Autor Thema: Router (OpenWrt) abschirmen vom Rest des Intranets  (Gelesen 1243 mal)

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Router (OpenWrt) abschirmen vom Rest des Intranets
« am: 22 Juni 2018, 16:26:10 »
Hallo zusammen,

ich denke einige von euch haben Ahnung was Netzwerke angeht, deswegen stelle ich meine Frage erstmal in meinem mir vertrautem Forum.

Nun zur Sache:

Ich wohne bald in einem Wohnheim mit bereitgestelltem Internet. Ich habe nun angefangen einen etwas älteren Router (D-Link dir 615 H2) auf openwrt um zu flashen. Mein Plan ist es nun, diesen Router von dem vorhanden Netz (Netz 1) indem jeder Surft ab zu schirmen. Sprich anderer IP-Adress bereich und eigener Wlan accespoint (Netz 2). (Dann müsste ich so weit ich weiß eine statische Route in das Netz 1 erstellen um ins Internet zu gelangen?)  Anschließend würde ich gerne noch den Router als VPN Client konfigurieren und eine dauerhafte Verbindung nachhause herstellen. (Einfacher als bei jedem client die Verbindung immer wieder zu öffnen).

Nun zur eigentlichen Frage. Es wird jedem anderen Teilnehmer in Netz trotzdem noch möglich sein seine IP auf meinen Adressbereich zu ändern und somit, falls eine VPN Verbindung im Router eingestellt ist auch in Mein Heimnetz zu kommen.

Einen Mac Adressen Filter gibt es so weit ich gesehen habe leider nur für W-LAN.


Habt ihr eine Idee, wie ich verhindern kann, das fremde Computer meiner IP-Range joinen können?

Habt ihr sonst noch Anmerkungen/Vorschläge zu meinem Vorhaben?

Vielen Dank,

Felix
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Online Otto123

  • Hero Member
  • *****
  • Beiträge: 10469
    • Otto's Technik Blog
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #1 am: 22 Juni 2018, 16:45:51 »
Hallo Felix,

ich habe nicht die Lösung für Dich parat und kenne mich mäßig mit dem Thema aus.

Ich habe aber so eine Umgebung bei mir (2 Fritzboxen als Internetrouter und ein OpenWrt als Hausinterner Router) ich kann also relativ gut "mitmachen".

Das mit der Route ist anders als Du denkst, Dein Router macht das relativ easy aber Du brauchst in dem anderen Netzwerk eine Route zu Dir. Zumindest wenn Du geroutete Verbindungen machen willst. Du brauchst also den Admin vom Internetrouter.

Deine eigentliche Frage: jeder andere Teilnehmer im Netz1? Die kannst Du doch mit der Firewall vollständig draußen halten. Wenn der Router aber das VPN baut, dann kann jeder der Zugang zu Deinem Router hat dort etwas "anstecken".

Du kannst auch NAT machen, da weiß ich nicht ob dann VPN Client in jedem Fall funktioniert. Bei zweimal NAT ist das meist ein Problem.
Was ist zu Hause dein VPN Server?

Gruß Otto
Viele Grüße aus Leipzig
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7490+7412,WRT1900ACS-OpenWrt,Sonos,ET9200,Arduino nano,ESP8266

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #2 am: 22 Juni 2018, 16:55:20 »
Hi Otto,

Das mit der Route ist anders als Du denkst, Dein Router macht das relativ easy aber Du brauchst in dem anderen Netzwerk eine Route zu Dir. Zumindest wenn Du geroutete Verbindungen machen willst. Du brauchst also den Admin vom Internetrouter.

das klingt nicht so gut. Da ich keinen Zugriff auf den Router habe und auch nicht haben werde, wird das also nichts.

Zitat
Deine eigentliche Frage: jeder andere Teilnehmer im Netz1? Die kannst Du doch mit der Firewall vollständig draußen halten. Wenn der Router aber das VPN baut, dann kann jeder der Zugang zu Deinem Router hat dort etwas "anstecken".

In wie Fern kann ich einzelne Client mit der Firewall aussperren? Sorry für die blöde Frage.

