Skip to content
linux-nerds.org

linux-nerds.org
  1. Übersicht
  2. Linux
  3. Archiv
  4. OpenWRT & Ubiquiti ER-X
  5. OpenWRT - Zonen

OpenWRT - Zonen

Verschoben OpenWRT & Ubiquiti ER-X
2 1 699
  • FrankMF

    Was mir immer noch etwas Kopfschmerzen bereitet, ist die Firewall. Mal ein Beispiel.

    f3da391f-459f-40b7-bcbe-58cfb5afb2cb-grafik.png

    Ich habe zwei LANs, einmal LAN und einmal "DMZ". Wenn ich nun vom LAN aus Teilnehmer in der "DMZ" erreichen will, geht das so nicht. Dafür muss man die Einstellungen von LAN editieren.

    7f173a6c-c491-41db-be0a-a95e044baf76-grafik.png

    Danach kann ich dann einen Teilnehmer aus der "DMZ" z.B. pingen.

    frank@:~$ ping 192.168.5.99
PING 192.168.5.99 (192.168.5.99) 56(84) Bytes Daten.
64 Bytes von 192.168.5.99: icmp_seq=1 ttl=63 Zeit=0.707 ms
64 Bytes von 192.168.5.99: icmp_seq=2 ttl=63 Zeit=0.712 ms
^C
--- 192.168.5.99 ping statistics ---
2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1019ms
rtt min/avg/max/mdev = 0.707/0.709/0.712/0.002 ms

    Ok, so weit verstanden. Aber wofür ist dann dieses Forward zuständig 🤔

    5d8000c1-388f-4cd3-9577-af85049cbd9b-grafik.png

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0
  • FrankMF FrankM

    Was mir immer noch etwas Kopfschmerzen bereitet, ist die Firewall. Mal ein Beispiel.

    f3da391f-459f-40b7-bcbe-58cfb5afb2cb-grafik.png

    Ich habe zwei LANs, einmal LAN und einmal "DMZ". Wenn ich nun vom LAN aus Teilnehmer in der "DMZ" erreichen will, geht das so nicht. Dafür muss man die Einstellungen von LAN editieren.

    7f173a6c-c491-41db-be0a-a95e044baf76-grafik.png

    Danach kann ich dann einen Teilnehmer aus der "DMZ" z.B. pingen.

    frank@:~$ ping 192.168.5.99
PING 192.168.5.99 (192.168.5.99) 56(84) Bytes Daten.
64 Bytes von 192.168.5.99: icmp_seq=1 ttl=63 Zeit=0.707 ms
64 Bytes von 192.168.5.99: icmp_seq=2 ttl=63 Zeit=0.712 ms
^C
--- 192.168.5.99 ping statistics ---
2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1019ms
rtt min/avg/max/mdev = 0.707/0.709/0.712/0.002 ms

    Ok, so weit verstanden. Aber wofür ist dann dieses Forward zuständig 🤔

    5d8000c1-388f-4cd3-9577-af85049cbd9b-grafik.png

    FrankMF

    Es ist was heller geworden 🙂

    7b86e97c-31a5-44b6-809f-25d9d1c2ee4a-image.png

    Die besagte Forward Regel

    Zonen.png

    Diese Forward Regel zieht erst dann, wenn es mehrere Interfaces in einer Zone gibt. Aus der Doku

    • INPUT rules for a zone describe what happens to traffic trying to reach the router itself through an interface in that zone.
    • OUTPUT rules for a zone describe what happens to traffic originating from the router itself going through an interface in that zone.
    • FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.

    Das heisst nun, das ein Forwarding zwischen zwei Zonen immer eine spezifische Regel unter Traffic Rules benötigt.

    Forwarding between zones always requires a specific rule.

    Somit ist ein Forwarding zwischen zwei Zonen in den Standard Einstellungen nicht erlaubt. Das kann ich hier auch so bestätigen. Das ist ja auch das was ich mit meiner "DMZ"-Zone erreichen möchte. Kein Zugriff auf LAN.

    Unter Zone ⇒ Forwardings kann man jetzt sehen, das das Forwarding von LAN in Richtung WAN und DMZ erlaubt ist. WAN ist logisch, sonst komme ich ja nicht ins Internet. DMZ habe ich eingestellt, damit ich auch Teilnehmer im DMZ Netz erreichen kann, wenn ich da mal ran muss.

