2x DSL 2x FreetzBox Bridge

[sattim]

Hallo zusammen,
ich bräuchte mal fachliche Hilfe:

Ich habe eine Funkbrücke zu meinem Nachbarn mit 2 - W920V Routern, natürlich mit Freetz drauf.
Dann haben wir beide einen DSL Zugang auch mit Freetzboxen.

Das Problem ist nun, dass wir beide DHCP benötigen bzw. wollen, und auch alle Clients in diesem beiden Netzen untereinander erreichbar sein sollen. Derzeit läuft nur auf meiner Seite der DHCP Dienst, alles ist soweit auch funktionell. Das Problem ist aber wenn meines Nachbars Sohn, zb Filesharing betreibt oder mit seinen Kumpels eine Lanparty macht geht das über meine Anschluss. Oder wenn bei Ihm der DHCP an wäre von meiner Seite alles über seinen Anschluss ging.

Frage ist die FreetzAVM Firewall in den Bridgeroutern so einstellbar das DHCP nicht über die Funkstrecke übertragen wird. ZB die UDP Ports 67 und 68 zu sperren. Auch haben wir das Problem das der AVM Monitor immer mal die Box des anderen erwischt.

Schöne Grüße

 

[sicka01]

Ist es möglich mit Default Gateways zu arbeiten? So was wäre eine sehr einfache Lösung.

 

[MaxMuster]

Es ist ja nun gerade der Sinn einer Bridge, eben alles zu übertragen, was auf Schicht 2 läuft :-Ö

Die Erreichbarkeit wäre natürlich auch dann gegeben, wenn verschiedene IP-Netze vorhanden sind, die sich gegenseitig über das Routing verbinden.

Wenn du unbedingt bridgen willst, hilft nur, den Nachbarn DHCP machen zu lassen und deine eigenen LAN-Clients fest so einzustellen, dass sie deine Box als Gateway nutzen.
Oder du schaltest den AVM-DHCP aus und "bastelst" mit dnsmasq oder so einen DHCP mit statischen Einträgen für die bekannten Rechner über deine Box/dein GW und alle unbekannten Geräte (=Nachbarssohnskumpels) nutzen den Anschluss des Nachbarn.

Jörg

 

[sattim]

Ja das ist alles nicht so einfach, wenn bei mir jemand mit seinem Rechner vorbeikommt (Schleppi IPhone ect.) will ich nicht erst am Router rumbasteln.

Aber es muss doch irgendwie möglich sein die Firewall so zu nutzen das diese die Ports blockt. Auch das Problem mit dem Fritzmonitor besteht dann noch.

Kann man da was mit statische Routen machen, damit kenne ich mich aber nicht aus.
Weitere Hilfe wäre gut

 

[MaxMuster]

Das Problem ist, dass du beim Bridging keine "normale" FW hast, die wirkt auf der Basis von IP (Schicht 3), während du die Netze per Schicht 2 verbunden hast, und deshalb bei der Kommunikation keine (Schicht 3-) Firewall "dazwischen" ist.

Für deine Zwecke bräuchtest du sowas wie ebtables, eine Schicht 2 Firewall.

Leider kann die AVM-Firmware eine Box nicht als WLAN-Client anmelden, so dass du damit direkt ein IP-Netz aufspannen könntest...

Was du aber versuchen könntest:
1. Die eine Box nur als Bridge ins Nachbar-WLAN einzurichten (mit IP-Kreis des Nachbarn, hier mal 192.168.178.x)
2. Andere Box (dein Default Gateway, die Box mit DSL) so einrichten, dass sie IP-Adressen in verschiedenen Netze hat, eines davon im Nachbarnetz (z.B. 192.168.178.253), einmal "dein" Netz, sagen wir 192.168.177.x.

Dann braucht die Box des Nachbarn "nur noch" in den erweiterten Einstellungen eine Route für dein Netz (im Beispiel 192.168.177.0 255.255.255.0 auf 192.168.178.253 [IP deines Routers im Nachbar-Netz]).

Eventuell musst du für die Netztrennung das Paket "cpmaccfg" nutzen, das ganze oben ist nur eine theoretische Überlegung ;-)

Jörg

 

[sattim]

Hallo Jörg,
hab ich dann nicht das selbige Problem allerdings dann mit zwei Netzen, soll heisen dass ich dann evtl. auch im Netz des Nachbarn lande und umgekehrt je nach dem welschen DHCP Server ich dann erwische?

Aber könnte ich den Einen Bridge Router über den DSL Port mit einer Festen IP anschliesen

 

[MaxMuster]

Nein, dass sollt eigentlich nicht passieren, denn der DHCP geht nicht über die IP-Netzgrenze hinweg.
"Dein" DHCP dürfte demnach nur den Clients in deinem Netz antworten, denn es gibt keine direkte (Schicht 2-)Verbindung in das andere Netz; das Nachbarnetz ist ja in dem Beispiel als eigenes IP-Netz auf einem separierten Interface "abgetrennt".
Gleiches gilt im Nachbarnetz. Allerdings muss man dann ggf die PCs im anderen Netz direkt ansprechen, die "MS-Art" PC-Namen aufzulösen per Broadcast geht dann nicht mehr...