Das jemand physisch etwas anstecken kann, ist mir bewusst. Das Risiko muss ich eingehen. Mache mir da aber eher weniger Sorgen.

Zitat
Was ist zu Hause dein VPN Server?

Meine Fritzbox. Würde das denn überhaupt so gehen? Ansonsten könnte ich auch einen Openvpn server zuhause aufsetzen. Würde aber lieber den einfachen weg über die Fritzbox nehmen.


Danke.

EDIT: In wie fern kann ich alle clients mit der Firewall blocken außer bestimmte Geräte?
« Letzte Änderung: 22 Juni 2018, 17:01:01 von Fixel2012 »
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Online Otto123

  • Hero Member
  • *****
  • Beiträge: 10469
    • Otto's Technik Blog
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #3 am: 22 Juni 2018, 17:06:31 »
Aus Netz1 hat doch keiner was in deinem Netz zu suchen. Also aus Netz1 in Dein Netz ist einfach alles dicht. Das wäre der Standard.

Das Problem mit dem VPN Server, jeder ist leider etwas "speziell" also auch der der FB. Ob man das vom OpenWrt hinbekommt bzw. eben über zweimal NAT muss man schauen. Kann ich nur sagen: Weiß ich nicht, aber ich weiß es kann da Probleme geben.

Also nochmal konkret zur gewünschten Funktion:
Du willst ein getrenntes Netz? Macht die Firewall im OpenWrt.
Du willst surfen? Das geht auch mit zweimal NAT.
Du willst VPN Zugriff von Netz2 (drinnen) nach draußen? - Mal sehen :)
Was vergessen?

Gruß Otto
Viele Grüße aus Leipzig
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7490+7412,WRT1900ACS-OpenWrt,Sonos,ET9200,Arduino nano,ESP8266

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #4 am: 22 Juni 2018, 17:27:47 »
Ich glaube du verwechselst da was.

Netz 1 ist das Netz was vom Wohnheim bereitgestellt wird und worüber ich Internet habe.
Netz 2 wird durch den OpenWrt Router konfiguriert und ist sozusagen innerhalb von Netz 1 soll aber abgeschirmt von Netz 1 sein.
Netz 3 ist mein Netz zuhause was über Netz 2 per VPN erreicht werden soll.

Brauche ich denn um mich von anderen Clients abzuschirmen zwingend einen eigenen IP-Adressbereich?

Zitat
Du willst ein getrenntes Netz? Macht die Firewall im OpenWrt.

ja. Muss dabei meinerseits noch etwas konfiguriert werden?

Zitat
Du willst surfen? Das geht auch mit zweimal NAT.

Muss das nicht manuell in beiden Routern eingerichtet werden?

Zitat
Das Problem mit dem VPN Server, jeder ist leider etwas "speziell" also auch der der FB.

Dachte ich mir schon fast... :(


Hoffe nun ist verständlicher was ich will und was ich habe ;D

Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Online Otto123

  • Hero Member
  • *****
  • Beiträge: 10469
    • Otto's Technik Blog
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #5 am: 22 Juni 2018, 17:43:30 »
Ich denke ich liege richtig - nur innerhalb von Netz1 verstehe ich jetzt nicht.
Du willst:
                  -- Wohnheim Client 1
                 |
Internet -- Netz1 -- InternetAnschluss/OpenWrtRouter/LANAnschluss -- Netz2 -- Dein Client 1
                                                                           |
                                                                           -- Dein Client 2

Du baust ein neues separates Netz2 und koppelst das mit dem Router mit Netz1 - beide Netze sind physikalisch getrennt.

Edit:
Schon gesucht und gefunden: notwendiges  vpnc Paket ist bei OpenWrt vorhanden
« Letzte Änderung: 22 Juni 2018, 18:09:12 von Otto123 »
Viele Grüße aus Leipzig
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7490+7412,WRT1900ACS-OpenWrt,Sonos,ET9200,Arduino nano,ESP8266

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #6 am: 22 Juni 2018, 19:05:11 »
Deine Zeichnung ist korrekt!

