FB 7270 V2 - cpmaccfg und DMZ aber wie

[zhermann]

Hallo Leute,

man möge mir BITTE verzeihen, dass ich nochmalig ein Thema bzgl. Fritzbox 7270 cpmaccfg, VLAN und DMZ aufmache. Ich habe mir alle möglichen Beiträge in diesem Forum und bei Freetz und über Google durchgelesen, komme aber nicht weiter.

Also was möchte ich machen?

Die LAN Ports der eingebauten Switch so auf teilen, das LAN Port 4 von den anderen getrennt wird und alleinig für die Verbindung ins Internet über den DSL Port zuständig ist. Dabei darf aber die VoIP Fähigkeit nicht verloren gehen, d.h. es muß weiterhin sicherstellt sein, das meine drei DECT Fons funktionieren. Ich telefoniere ausschließlich über Internet 1&1.

Die AVM Firewall kann ich mit Freetz entfernen, da ich eine PIX nutzen möchte.

Der Outside Port der PIX wird dann auf LAN4 gesteckt und der Inside Port der PIX z.B. auf LAN Port 3.

Die PIX sichert dann mein Netz LAN/WLAN gegen Zugriffe von Außen ab.

Ok, der Firmwarestand auf meiner Box ist:

Firmware-Version 54.04.80freetz-1.1.3​

Im Freetz sind folgende Pakete derzeitig eingebunden:

• AVM Firewall -> soll später entfernt werden
• Callmonitor
• Inetd
• Rcapid
• Samba
• VirtualIP
• Wake on LAN

Ich kann die Switch in der Box mit cpmaccfg umschalten z.B. mit

/var/mod/root # cpmaccfg ssm split
Setting switch_mode to 'split' (3).
/var/mod/root # 
/var/mod/root # cpmaccfg gsmc
Devices: 4
WAN is port: (none)
Device 1: name=eth0, portmask=0x21
Device 2: name=eth1, portmask=0x22
Device 3: name=eth2, portmask=0x24
Device 4: name=eth3, portmask=0x28

Die Option special funktioniert nicht, trotz dessen, dass ich beim Freetz Image erstellen Kernel replace ausgewählt habe.

So, jetzt komm ich zu meiner eigentlichen Bitte.

Kann mir einer von Euch mal aufschreiben, wie und was ich konfigurieren und anpassen muß, damit ich die oben beschriebene Sache hinbekomme?

Also ich meine ein HowTo für Dummys.

Leider verstehe ich die Fragmente, in den einzelnen Beiträgen, nicht so richtig und habe leider auch nicht die Erfahrung mit der Fritzbox.

Der Hintergrund für die ganze Aktion ist:

1. Ich trau der AVM Firewall nicht!
2. Mit iptable habe ich keine Erfahrung
3. 3 Site2Site VPN Verbindungen gleichzeitig
4. zusätzlich Einwahl per VPN von Außen

Vielen herzlichen Dank schon mal im Vorraus.

ZHermann

===============================================================================

EDIT: 25.05.2010

Ok, habe jetzt das DMZ Paket im Freetz integriert, allerdings die Version 0.0.1

Wenn ich jetzt die einzelnen Patche einspiele bekomme ich folgende Ausgaben:

# patch -p0 < dmz-0.0.2.patch

patching file make/Config.in
Hunk #1 FAILED at 82.
1 out of 1 hunk FAILED -- saving rejects to file make/Config.in.rej
patching file make/dmz/dmz.mk
patching file make/dmz/files/root/etc/init.d/rc.dmz
patching file make/dmz/files/root/etc/default.dmz/dmz.cfg
patching file make/dmz/Makefile.in
patching file make/dmz/Config.in

# patch -p0 < dmz-0.0.3.patch

patching file make/Config.in
Hunk #1 FAILED at 83.
1 out of 1 hunk FAILED -- saving rejects to file make/Config.in.rej
patching file make/dmz/dmz.mk
patching file make/dmz/files/root/etc/init.d/rc.dmz
patching file make/dmz/files/root/etc/default.dmz/dmz.cfg
patching file make/dmz/Makefile.in
patching file make/dmz/Config.in

# patch -p0 < dmz-0.0.4.patch

patching file make/Config.in
Hunk #1 FAILED at 83.
1 out of 1 hunk FAILED -- saving rejects to file make/Config.in.rej
patching file make/dmz/dmz.mk
patching file make/dmz/files/root/etc/init.d/rc.dmz
patching file make/dmz/files/root/etc/default.dmz/dmz.cfg
patching file make/dmz/Makefile.in
patching file make/dmz/Config.in
patch: **** malformed patch al line 316:

Meine Gedanken dazu:

Die Zeilen "Hunk #1 FAILED at 83." denke ich kann man ignorieren da Sie bei allen Patchen vorkommen
Die Zeile "patch: **** malformed patch al line 316:" denke ich ist schon gravierender, oder?

