Cpmaccfg funktioniert nicht wie in der Wiki beschrieben

[Strandläufer]

Ich habe mir Cpmaccfg in die Firmware einkompiliert. Ich kann auch das cpmmaccfg aufrufen und bekomme die Hilfe. Versuche ich aber ein

/var/flash $ cpmaccfg gsm
ioctl: Invalid argument

Oder das Beispiel um zwei getrennte Ports zu erhalten aus der Wiki:

/var/flash $ cpmaccfg ssms eth0 0×23 eth1 0x2c
ioctl: Invalid argument

Eigentlich geht nichts wie in der Wiki beschrieben. Und eine andere Doku habe ich noch nicht gefunden.
Und noch eine Frage: Wie bekomme ich es später hin, daß die Einstellungen auch beim Neustart wieder übernommen werden?

 

[RalfFriedl]

Auf welcher Box hast Du es denn versucht? Auf den 7050 aus der Signatur?

Es kann sein, daß diese keinen konfigurierbaren Switch eingebaut haben. Auf einer 7170V2 oder auf einem W900V funktioniert cpmaccfg.

 

[Strandläufer]

Habe es auf der 7050 probiert.
Das einzige was funktioniert ist:

cpmaccfg info
Internal ports: 2
External ports: 1

 

[RalfFriedl]

Die 7050 hat vermutlich gar nicht den Switch-Baustein, der über cpmaccfg angesprochen wird. Die Information mit den zwei Ports ist daher das einzig sinnvolle, was in diesem Fall ausgegeben werden kann.

 

[Strandläufer]

Dann sollte in der Wiki das Fragezeichen hinter der 7050 rausgenommen werden und diese Box dort komplett gestrichen werden.

 

[kriegaex]

Es ist ein Wiki...

 

[Strandläufer]

Würde das ja auch gerne in der Wiki ändern. Aber leider sagt die das mein Nutzerkennung/ Passwort, mit der ich hier eingelogt bin, nicht korrekt ist.

 

[kriegaex]

Dann versuch es nochmal mit dem richtigen PW. Benutzernamen sind, glaube ich, hier auch "case-sensitive".

 

[Strandläufer]

Ich habe mich jetzt an drei Rechnern (Linux bzw. XP) plus VMware Linux mit verschiedenen Browsern hier eingelogt. Und auf allen kann ich mich mit der gleichen Kennung/ Password Kombination nicht in die Wiki einloggen.
Zum testen habe ich auch mal die Klein- Großschreibung geändert. Bringt auch nichts.

 

[kriegaex]

Wende Dich bitte an einen Administrator, z.B. rajo. Beschreib möglichst genau, was Du tust und welche Fehlermeldung auftritt.

 

[3dfxatwork]

Die 7050 hat 2 getrennte Netzwerkkarten (nur das LAN betrachtet) Wenn man "Alle Computer befinden sich im gleichen Netzwerk" herausnimmt hat man eth0 und eth1 zur Verfügung, falls man das so nicht haben will muss man sich mit den Netzwerkinterfaces in der ar7.cfg auseinandersetzen. Falls du konkrete Fragen dazu hast, bzw sagst, wie es konkret aussehen soll, kann ich dir ein Beispiel geben.

MFG Matthias

 

[sweetie-pie]

Erklärungsbedarf: cpmaccfg - Konfiguration

Moin!

Was ich beabsichtige:
FB 7170 mit VLAN zu versehen um an LAN1 mein lokales Netz (192.168.2.0) und ein OpenVPN-Netz (192.168.1.0) zu hängen und an LAN2 mein unsicheren WAP54G mit WEP (wg. Webcam) zu hängen.

Welche HW/SW-Konfiguration ich habe:
Siehe Signatur = 7170

Was ich bisher erreicht habe:
cpmaccfg getestet:

/var/mod/root $ cpmaccfg info
Internal ports: 1
External ports: 4

Beispiel aus dem WiKi:

/var/mod/root $ cpmaccfg ssms eth0 0×23 eth1 0x2c
/var/mod/root $ cpmaccfg ssm special

Test:

/var/mod/root $ cpmaccfg gsmc Devices: 2
WAN is port: (none)
Device 1: name=eth0, portmask=0x23
Device 2: name=eth1, portmask=0x2c

Bis hier m.E. soweit okay.
Doch es taucht nicht wie beschrieben das neue Interface eth1 auf.

