Openwrt mit Telekom Austria PPTP

Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).

Diskussionen ĂĽber Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER gefĂĽhrt.

Re: Openwrt mit Telekom Austria PPTP

Beitragvon mike85 » Fr 01 Nov, 2013 11:18

Conf2.PNG
Conf2.PNG (29.3 KiB) 26620-mal betrachtet


So sieht die aktuelle Konfiguration aus. Was ich ultimativ erreichen will ist ein geroutetes openvpn. Die oben konfigurierte
Seite ist der Client.

Ich habe ein neues device angelegt:
vpn, unmanged, phys device tun0, firewall zone vpn
vpn, accept, accept, accept, allow forward from lan/to lan

Und die lan -> wan/vpn forward hab ich auch accept geschaltet. Weil ich sonst weder das st pingen kann noch einen vpn client pingen können sollte. Bitte lass das jetzt richtig sein :D
mike85
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 67
Registriert: Di 10 Jan, 2012 07:06
Wohnort: %~dp0

Re: Openwrt mit Telekom Austria PPTP

Beitragvon zid » Mi 06 Nov, 2013 17:37

also ich packs net...*kopfkratz*

hallo mike,

ich wollte den primitivansatz von früher mit der zone based firewall (ich nenn das ding ab jetzt "zbfw") so weit wie möglich imitieren und bin dabei auf was lustiges gestoßen: der openwrt router weigert sich am ppp-link zu maskieren.
so ein lauser... :D

genaugenommen hab ich im klicki-bunti das gesetzt:

openwrt1209_zbfw_comment1.png
openwrt1209_zbfw_comment1.png (135.63 KiB) 26537-mal betrachtet

mit diesem setup sieht die POSTROUTING chain voll ok aus...:

Code: Alles auswählen
# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 10 packets, 606 bytes)
pkts bytes target     prot opt in     out     source               destination
   17  1122 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    8   490 zone_lan_nat  all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
    3   164 zone_lan_st_nat  all  --  *      eth0.2  0.0.0.0/0            0.0.0.0/0
    6   468 zone_wan_nat  all  --  *      pptp-A1  0.0.0.0/0            0.0.0.0/0

# iptables -t nat -nvL postrouting_rule
Chain postrouting_rule (1 references)
pkts bytes target     prot opt in     out     source               destination

# iptables -t nat -nvL zone_lan_nat
Chain zone_lan_nat (1 references)
pkts bytes target     prot opt in     out     source               destination

# iptables -t nat -nvL zone_lan_st_nat
Chain zone_lan_st_nat (1 references)
pkts bytes target     prot opt in     out     source               destination

# iptables -t nat -nvL zone_wan_nat
Chain zone_wan_nat (1 references)
pkts bytes target     prot opt in     out     source               destination
    6   468 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0

...ich komm aber aus dem lan (rechner-ip: 192.168.1.146/24) nicht ins inet:

Code: Alles auswählen
>ping -c 4  8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms


und wenn man am modem (bei mir aktuell ein tg585v7) mit einem kontrollrechner mitsnifft, dann sieht man, daĂź die pings eben unmaskiert rausgehen:

openwrt1209_zbfw_ping_no_masq.png
openwrt1209_zbfw_ping_no_masq.png (24.14 KiB) 26537-mal betrachtet

es kommt aber noch lustiger:
wenn man jetzt völlig unnötigerweise (die lan zone hat ja bereits fürs forwarding eine accept policy) nur das inter-zone forwarding lan -> wan explizit setzt (der rest bleibt gleich), konkret also das macht:

openwrt1209_zbfw_lan_wan_forw.png
openwrt1209_zbfw_lan_wan_forw.png (19.61 KiB) 26537-mal betrachtet

dann ändert sich zwar in der POSTROUTING chain genau nix...:

Code: Alles auswählen
# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 2 packets, 116 bytes)
pkts bytes target     prot opt in     out     source               destination
    4   248 postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 zone_lan_nat  all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
    3   164 zone_lan_st_nat  all  --  *      eth0.2  0.0.0.0/0            0.0.0.0/0
    1    84 zone_wan_nat  all  --  *      pptp-A1  0.0.0.0/0            0.0.0.0/0

# iptables -t nat -nvL postrouting_rule
Chain postrouting_rule (1 references)
pkts bytes target     prot opt in     out     source               destination

# iptables -t nat -nvL zone_lan_nat
Chain zone_lan_nat (1 references)
pkts bytes target     prot opt in     out     source               destination

# iptables -t nat -nvL zone_lan_st_nat
Chain zone_lan_st_nat (1 references)
pkts bytes target     prot opt in     out     source               destination

# iptables -t nat -nvL zone_wan_nat
Chain zone_wan_nat (1 references)
pkts bytes target     prot opt in     out     source               destination
    1    84 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0

...aber das masquerading funkt auf einmal, und die pings gehen sauber durch, s.a. bunti im nächsten post.
wir halten somit fest:
ab sofort wird das maquerading/nat nicht mehr in den nat tables, sondern in den filter tables aktiviert... :D
spaĂź beiseite- hast du vielleicht eine idee, was da abgeht?

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Openwrt mit Telekom Austria PPTP

Beitragvon zid » Mi 06 Nov, 2013 17:40

die traces von den durchgehenden pferden...

openwrt1209_zbfw_ping_masq.png
openwrt1209_zbfw_ping_masq.png (53.76 KiB) 26536-mal betrachtet

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Openwrt mit Telekom Austria PPTP

Beitragvon mike85 » Mi 06 Nov, 2013 18:20

mike85 hat geschrieben:spaĂź beiseite- hast du vielleicht eine idee, was da abgeht?


