Aber so einmal im Jahr kann man sich ja die Arbeit machen.....
  • Kopia 0.6.x released

    Kopia kopia linux
    3
    0 Stimmen
    3 Beiträge
    320 Aufrufe
    FrankMF
    0.6.3 released c142598 Disable blob deletion in 0.6 unless KOPIA_ENABLE_BLOB_DELETION is set to true (#552) Aufpassen, es gibt da wohl ein Problem, was zu Datenverlust führen könnte!
  • SSHFS

    Linux linux
    1
    0 Stimmen
    1 Beiträge
    343 Aufrufe
    Niemand hat geantwortet
  • mdadm

    Verschoben Linux linux
    5
    0 Stimmen
    5 Beiträge
    486 Aufrufe
    FrankMF
    Nachdem ich die SATA-Karte gewechselt habe, sind meine Probleme verschwunden. Mein NAS läuft seit Monaten einwandfrei. rock64@rp64v_2_1_NAS:~$ uptime 21:57:50 up 73 days, 4:44, 1 user, load average: 0,00, 0,00, 0,00 https://forum.frank-mankel.org/topic/299/sata-karte-marvell-88se9230-chipsatz/16
  • Restic - Ein Backupkonzept - Automatisieren!

    Verschoben Restic linux restic
    1
    1
    0 Stimmen
    1 Beiträge
    1k Aufrufe
    Niemand hat geantwortet