Jörg

 

[sattim]

Halloo,
ich hab das mal probiert, leider bekomme ich dann keine Verbindung in das jeweilige andere Netzt.
Ich hab dem Router über Port 1 eine IP in dem jeweiligen Netz zugewiesen, bin aber dann werder per Ping noch sonstwie in das Jeweilige andere Netz gekommen.
Box IP Lan1 192.168.178.10 (meins) Bridge Router
BoxIP Lan2 192.168.178.11 (nachbar) Bridge Router

DSL Router bei mir 192.168.178.1
DSL Router Nachbar 192.168.178.2

Ich kann über die jeweiligen Ports 2-4 auf alles im "eigenen Netz zugreifen auch damit dann wieder auf die Bridge. Jetzt kann es doch nur sein dass die Firewall im Router alles blockt.
Was über Port 1 rein und raus geht.

 

[MaxMuster]

Hmm, wenn auf beiden Seiten 192.168.178.x ist, sieht das für mich nicht nach verschiedenen Netzen aus?? So sollte es sein:

...
2. Andere Box (dein Default Gateway, die Box mit DSL) so einrichten, dass sie IP-Adressen in verschiedenen Netzen hat, eines davon im Nachbarnetz (z.B. 192.168.178.253), einmal "dein" Netz, sagen wir 192.168.177.x.
...

Du kannst übrigens nicht "Internet über LAN1" dafür nutzen, dass schaltet dort Firewall und NAT des dsld ein, sondern musst cpmaccfg nutzen.

Jörg

 

[sattim]

Jetzt musst du mir mal helfen was bedeuet cpmaccfg ?
Gruß

 

[MaxMuster]

cpmaccfg ist eine Möglichkeit, den Switch in der Box zu konfigurieren.

Eventuell geht es aber auch "noch einfacher": Hast du auf der "Bridge-Box" das Tool "brctl"? Dann poste doch mal die Ausgabe von "brctl show". Oder versuche gleich, ob meine Idee klappt:

# Speichere die LAN (non-WLAN) IF
LANIF=$(brctl show | grep -o  "eth[^ ]*")
# lege neue Bridge fuers eigene LAN an (die originale "bleibt im Nachbarnetz")
brctl addbr mylan
# LAN aus der "originalen" bridge rauslösen ...
for i in $LANIF; do brctl delif lan $i ; done
# ... und in die eigene einfügen
for i in $LANIF; do brctl addif mylan $i; done 
# dem eigenen bridge-IF eine eigene IP geben
ifconfig mylan 192.168.177.2

Wenn du jetzt dein Netz von 192.168.178.x auf 192.168.177.x umstellst, sind die Netze getrennt (Die .2 habe ich im obrigen Bsp. schon an den Brückenrouter vergeben).

Dann braucht die Box des Nachbarn in den erweiterten Einstellungen eine Route für dein Netz (im Beispiel 192.168.177.0 255.255.255.0 auf 192.168.178.10 [IP deines Bridge-Routers im Nachbar-Netz]).
Deine Hauptbox (mit dem DSL) braucht dann eine Route für das Nachbarnetz (das ja weiterhin 192.168.178.x bleibt) zum "Brückenrouter" (192.168.178.0 255.255.255.0 auf 192.168.177.2 nach obrigem Beispiel).


Jörg

 

[sattim]

Hallo Jörg,
du scheinst dich da ja super gut auszukennen.
Ich habe scheinbar keines der beiden drauf weder cpmaccfg noch brctl.
Da ich das Image nicht selbst erstellen konnte hab ich mir das in einem anderem Board besorgt, hab auch keine Ahnung wie ich das drauf bekommen sollte. :-(

Gruß

 

[MaxMuster]

Hm, ich dachte alle neueren Boxen haben das brctl schon drin??
Du kannst aber auch das Prgramm dafür auf die Box bringen wie z.B. auf wehavemorefun beschrieben (du brauchst das 2.6-er Binary).

Jörg

 

[sattim]

Danke für deine Hilfe, habs leider nicht hinbekommen. Werde über die Feiertage, da hab ich Urlaub nochmals dran gehen. Gruß und schon mal schöne feiertage

 

[sattim]

Juhuuu es klappt

Hallo zusammen ich habs hinbekommen.
Die Lösung war näher als gedacht. Ich habe die Fritzen der Bridge mit Internet über Port 1 konfiguriert. Wichtig ist dabei dass alle im selben Netzsegment sind.

Also

DSL Router Nachbar 192.168.178.1
DHCP Bereich 192.168.178.50-99
BridgeRouter Internetzugang beim Nachbarn über Lan an Port 1 - 192.168.178.100
Gateway auf sich also 192.168.178.1
DNS1 auch auf sich also 192.168.178.1
DNS2 auf meine Box also 192.168.178.2
BridgeRouter Internetzugang bei mir über Lan an Port 1 - 192.168.178.101
Gateway auf mich also 192.168.178.2
DNS1 auch auf mich also 192.168.178.2
DNS2 auf den Router meines Nachbarn 192.168.178.1
mein DSL Router 192.168.178.2
DHCP Bereich 192.168.178.150-200

Danke für all die Anregungen.
Gruß Sattim