/var/mod/root $ ifconfig | grep Link cpmac0    Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
dsl       Link encap:Point-to-Point Protocol
eth0      Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
eth0:0    Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
eth0:1    Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
lo        Link encap:Local Loopback
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
wlan      Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA

Also einfach selber angelegt (steht nicht im WiKi):

/var/mod/root $ ifconfig eth1 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 up
/var/mod/root $ ifconfig | grep addr
cpmac0    Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
eth0      Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
          inet addr:192.168.2.110  Bcast:192.168.2.255  Mask:255.255.255.0
eth0:0    Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
eth0:1    Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
          inet addr:192.168.2.253  Bcast:192.168.2.255  Mask:255.255.255.0
eth1      Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.200.1  P-t-P:192.168.200.2  Mask:255.255.255.255
wlan      Link encap:Ethernet  HWaddr 00:15:0C:8B:25:CA
          inet addr:192.168.182.1  Bcast:192.168.182.255  Mask:255.255.255.0

So jetzt kommt der Part, wo ich ein bißchen ins Stocken komme:

An LAN2 gibts kein DHCP mehr... vermutlich muss ich jetzt selber dafür sorgen, z.B. mit dnsmasq ?
Ich habe, nachdem ich die CLients an LAN2 per hand konfiguriert habe, mal probiert, aber die Netze sehen sich noch untereinander...

/var/mod/root $ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.200.2   *               255.255.255.255 UH    0      0        0 tun0
192.168.182.0   *               255.255.255.0   U     0      0        0 wlan
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     192.168.200.2   255.255.255.0   UG    0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
192.168.200.0   192.168.200.2   255.255.255.0   UG    0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         *               0.0.0.0         U     2      0        0 dsl

Dem Routing nach okay... aber wie kann ich das vermeiden?

Ein wieder mal etwas übermüdeter...

 

[frank_m24]

Hallo,

Doch es taucht nicht wie beschrieben das neue Interface eth1 auf.

hast du ifconfig oder "ifconfig -a" angegeben? Das Interface dürfte zu dem Zeitpunkt noch "down" sein und folglich wird es bei ifconfig nicht angezeigt.

Also einfach selber angelegt (steht nicht im WiKi):

/var/mod/root $ ifconfig eth1 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 up

Damit hast du das Interface keinesfalls angelegt. Das kannst du mit dem Befehl nicht. Du hast dem Interface eine IP gegeben, aber es vor allem "up" gebracht - jetzt taucht es bei ifconfig auf.

An LAN2 gibts kein DHCP mehr... vermutlich muss ich jetzt selber dafür sorgen, z.B. mit dnsmasq ?

Richtig. Das Interface hat ja eine IP, die nicht zum AVM DHCP Server passt.

Ich habe, nachdem ich die CLients an LAN2 per hand konfiguriert habe, mal probiert, aber die Netze sehen sich noch untereinander...

Das ist normal. Die Box ist ein Router - sie routet zwischen ihren Subnetzen, das ist ihre Aufgabe. Wenn man bei den anderen Boxen (7050 z.B.) die Option "alle Rechner befinden sich im selben Subnetz" deaktiviert und so die Rechner direkt in verschiedene Netze packt (ohne Modifikation), können sie sich auch untereinander sehen.

Du kannst das Routen zwischen den Subnetzen mit iptables verhindern. Das läuft aber nicht in vollem Umfang stabil. Ich hab keine Ahnung, ob sich deine Funktionalität stabil realisieren lässt.

 

[kriegaex]

Evtl. geht das ja auch ohne Iptables, ich glaube da mal etwas von Knox (war er es?) gelesen zu haben. Ich schlage vor, Ihr behaltet den neuen Sticky Thread "Aufruf zur Dokumentation der internen Firewall" im Auge.