Hmm nicht viel, auĂźer das per default das interzone forwarding lan -> wan gesetzt ist. Siehe:

Conf Chello.PNG
Conf Chello.PNG (26.26 KiB) 26522-mal betrachtet


Beim weiteren testen musste ich festellen das fĂĽr den vpn traffic vpn > lan accept,accept,reject reicht.
Wenn ich mich vom lan aus mit dem browser aufs modem connecten will muss ich forward auch noch auf accept stellen.
mike85
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 67
Registriert: Di 10 Jan, 2012 07:06
Wohnort: %~dp0

Re: Openwrt mit Telekom Austria PPTP

Beitragvon zid » Mi 06 Nov, 2013 18:48

>"...auĂźer das per default das interzone forwarding lan -> wan gesetzt ist. Siehe:..."
ja, nur in deinem bunti ist die policy fürs forwarding der lan zone auf reject gesetzt, und da mußt du die policy mit einer inter-zone rule lan -> wan overrulen, weil sonst die pakete gar nicht rausgehen, unabhängig davon, ob jetzt maskiert wird oder nicht.
bei mir hingegen steht die zone policy vom lan auf accept, und pakete gehen ja auch ins wan (s. bunti openwrt1209_zbfw_ping_no_masq.png, die trace wird am *tg* gezogen, die pings haben den tp-link bereits verlassen), nur werden sie halt nicht maskiert. und um das masquerading zu aktivieren, muß ich eben eine zusätzliche und überflüssige accept rule (genaugenommen is es auch eine subchain "zone_wan_ACCEPT") in der subchain zone_lan_forward (die sitzt in der filter! table) setzen...

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Openwrt mit Telekom Austria PPTP

Beitragvon zid » Mi 06 Nov, 2013 19:02

aja...
>"...Wenn ich mich vom lan aus mit dem browser aufs modem connecten will muss ich forward auch noch auf accept stellen..."
das is klar.
du weiĂźt aber eh, daĂź openwrt einen telnet- und ssh-client hat. du kannst auch mit dem telnet-client aufs st gehen. das nervige is halt, daĂź man zuerst auf die shell des router gehen muĂź, um dann von dort aus den telnet-client anzuwerfen. doppelt gemoppelt...

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: Openwrt mit Telekom Austria PPTP

Beitragvon mike85 » Mi 06 Nov, 2013 19:28

zid hat geschrieben:ja, nur in deinem bunti ist die policy fürs forwarding der lan zone auf reject gesetzt, und da mußt du die policy mit einer inter-zone rule lan -> wan overrulen, weil sonst die pakete gar nicht rausgehen, unabhängig davon, ob jetzt maskiert wird oder nicht.
bei mir hingegen steht die zone policy vom lan auf accept, und pakete gehen ja auch ins wan (s. bunti openwrt1209_zbfw_ping_no_masq.png, die trace wird am *tg* gezogen, die pings haben den tp-link bereits verlassen), nur werden sie halt nicht maskiert. und um das masquerading zu aktivieren, muß ich eben eine zusätzliche und überflüssige accept rule (genaugenommen is es auch eine subchain "zone_wan_ACCEPT") in der subchain zone_lan_forward (die sitzt in der filter! table) setzen...


Ich verstehe auf was du hinaus willst. Ich habe mich darĂĽber auch schon gewundert, aber fĂĽr mich ist da sovieles neu, da komme ich aus dem wundern gar nicht mehr raus :-D
Theoretisch mĂĽsste es sich ja ja mit meiner vpn rule ein paar Screenshots vorher gleich verhalten. Wobei ich es nie ohne inter-zone forwards probiert habe und die forward immer auf reject hatte.

zid hat geschrieben:das is klar.
du weiĂźt aber eh, daĂź openwrt einen telnet- und ssh-client hat. du kannst auch mit dem telnet-client aufs st gehen. das nervige is halt, daĂź man zuerst auf die shell des router gehen muĂź, um dann von dort aus den telnet-client anzuwerfen. doppelt gemoppelt...


Jop. FrĂĽher (TM) hab ich immer ssh port forwardings genommen local 9999 > remote 10.0.0.138:80. Das hat auch immer prima geklappt.

Was sagst du zu meiner vpn -> lan rule ?
mike85
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 67
Registriert: Di 10 Jan, 2012 07:06
Wohnort: %~dp0

Re: Openwrt mit Telekom Austria PPTP

Beitragvon Velociraptor » So 13 Dez, 2015 19:51

In der neuen Version von OpenWRT 15.05 wird zusätzlich noch das Paket kmod-nf-nathelper-extra benötigt wie nach langer suche hier gefunden https://dev.openwrt.org/ticket/19370
Velociraptor
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 32
Registriert: Do 11 Jan, 2007 00:21

Re: Openwrt mit Telekom Austria PPTP

Beitragvon mike85 » Di 22 Dez, 2015 11:59

Velociraptor hat geschrieben:In der neuen Version von OpenWRT 15.05 wird zusätzlich noch das Paket kmod-nf-nathelper-extra benötigt wie nach langer suche hier gefunden https://dev.openwrt.org/ticket/19370


Interessant, ich habe beim ersten Upgrade auch die Fehler aus dem trac im syslog gehabt, hab dann am selben Abend nochmal von vorne angefangen und hatte dann mit der Installation Erfolg.

Die Pakete habe ich auch alle drauf, wurde automatisch aufgelöst durch die Installation von luci-proto-ppp.
mike85
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 67
Registriert: Di 10 Jan, 2012 07:06
Wohnort: %~dp0

Vorherige

ZurĂĽck zu ADSL & xDSL

Wer ist online?

Mitglieder in diesem Forum: Google [Bot], Majestic-12 [Bot] und 46 Gäste