Nun weg von der Theorie:

Wie setze ich die Verbindung zwischen Netz1 und Netz2 nun praktisch um?

Habe gerade versucht die nötigen Pakete zu installieren... Mein Router hat allerdings zu wenig speicher frei. :(

Im Internet wird beschrieben, die Pakete dem image schon hinzu zufügen. Das sollte gehen. Ich werde mal in Erfahrung bringen, wie ich ein image selber bauen kann. Weiß nur noch nicht, ob ich in Bezug auf die Hardware irgendetwas Berücksichtigen muss.

Werde mal schauen, was das Internet so ausspuckt.
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Offline CoolTux

  • Developer
  • Hero Member
  • ****
  • Beiträge: 16775
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #7 am: 22 Juni 2018, 19:29:07 »
Dein Router bekommt 2 IP Adressen. Eine aus dem Bereich 1 und eine aus deinem 2 Bereich. Den DHCP Server konfigurierst Du so das nur Dein IP Adresse erreichen versorgt wird. Dummer Weise muss der Router von Netz 1 wissen das IP Adressen aus deinem Netz 2 über die IP Adresse deines Routers von Netz 1 geht. Dazu muss eine Route gesetzt werden.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.me/MOldenburg
Mein GitHub: https://github.com/LeonGaultier
kein Support für cfg Editierer

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #8 am: 22 Juni 2018, 19:36:17 »
Wenn eine Route gesetzt werden muss, geht das aber leider so nicht. Auf den Router von Netz 1 habe ich leider keinen Einfluss...
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Offline RaspiLED

  • Hero Member
  • *****
  • Beiträge: 1855
  • Es begann alles so klein ;-)
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #9 am: 22 Juni 2018, 19:45:42 »
Hi,

Ich würde ein NAT auf Dem openWRT Router benutzen (zumindest solange Du IPv4 nutzen willst).

Damit kennt Netz1 den Weg in INet und eine Netz1 IP vom openWRT Router.

Der openWRT Router kümmert sich alleine um Netz2 und verteilt alles.
Wenn jetzt noch die FW alle IPs ignoriert, die nicht von seinem DHCP vergeben werden passt es doch ;-)

Gruß Arnd


Gesendet von iPhone mit Tapatalk
Raspberry Pi mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, WifiLight2, Bravia, ...

Offline CoolTux

  • Developer
  • Hero Member
  • ****
  • Beiträge: 16775
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #10 am: 22 Juni 2018, 20:12:47 »
Stimmt NAT wäre eine gute Idee. Das VPN kann er aber dann nur vom OpenWRT aus aufbauen. Der VPN Server muss also zu Hause stehen.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.me/MOldenburg
Mein GitHub: https://github.com/LeonGaultier
kein Support für cfg Editierer

Offline RaspiLED

  • Hero Member
  • *****
  • Beiträge: 1855
  • Es begann alles so klein ;-)
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #11 am: 22 Juni 2018, 20:16:06 »
Nicht unbedingt: VPN per IPv6 oder Teamviewer VPN oder zwei VPNs ins INet oder VPN Aufbau per E-Mail ...

Gruß Arnd


Gesendet von iPhone mit Tapatalk
Raspberry Pi mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, WifiLight2, Bravia, ...

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #12 am: 22 Juni 2018, 21:08:26 »
Stimmt NAT wäre eine gute Idee. Das VPN kann er aber dann nur vom OpenWRT aus aufbauen. Der VPN Server muss also zu Hause stehen.

Ist Momentan eh so geplant.

Kämpe nur noch mit dem erstellen eines eigenen Images für openwrt...  >:(


Nicht unbedingt: VPN per IPv6 oder Teamviewer VPN oder zwei VPNs ins INet oder VPN Aufbau per E-Mail ...

Gruß Arnd


Gesendet von iPhone mit Tapatalk

Per E-Mail O.o
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Online Otto123

  • Hero Member
  • *****
  • Beiträge: 10469
    • Otto's Technik Blog
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #13 am: 22 Juni 2018, 21:13:49 »
Hallo Felix,

bevor Du jetzt den zweiten Schritt machst: Beschäftige Dich doch erstmal damit den Router einfach als NAT Router ins Netz zu bekommen.
Das ist die Standard Konfig bei OpenWrt und schnell gemacht. Aber ein bisschen was tun muss man schon.