    8a548c29-8bc5-4074-8099-66460bcea9a8-image.png

    Stelle ich das jetzt so ein.

    dca8b393-f613-4cab-a377-ffbc2bb8ddf5-image.png

    Dann kann ich von der DMZ Zone aus das LAN erreichen. Aha, so langsam verstehe ich 😉

    Quelle: https://forum.openwrt.org/t/firewall-zones-and-settings/84369

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0
Anmelden zum Antworten

  • lwnbot@c.imL

    NLnet announces funding for 62 projects https://lwn.net/Articles/1026895/ #tech #linux

    Uncategorized tech linux
    1
    0 Stimmen
    1 Beiträge
    1 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Debian Bookworm 12.8 released

    Linux debian linux
    1
    0 Stimmen
    1 Beiträge
    179 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Update 1.32.1 released

    Vaultwarden vaultwarden linux
    1
    0 Stimmen
    1 Beiträge
    148 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Manjaro - KDE Plasma 6

    Linux manjaro linux plasma6 kde
    3
    3
    0 Stimmen
    3 Beiträge
    902 Aufrufe
    FrankMF
    Da fällt mir heute beim Lesen dieses Beitrages auf das ich damals ja auf unstable gestellt habe. [frank-manjaro ~]# pacman-mirrors --get-branch unstable Anleitung dazu -> https://wiki.manjaro.org/index.php/Switching_Branches Ok, da könnte ja auch mal was schief gehen? Da ich hier aber ein btrfs Filesystem fahre und Timeshift Snapshots anlegt, sollte das Risiko überschaubar sein. [image: 1714893983029-567442e5-80f0-4ce9-9b91-3e8f9a4a94d8-grafik.png] Es werden bei jeder Aktion vorher Snapshots angelegt, auf die man im Grub Menü zugreifen kann und diese wieder installieren lassen kann. Hatte das früher schon mal getestet, ging wirklich gut. Werde ich die Tage auch hier auf dem System, zur Sicherheit, mal testen. Fazit, ich lasse das mal so wie es ist
  • FrankMF

    Debian Bookworm 12.5 released

    Linux linux debian
    3
    0 Stimmen
    3 Beiträge
    254 Aufrufe
    FrankMF
    Und hier taucht es dann auf -> https://www.debian.org/News/2024/20240210
  • FrankMF

    Debian 12 Bookworm released

    Linux debian linux
    5
    0 Stimmen
    5 Beiträge
    457 Aufrufe
    FrankMF
    Mein persönliches Fazit, alles läuft rund mit Debian Bookworm 12 Alle meine Hetzner VMs sind jetzt auf Bookworm Ok, was schwer und zeitaufwendig war, war die Nextcloud Installation bzw. der ganze PHP-Server. Das ist echt jedes mal eine Herausforderung, aber auch dabei werde ich die letzten Jahre sicherer. Hier die Story zum Nextcloud Server https://linux-nerds.org/topic/1437/nextcloud-upgrade-auf-bookworm-12 Richtig rund lief das Upgrade des NodeBB-Servers, war einfach und direkt auf Node18 hochgezogen. https://linux-nerds.org/topic/1444/nodebb-upgrade-auf-debian-bookworm-12 Damit ist jetzt alles hier auf Debian Bookworm 12 Haupt-PC VMs bei Hetzner VMs in der Proxmox Oh, da fällt mir gerade ein, der Proxmox ist noch fällig. Aber, dazu habe ich mir was einfallen lassen, da ist noch ein neues Mainboard unterwegs und dann gibt es dazu einen etwas größeren Beitrag. Danke Debian-Team, Debian Bookworm 12 ist eine runde Sache! Spannend wird jetzt, wie lange ich auf meinem Haupt-PC (Bookworm, KDE, Wayland) bleibe. Ich habe da so eine unangenehme Eigenschaft, wenn es um veraltete Pakete geht. Diesmal werde ich dann wahrscheinlich auf den Debian Unstable Zweig (sid) wechseln. Aber das dürfte noch was dauern, da ja aktuell erst mal alles passt.
  • FrankMF

    Nextcloud Talk

    Nextcloud nextcloud coturn linux talk
    5
    2
    0 Stimmen
    5 Beiträge
    974 Aufrufe
    FrankMF
    All I needed to do was setting the permissions to 744 for the archive directory and the symlinks resolved correctly after a reboot of coturn My turnserver installation on Debian runs as the user turnserver and not as root, nor is the user turnserver in any group owning the letsencrypt directory. If your turnserver does run as root, it should be fine just adding execute permissions. I hope this helps some of you. Quelle: https://help.nextcloud.com/t/lets-encrypt-symlink-breaks-coturn-configuration/70166 Was zum Testen die Tage....
  • FrankMF

    Redis Replication

    Angeheftet Verschoben Redis linux redis
    4
    1 Stimmen
    4 Beiträge
    613 Aufrufe
    FrankMF
    Um die Verbindung zu testen, kann man folgende Befehle nutzen. redis-cli -h 10.1.1.0 -p 6379 -a <PASSWORD> und telnet 10.1.1.0 6379