Ich möchte das ganze im Freetz 1.1.3 nutzen. Muß ich da irgend was zusätzlich beachten?
Sorry, aber ich bin kein Linux Mensch.

ZHermann

 

[Dunji]

Hallo zhermann

Du musst NICHT ALLE Patches nacheinander anwenden, sondern nur den letzten (0.0.4). Probier doch noch mal mit einem frischen Checkout und patche anschliessend mit v0.0.4.

Ich musste nie Kernel-Replace anwählen, um cpmaccfg special zu verwenden. Vielleicht hast Du eine neuere Box-Revision, bei der cpmaccfg special nicht mehr funktioniert...
Kann das jemand bestätigen oder dementieren?

EDIT: Hast Du dir die Patch-Files mal angesehen und die entsprechenden Zeilen analysiert? (Es sind Text-Files, die Änderungen in den Freetz-Config-Files beschreiben. Du könntest sonst auch die entsprechenden Zeilen manuell in die Freetz-Files einfügen, falls sich Freetz zu sehr geändert hat und darum der Patch nicht mehr geht.
Ich denke, ich habe doch auch eine TAR-Version beigelegt oder? Dort findest Du meine DMZ-Dateien im Klartext. Dann brauchst Du diese nur noch an den richtigen Ort im Freetz-Verzeichnis abzulegen und dann noch die Option in make/Config.in einzutragen. Es ist keine Hexerei.

 

[zhermann]

Hallu Dunji,

herzlichen Dank für die schnelle Antwort!

Also, habe gerade nur patch -p0 < dmz-0.0.4.patch eingespielt. Die Meldung am Ende ist die gleiche geblieben. Ich denke das man Sie ignorieren kann, da die Zeile 316 die letzte Zeile im Script ist.

Wenn ich aber unter make menuconfig nachschaue, wird nur die Version dmz 0.0.1 angeboten.

Wenn ich Patch 2 und 3 einspiele, werden diese mir angezeigt.

Kann ich also davon ausgehen, das der Patch 4 eingespielt ist?

Gruß ZHermann

 

[zhermann]

Hallo,

hat den keiner eine Antwort für mich?

Habe gestern abend mit dem DMZ Modul getestet.
Ich bin sowiet gekommen, dass zwar alle Netzwerke getrennt waren, also

LAN 172.30.4.0/24
WLAN 192.168.182.9/24
DMZ 172.16.1.0/24

gehabt. Trotzdem konnte ich von LAN/WLAN in die DMZ pingen.

Meine DMZ.CFG sieht wie folgt aus:

#### CONFIG 26.05.2010 ####
export DMZ_ENABLED="yes"
export DMZ_IP="172.16.1.1"
export DMZ_NETMASK="255.255.255.0"
export DMZ_LAN_INTERFACE="eth0"
export DMZ_DMZ_INTERFACE="eth1"
export DMZ_LAN_PORTMASK="0x27"
export DMZ_DMZ_PORTMASK="0x28"
export DMZ_BRIDGE_LAN_WLAN="yes"
export DMZ_PROTECT_INTERFACE1="wlan"
export DMZ_PROTECT_INTERFACE2="eth0"
export DMZ_USE_WAN="yes"

Also wie ich oben schon beschrieben habe, möchte ich das der

• DSL Port only mit der DMZ spricht
• LAN/WLAN soll im selben IP Bereich sein
• zwischen DMZ und LAN/WLAN möchte ich eine PIX stellen
• Client im LAN/WLAN kommunizieren dann nur über die PIX mit dem IE

Mann könnte es ja auch umdrehen wenn es einfacher ist, dass das LAN/WLAN = DMZ ist und alles andere ist Normal.

Wie müsste dann die dmz.cfg aussehen und wie muß die ar7.cfg aufgebaut sein? Zu beachten wäre da nur, das ich noch eine 3270 Box als Repaeter für LAN/WLAN habe, die dann natürlich weiter als Repaeter funktionieren soll.

Kann mir da einer helfen?

Gruß ZHermann

________________________________________

29.05. Edit

Hat den keiner eine Idee oder ist das Thema zu Komplex?
Ich bin leider nicht der Linux-Spezi, damit ich alle notwendigen Änderungen ergründen kann.
Ich denke aber, das es doch einige Spezialisten hier gibt, die so eine Konfig aus dem "Ärmel" schütteln, oder?

Ok, noch eine Idee:

Mit der Cisco PIX kann ich auch eine PPPoE Verbindung aufbauen, dazu muß die Box aber in den Modem Modus geschaltet werden. Das sollte nicht das Problem sein, aber was ist dann mit meinen Telefonverbindungen, stellt die Box die dann immer noch her? Hat da einer schon Erfahrungen?

Gruß ZHermann