 

[sweetie-pie]

Hallo,

@frank_m24: Danke jetzt habe ich verstanden, was ich getan habe...

Richtig. Das Interface hat ja eine IP, die nicht zum AVM DHCP Server passt.

Dann werde ich mich jetzt mal an dnsmaq machen und den von kriegaex angeführten Beitrag verfolgen....

 

[sweetie-pie]

so... jetzt haben wir das nächste Problem:

Dann werde ich mich jetzt mal an dnsmaq machen...

Soweit installiert und arbeitet, jedoch nicht nachdem ich wie oben beschrieben die Netze geteilt habe. An eth0 arbeitet der DHCP an eth1 nicht.

Meine Einstellungen
DHCP Server
DHCP Range (eine pro Zeile)

eth0,192.168.2.1,192.168.2.20,12h
eth1,192.168.0.100,192.168.0.200,12h

Jemand eine Idee... ?

 

[frank_m24]

Hallo,

dnsmasq ist gestartet? Der interne DHCP Server von AVM wurde deaktiviert?

 

[sweetie-pie]

Danke für deine Hinweise, aber jetzt läuft der dnsmasq auf einmal mit der Konfiguration, wie oben beschrieben...

Warum?
Keine Ahnung, ich hatte mir recht abgenervt eine Pizza gemacht gemacht und das ganze Netz incl. Switch stromlos gemacht und neu gestartet....

Jetzt fehlen noch die Regeln in der ar7.cfg . Gemäß diesem Post soll man die Inteface einfach aus der Bridge nehmen...

Damit habe ich zwei Probleme:
A.) Bei brinterfaces { ... interfaces = .... steht gar kein eth1 drinne...
B.) Sollte das eh egal sein, da ich ja Alle Computer befinden sich im selben IP-Netzwerk nicht aktiviert.

Ich wäre fast der Meinung, dass die dort vorgeschlagene Lösung eigentlich nicht funktionieren kann...

Nu ist guter Rat teuer...

 

[derheimi]

Ich wäre fast der Meinung, dass die dort vorgeschlagene Lösung eigentlich nicht funktionieren kann...

Sehe ich auch so. Im besagtem Post wird das Interface zwar aus der Bridge entfernt (was Du jetzt schon erreicht hast) und damit eine Trennung auf Layer 2 realisiert, allerdings können auf IP-Ebene (Layer 3) immer noch Sachen geroutet werden und das kannst Du nur mit iptables unterbinden. Die Probleme mit iptables bezogen sich im übrigen immer nur auf das connection tracking Modul (ip_conntrack). Ich hab mich jetzt lange nicht mehr damit beschäftigt, aber einfache, statische Regeln müssten eigentlich stabil umsetzbar sein, denn ip_conntrack bracuht man ja nicht für alles...

 

[sweetie-pie]

Die Probleme mit iptables bezogen sich im übrigen immer nur auf das connection tracking Modul (ip_conntrack). Ich hab mich jetzt lange nicht mehr damit beschäftigt, aber einfache, statische Regeln müssten eigentlich stabil umsetzbar sein, denn ip_conntrack bracuht man ja nicht für alles...

Also nach Recherche bin ich nun der Meinung, dass ich vermutlich folgende Regeln brauchen:

#Internet erlauben
iptables -A FORWARD -i eth1 -o dsl -j ACCEPT
#Routing abschalten
iptables -A FORWARD -i eth1 -j DROP
#TCP/UDP auf die Box blockieren
iptables -A INPUT -i eth1 -p tcp -j DROP
iptables -A INPUT -i eth1 -p udp -j DROP
#Zugriff auf den Nameserver erlauben
iptables -I INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i eth1 -p udp --dport 53 -j ACCEPT
# ssh auf Fritzbox erlauben
iptables -I INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
# OpenVPN auf Fritzbox erlauben
iptables -I INPUT -i eth1 -p udp --dport 1194 -j ACCEPT

Unklar ist mir welche der vielen Module ich dafür benötige?
Ich würde auch gerne diesen Ansatz verfolgen, habe aber keinen Blassen, welche Dateien ich dafür brauche...