.titleBar { margin-bottom: 5px!important; }

Fritz!Box Fon 5010 in DMZ hinter Router

Dieses Thema im Forum "FRITZ!Box Fon als ATA" wurde erstellt von EvilDevil, 24 Feb. 2006.

  1. EvilDevil

    EvilDevil Neuer User

    Registriert seit:
    22 Feb. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Hi,

    ich habe es nach langem Rumprobieren endlich hinbekommen, meine FBF 5010 hinter einem Router zum Laufen zu bekommen.
    Jetzt hab ich aber noch ein kleines Problem: Ich habe mir mittels danisahne-mod den sysklogd installiert, um die Logs der FBF5010 per UDP auf meine NSLU2 zu schicken.
    Wenn ich die FBF als IP-Client mit fester IP (Menü Internet -> Zugangsdaten -> Internetzugang per LAN A/WAN -> Vorhandene Internetverbindung im Netzwerk mitbenutzen(IP-Client) einrichte, kann ich zwar auf die NSLU2 loggen und sie ist über 192.168.2.5 administrierbar, aber da sie ja in der DMZ steht, sind alle FBF Ports von aussen sichtbar. :(
    Wenn ich sie als NAT-Router (Menü Internet -> Zugangsdaten -> Internetzugang per LAN A/WAN -> Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP); Zugangsdaten werden nicht benötigt (IP)) einrichte, kann sie irgendwie ins Netz 192.168.2.0/24 keine Pakete senden, ausser an den Router (192.168.2.1), somit funktioniert das Logging per UDP auch nicht und ich kann die FBF auch nur per LAN B-Buchse als 192.168.178.254 administrieren. Dafür sind von ausserhalb keine Ports der FBF mehr offen.
    Was mich jetzt irritiert ist die Tatsache, dass im 2. Modus (NAT-Router mit IP) keinerlei iptables Regeln geladen sind (per telnet in die FBF, iptables -L zeigt nur leere Regeln)
    Benutzt AVM irgendwie eine eigene Firewall?
    Meine Frage wäre jetzt, wie ich der FBF 5010 mitteile, dass sie (von der FBF ausgehende) udp Pakete an 192.168.2.2 zulässt?
    Oder liege ich total falsch und es geht nicht, weil sie im NAT-Modus läuft?
    Dann müsste es eigentlich funktionieren, wenn ich sie im IP-Client Modus betreibe und per iptables alle eingehende Pakete blockiere und nur ausgehende UDP-Pakete and 192.168.2.2 zulasse. Naja, die Ports für VoIP sollten natürlich offen bleiben.

    Hat jemand eine ähnliche Konstellation und/oder kann mir Schützenhilfe geben?

    Gruss,
    EvilDevil






    FBF: 192.168.2.5
    NSLU2: 192.168.2.2
    Router: 192.168.2.1
     
  2. EvilDevil

    EvilDevil Neuer User

    Registriert seit:
    22 Feb. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Hab es hinbekommen:
    Ist aber etwas aufwändiger geworden:

    Vorraussetzungen:
    * Fritzbox 5010 im NAT-IP-Router Modus
    * WRT54g mit dd-wrt23 im WDS-Repeater Modus
    * beliebiger Router, der eine DMZ zur Verfügung stellt
    * NSLU2 mit syslog-ng

    Netzwerktopologie:
    Code:
    [FBF5010]       [DD-WRT] ~~~~(WDS-Link)~~~~[DSL-WLAN Router]---[Internet]
      [Port 1]-------[Port 1]
      [Port 2]-----[WAN Port]        [NSLU2]
                       [Port 2]-------[Port 1]
    
    IP-Adressen:
    FBF5010: Port 1: 192.168.2.5 (Feste IP im Netz des Routers)
    FBF5010: Port 2: 192.168.178.254 (von AVM festgelegte IP)
    DD-WRT: Port n: 192.168.2.254 (VLAN0 mit Port 1-4)
    DD-WRT: WAN Port: 192.168.178.1 (VLAN1 mit WAN Port)
    NSLU2: Port 1: 192.168.2.2
    DSL-WLAN Router: 192.168.2.1

    Weitere Einstellungen:
    DD-WRT: WDS Verbindung mit DSL-WLAN Router
    DD-WRT: Basic Setup -> Internet Setup -> Internet Connection Type: Disable
    FBF5010: Danisahne Mod mit sysklogd (http://www.ip-phone-forum.de/showthread.php?t=85371) geflasht, konfiguriert auf NAT-Router mit IP (Internet->Zugangsdaten->Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)->Zugangsdaten werden nicht benötigt (IP), IP Adresse eintragen)

    Da man die FBF5010 im NAT-IP-Router Modus nur am 2. Port unter 192.168.178.254 erreichen kann, hab ich diesen mit dem brachliegenden WAN-Port des dd-wrt verbunden. Theoretisch kann man jeden anderen Port auch nutzen, aber bei mir sind die alle schon belegt. Solange man den Port in DD-WRT unter Basic Setup->VLANs als eigenes VLAN definiert, sollte es klappen. Bei mir sind Port 1-4 als VLAN0 und der WAN Port als VLAN1 festgelegt.
    Als nächstes hab ich mich per SSH auf dem dd-wrt eingeloggt und per
    Code:
    ifconfig vlan1 192.168.178.1 up
    
    VLAN1 (=WAN-Port) die IP-Adresse zugewiesen.
    Jetzt sollte man die FBF5010 schon von dd-wrt aus pingen können
    Code:
    ping 192.168.178.254
    
    Dann legt man in seinem Rechner fest, dass man für das Subnetz 192.168.178.0/24 als Gateway den dd-wrt nutzen will.
    Linux:
    Code:
    route add -net 192.168.178.0/24 gw 192.168.2.254
    
    Windows:
    Code:
    route add 192.168.178.0 mask 255.255.255.0 192.168.2.254
    
    Mit ping 192.168.178.254 sollte man die FBF5010 erreichen können.

    Fürs UDP Logging muss man auf der FritzBox noch eine Route einrichten:
    Code:
    route add -host 192.168.2.2 gw 192.168.178.1 lan:0
    
    (lan:0) ist das Interface mit der IP-Adresse 192.168.178.254

    Jetzt sollte alles klappen.

    Gruss,
    EvilDevil