- Mitglied seit
- 16 Jun 2008
- Beiträge
- 327
- Punkte für Reaktionen
- 1
- Punkte
- 18
Hallo!
In einem anderen Thema [1] hatte ich schon mal angefragt, aber ich verlege meine Frage mal hierhin, das scheint mir angebrachter zu sein. Wäre schön, wenn mir jemand helfen könnte, denn ich komme da alleine nicht weiter.
Ich möchte gerne mit OpenWrt eine Firewall mit DMZ einrichten. Das funktioniert soweit auch, und sieht so aus:
DMZ
|
TP (OpenWrt) - FritzBox - Internet
|
LAN
Die FB ist dabei die Zone WAN für den TP.
Nach vielen Versuchen habe ich das mit den VLAN hinbekommen: auf dem TP sind u.a. 2 VLAN definiert für DMZ und LAN, und Zugriffe sind entsprechend geregelt: LAN darf auf DMZ zugreifen, aber nicht umgekehrt, und, ganz wichtig: die DMZ hat keinen Zugriff auf die FB! In der FB gibt es eine Portweiterleitung direkt zum Server in der DMZ. Dank eines Eintrags für die statische Route findet die FB den Server auch im anderen Subnetz.
Jetzt habe ich noch ein kleines Problem: in der DMZ läuft ein Service, der darauf angewiesen ist, daß er die *ursprüngliche* IP des Benutzers sieht. Damit meine Firewall-Konstruktion aber funktioniert, muss ich auf dem OpenWrt-Router aber NAT aktivieren, und damit sieht der Server in der DMZ immer die IP seines VLAN-Gateway (3.3.3.1). Deaktiviere ich das NAT, egal auf welcher Regel, und sei es nur auf der Regel "DMZ <-> WAN", sieht die DMZ zwar die richtige IP von außen, aber mein LAN kommt nicht mehr ins WAN.
Irgend etwas habe ich da noch nicht richtig verstanden. Wäre schön, wenn mir jemand aus der Misere hilft.
Die /etc/config/network auf dem TP sieht so aus:
Und die /etc/config/firewall:
[1] http://www.ip-phone-forum.de/showthread.php?t=263708
In einem anderen Thema [1] hatte ich schon mal angefragt, aber ich verlege meine Frage mal hierhin, das scheint mir angebrachter zu sein. Wäre schön, wenn mir jemand helfen könnte, denn ich komme da alleine nicht weiter.
Ich möchte gerne mit OpenWrt eine Firewall mit DMZ einrichten. Das funktioniert soweit auch, und sieht so aus:
DMZ
|
TP (OpenWrt) - FritzBox - Internet
|
LAN
Die FB ist dabei die Zone WAN für den TP.
Nach vielen Versuchen habe ich das mit den VLAN hinbekommen: auf dem TP sind u.a. 2 VLAN definiert für DMZ und LAN, und Zugriffe sind entsprechend geregelt: LAN darf auf DMZ zugreifen, aber nicht umgekehrt, und, ganz wichtig: die DMZ hat keinen Zugriff auf die FB! In der FB gibt es eine Portweiterleitung direkt zum Server in der DMZ. Dank eines Eintrags für die statische Route findet die FB den Server auch im anderen Subnetz.
Jetzt habe ich noch ein kleines Problem: in der DMZ läuft ein Service, der darauf angewiesen ist, daß er die *ursprüngliche* IP des Benutzers sieht. Damit meine Firewall-Konstruktion aber funktioniert, muss ich auf dem OpenWrt-Router aber NAT aktivieren, und damit sieht der Server in der DMZ immer die IP seines VLAN-Gateway (3.3.3.1). Deaktiviere ich das NAT, egal auf welcher Regel, und sei es nur auf der Regel "DMZ <-> WAN", sieht die DMZ zwar die richtige IP von außen, aber mein LAN kommt nicht mehr ins WAN.
Irgend etwas habe ich da noch nicht richtig verstanden. Wäre schön, wenn mir jemand aus der Misere hilft.
Die /etc/config/network auf dem TP sieht so aus:
Code:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config interface 'wan'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '1.1.1.2'
option ifname 'eth0'
option metric '1'
option gateway '1.1.1.1'
option dns '1.1.1.1'
config interface 'lan'
option type 'bridge'
option proto 'static'
option ifname 'eth1.2'
option ipaddr '2.2.2.1'
option netmask '255.255.255.0'
config interface 'dmz'
option ifname 'eth1.3'
option type 'bridge'
option proto 'static'
option ipaddr '3.3.3.1'
option netmask '255.255.255.0'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan 'eth1_2'
option device 'switch0'
option vlan '2'
option ports '0t 2'
config switch_vlan 'eth1_3'
option device 'switch0'
option vlan '3'
option ports '0t 3'
Und die /etc/config/firewall:
Code:
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'wan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option network 'wan'
config zone
option name 'dmz'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'dmz'
option forward 'REJECT'
option masq '1'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option network 'lan'
option forward 'REJECT'
option masq '1'
config forwarding
option dest 'wan'
option src 'dmz'
config forwarding
option dest 'dmz'
option src 'wan'
config forwarding
option dest 'dmz'
option src 'lan'
config forwarding
option dest 'wan'
option src 'lan'
[1] http://www.ip-phone-forum.de/showthread.php?t=263708