Dein Router hat eine Internet Seite und eine LAN Seite. Du kannst Die Internetseite auch per DHCP konfigurieren lassen, das wird im Wohnheim dann ganz easy.

Brauchst Du dazu Hilfe oder geht das allein?

Zum Image machen, wenn Du zu wenig Speicher im Router hast, wird ein angepasstest Image auch keinen Speicher zaubern. Ich wollte gestern schon nachlesen, ob man nicht auch zusätzlichen Speicher einbinden kann. Das sollte doch gehen, dann steckst Du einfach einen USB Stick dran und gut ist.
Edit: sehe gerade: Du hast nur 4 MB Flash und keinen USB Anschluss - uups  :-[

VPN willst Du doch bloß nach Hause machen. Insofern ist eineghendes VPN gegenstandslos und geht sowie nicht, weil Du den primären Router nicht administrieren kannst.

Gruß Otto
« Letzte Änderung: 22 Juni 2018, 22:57:08 von Otto123 »
Viele Grüße aus Leipzig
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7490+7412,WRT1900ACS-OpenWrt,Sonos,ET9200,Arduino nano,ESP8266

Offline Fixel2012

  • Hero Member
  • *****
  • Beiträge: 1218
Antw:Router (OpenWrt) abschirmen vom Rest des Intranets
« Antwort #14 am: 22 Juni 2018, 23:54:46 »
Hallo Felix,

bevor Du jetzt den zweiten Schritt machst: Beschäftige Dich doch erstmal damit den Router einfach als NAT Router ins Netz zu bekommen.
Das ist die Standard Konfig bei OpenWrt und schnell gemacht. Aber ein bisschen was tun muss man schon.

Damit könnte ich mich in der Tat erstmal beschäftigen. Die Einstellungen kann ich ja sichern. Und anschließend wiederherstellen.

Zitat
Dein Router hat eine Internet Seite und eine LAN Seite. Du kannst Die Internetseite auch per DHCP konfigurieren lassen, das wird im Wohnheim dann ganz easy.

Du meinst damit erreichbar aus dem Internet, wenn ich den Router im WAN hängen habe und erreichbar aus dem LAN. Das sind zwei verschiedene Seiten, oder wie kann ich das verstehen?

Zitat
Brauchst Du dazu Hilfe oder geht das allein?

Ich hoffe das schaffe ich alleine.. Falls nicht melde ich mich. Vielen Dank!

Zitat
Zum Image machen, wenn Du zu wenig Speicher im Router hast, wird ein angepasstest Image auch keinen Speicher zaubern. Ich wollte gestern schon nachlesen, ob man nicht auch zusätzlichen Speicher einbinden kann. Das sollte doch gehen, dann steckst Du einfach einen USB Stick dran und gut ist.
Edit: sehe gerade: Du hast nur 4 MB Flash und keinen USB Anschluss - uups  :-[

Richtig, habe leider kein USB Port...
Hatte aber gelesen, dass das direkte einbinden ins image wohl irgendwie weniger Speicher verbraucht.

Zitat
VPN willst Du doch bloß nach Hause machen. Insofern ist eineghendes VPN gegenstandslos und geht sowie nicht, weil Du den primären Router nicht administrieren kannst.

Richtig, ich will den Router nur als VPN Client nutzen, um mir eben zu ersparen, dass jedes einzelne Gerät manuell eine VPN Verbindung aufbauen muss.

Zur Not würde ich auch ohne VPN auf dem Router auskommen :(

Ich habe hier noch einen alten Speedport, vielleicht funktioniert das bei dem besser :o

EDIT: Der Wlan Chip vom Speedport wird von openwrt leider nicht unterstützt. Einen Netgear habe ich hier auch noch. Allerdings hat dieser auch nur 4MB Speicher und habe es bisher noch nicht geschafft diesen zu flashen...
« Letzte Änderung: 23 Juni 2018, 00:23:04 von Fixel2012 »
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify