Routerkaskade OpenWRT hinter FritzBox - "icmp Packet filtered" vom ISP?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
E

elfri

Neuer User
Mitglied seit
9 Mai 2010
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Latein? Ende :)
Eigentlich basic, aber so wie überall "einfach XY, fertig" steht, geht's bei mir nicht. Hüll-Fee!
Setup:
LAN2(10.0.10.x/24) <-> LANport:OpenWRT-Router:WANPort <-> LAN1(10.0.0.1/24) <-> Fritz7490 <-> DSL (O2).
OpenWRT-LAN: 10.0.10.1
OpenWRT-WAN: 10.0.0.2
FritzLan-IP: 10.0.0.1

OpenWRT-Router und Fritte sind auf aktuellsten FW-Versionen

Der openWRT ist frisch aufgesetzt, soll nur router und firewall sein (weil ich (a) einige smarthome devices doppelt wegsperren will und (b) meine Server hinter einer Firewall wissen will, die "open source" ist, denn auch AVM hatte ja doch mal das eine oder andere "Problemchen"), soll kein NAT/MASQ machen, weil ich ja zwei getrennte, korrekte subnetze konfiguriert habe:

Fritz hat route für 10.0.10.x/24 via 10.0.0.2 gesetzt.
OpenWRT hat route für 0.0.0.0 via 10.0.0.1 gesetzt.

OK: Clients in LAN1 können in LAN2 pingen, ssh'n etc
OK: Clients in LAN1 können in die Welt hinaus pingen, surfen etc. Alles normal.

OK: Clients in LAN2 hinter openWRT können auf LAN1 pingen.
FAIL: Clients in LAN2 können NICHT in die Welt hinaus pingen:
< Ping 8.8.8.8 > gibt als Fehler für jedes Paket < From a.b.c.d icmp_seq=1 Packet filtered > wobei a.b.c.d meine öffentliche (dynamische) IP von O2 ist.

Selbes ping 8.8.8.8 aus LAN1 geht natürlich, es liegt nicht am berühmten 8.8.8.8 dass er nicht antworten mag.

Ich finde nur Themen bei denen das mit "mach kein doppel-NAT, mach einfach eine route von der fritte zum router und vom router zur fritte" läuft, aber keine, die den Fehler haben vor dem ich stehe. Wo anfangen? "Eigentlich" müsste das ganz simpel gehen... eigentlich.
 
Naja, openWRT weiß, dass er 10.0.0.1 über sein WAN-Interface erreichen kann (welches 10.0.0.2 ist), und dass er alles, was nicht 10.0.10.x ist, über eben dieses WAN Interface erreicht. Und das bekommt er ja auch hin, denn die Pings gehen ja raus an die Fritzbox (oder an lokale clients in ihrem Netz). Im Paketmitschnitt auf der Fritte sieht man, dass die Pings dort vorbei wollen, aber eben von O2 nicht gelassen werden (wie ich das interpretiere).
 
Die Fritzbox wird die Pakete nicht rauslassen, weil sie nicht aus ihrem Heimnetz sind. Mach den openWRT mal testweise zum NAT Router, dann wird es vermutlich funktionieren.
 
Hallo Frank,
ja, DAS geht. Aber das ist nicht das, was ich will, und es MUSS auch ohne gehen:
Ich habe hier eine Anleitung aus der c't (10/2019, S.28) rausgekramt, in der die Jungs damals:
- einer 4040 ein openWRT verpassen,
- ihr dann ein 192.168.144.1 für ihr LAN (bei mir "LAN2" genannt) verpassen,
- sie mit 192.168.178.23 an ihrem "WAN" Port dann
- hinter eine "normale" Fritte (192.168.178.1 im Standard) hängen,
- und beiden die entsprechenden Routing-Einträge verpassen
- UND auf dem OpenWRT explizit "MASQ" (aka NAT) und "MSS clamping" AUSschalten.
Genau das, was ich auch mache (nur dass meine 4040 keine 4040 ist...und ich tipp-faul bin und immer 10.0.x.y Netze baue was die Fingerakrobatik minimiert).
 
mhm... maybe valider Punkt... wo mag das geschrieben stehen, damit man's sicher weiß.
 

Router-FAQ.de: FRITZ!Box Übersicht - FRITZ!Box 4040

Detail-Ansicht mit technischen Daten, Anschlussbild und Übersichten der FRITZ!Box 4040.
www.router-faq.de www.router-faq.de

Dort stehen alle Firmwares für die 4040 inkl. Erscheinungsdatum. Zusammen mit Google solltest du dir die Changelogs zusammensuchen können. Evtl. kommt hier auch jemand vorbei, der es genau weiß.
 
Danke, aber so recht will ich das nicht glauben. Gerade nochmal auf der AVM-Seite in den Anleitungen gestöbert, dort wird genau so beschrieben, dass eben Subnetz-Routing möglich ist, und es gibt keinerlei Hinweis, dass das nur mit "Ge-NAT-tetem" Subnetz hinter dem nächsten Router gehen sollte. Ich werd' mal deren Support anhauen, vielleicht antwortet ja jemand...
 
elfri schrieb:
Gerade nochmal auf der AVM-Seite in den Anleitungen gestöbert, dort wird genau so beschrieben, dass eben Subnetz-Routing möglich ist, und es gibt keinerlei Hinweis, dass das nur mit "Ge-NAT-tetem" Subnetz hinter dem nächsten Router gehen sollte.
Zum Vergrößern anklicken....
Wo steht das? Das wäre mir neu.

Übrigens wäre es auf der OpenWRT vermutlich möglich, auf Basis des Ziels eine NAT Regel anzulegen, die nur greift, wenn die Geräte ins Internet wollen (bzw. wenn sie nicht ins Heimnetz wollen).

Noch mal die Frage: warum die Trennung, wenn du über Routen dafür sorgst, dass sich die Geräte doch wieder gegenseitig erreichen können? Den ganzen Aufwand kannst du dir sparen.
 
frank_m24 schrieb:
Wo steht das? Das wäre mir neu.
Zum Vergrößern anklicken....
Na, hier: https://avm.de/service/wissensdaten...1_Statische-IP-Route-in-FRITZ-Box-einrichten/

Trennung? Na, Firewall, und zwar eine, die open source ist, und die man ordentlich administrieren kann. Der openWRT soll als Firewall nochmal zusätzlich isolieren. Dahinter kommen einerseits Maschinen, die bitte nochmal eine Ebene weiter von den Bösen Buben da draußen (und auch den Heranwachsenden im eigenen Haus ;-)) weg sein sollen. Und andererseits "Gadgets", die definitiv nicht "nach hause telefonieren" dürfen. Auch AVM hat's schon das eine oder andere Mal "erwischt"...
Die Routen führen also nur AN die Firewall, die (wenn ich dieses Grundproblem mal gelöst hätte...) DICHT ist, bis auf wenige dedizierte Ports zu den entsprechenden (V)Maschinen dahinter. Eigentlich schon fast "Standard" würde ich sagen?
 
elfri schrieb:
Die Routen führen also nur AN die Firewall, die (wenn ich dieses Grundproblem mal gelöst hätte...) DICHT ist, bis auf wenige dedizierte Ports zu den entsprechenden (V)Maschinen dahinter.
Zum Vergrößern anklicken....
Dir ist klar, dass du den Internetzugang genau damit verhindern kannst, oder? Wenn du alles blockst, was nicht erlaubt ist, blockierst du damit auch den eingehenden Internet-Traffic. Das gilt dann auch und vor allem für Protokolle wie ICMP, und schwupp meldet der vorgelagerte Router "filtered". Als NAT Router funktioniert es, weil er dann Connection Tracking macht.
 
FFS... "Kindersicherung" bzw. "Zugangsprofile" der Fritte sind das Problem in dem Setup.

Ich habe - wegen der lieben "Kleinen" - das "Standard"-Profil der Kindersicherung auf "Onlinezeit == NIE" stehen. Jedes neue Gerät, das die Fritte sieht, bekommt automatisch zunächst das "Standard"-Profil, das kann man nicht beeinflussen. Dem "Standard"-Profil (welches man nicht löschen oder umbenennen kann) kann man nur "immer" oder "nie" oder Zeitfenster zuweisen. Das ist auch GUT so, super Funktion: Dadurch muss ich JEDES neue Gerät erst sehen und entscheiden, was es darf, also ein anderes Profil (bspw. "Unbeschränkt", oder eben das eines Kindes, in dessen Gadget-Zoo das neue Teil gehört) zuordnen. Kind lernt MAC Adressen zu setzen? Soll es doch :p

Wenn nun der 2. Router "NAT" macht, und dem natürlich das "Unbeschränkt"-Profil zugeordnet ist, dann kann der, und auch alles hinter ihm, ins Netz durchgelassen werden. Schalte ich NAT ab, dann kommen natürlich alle .10.x-Maschinen mit IHRER IP & MAC bei der Fritte an. Diese kennt die ".10er" aber nicht, und lässt sie nicht durch - soweit alles "by design". Blöd weil verwirrend ist halt, dass sie das "du kummst hier net 'naus" nicht mit IHRER IP rückmeldet, sondern mit der ISP-Public-IP.

So, und das eigentliche Problem ist nun: Die Fritte zeigt mir, aus welchen Gründen auch immer, die "neuen" Kunden (die hinter dem anderen Router wohnen) NICHT in ihrer Geräteliste an, sodass ich ihr nicht sagen kann, dass diese "unbeschränkt" sind. DAS halte ich dann für einen Bug der Fritte...
Wenn ich nun unter "Netzwerk" > "Netzwerkverbindungen" in der Liste der aktiven und inaktiven Geräte manuell ein neues Gerät mit bekannter MAC & IP (aus dem .10er Subnetz) hinzufügen will, meckert die Fritte, dass die IP eben NICHT aus IHREM Segment stammt und verweigert den Eintrag. Und ohne eine IP, nur mit der MAC, ebenfalls. Nächster "Bug" bzw. nicht ganz ausgereiftes "Feature" würde ich sagen.

Also muss ich wohl erstmal mit "NAT" leben, bis ich AVM das verklickert habe und die ein Update bauen, mit dem subnet-routing UND Kindersicherung gleichzeitig gehen. Bäh.

Danke für eure Mühe!!
 
Hallo,

schau mal hier, hier wird beschrieben, wie du anhand von IPTables verhinderst, dass deine Maschinen ins Internet kommen.
Video
 
elfri schrieb:
DAS halte ich dann für einen Bug der Fritte...
Zum Vergrößern anklicken....
Nee, das ist mit Sicherheit kein Bug. Für das 10er Netz ist der 10er Router zuständig, niemand sonst. Die Fritz sieht ja nur IPs und hat nicht mal ne Mac. Das ist schlicht unmöglich.
 
Stimmt, hast recht, die MAC geht ja nicht über den Router, ich doof. Nur die IPs. Also müsste man der Fritz halt sagen können, dass alle Pakete, die aus dem Subnetz .10.x kommen durch dürfen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 776 (Mitglieder: 24, Gäste: 752)

Neueste Beiträge

Statistik des Forums

Themen
244,880
Beiträge
2,220,041
Mitglieder
371,605
Neuestes Mitglied
michaelwarwel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück