Router (OpenWrt) abschirmen vom Rest des Intranets

Begonnen von Fixel2012, 22 Juni 2018, 16:26:10

Vorheriges Thema - Nächstes Thema

Fixel2012

Hallo zusammen,

ich denke einige von euch haben Ahnung was Netzwerke angeht, deswegen stelle ich meine Frage erstmal in meinem mir vertrautem Forum.

Nun zur Sache:

Ich wohne bald in einem Wohnheim mit bereitgestelltem Internet. Ich habe nun angefangen einen etwas älteren Router (D-Link dir 615 H2) auf openwrt um zu flashen. Mein Plan ist es nun, diesen Router von dem vorhanden Netz (Netz 1) indem jeder Surft ab zu schirmen. Sprich anderer IP-Adress bereich und eigener Wlan accespoint (Netz 2). (Dann müsste ich so weit ich weiß eine statische Route in das Netz 1 erstellen um ins Internet zu gelangen?)  Anschließend würde ich gerne noch den Router als VPN Client konfigurieren und eine dauerhafte Verbindung nachhause herstellen. (Einfacher als bei jedem client die Verbindung immer wieder zu öffnen).

Nun zur eigentlichen Frage. Es wird jedem anderen Teilnehmer in Netz trotzdem noch möglich sein seine IP auf meinen Adressbereich zu ändern und somit, falls eine VPN Verbindung im Router eingestellt ist auch in Mein Heimnetz zu kommen.

Einen Mac Adressen Filter gibt es so weit ich gesehen habe leider nur für W-LAN.


Habt ihr eine Idee, wie ich verhindern kann, das fremde Computer meiner IP-Range joinen können?

Habt ihr sonst noch Anmerkungen/Vorschläge zu meinem Vorhaben?

Vielen Dank,

Felix
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Otto123

Hallo Felix,

ich habe nicht die Lösung für Dich parat und kenne mich mäßig mit dem Thema aus.

Ich habe aber so eine Umgebung bei mir (2 Fritzboxen als Internetrouter und ein OpenWrt als Hausinterner Router) ich kann also relativ gut "mitmachen".

Das mit der Route ist anders als Du denkst, Dein Router macht das relativ easy aber Du brauchst in dem anderen Netzwerk eine Route zu Dir. Zumindest wenn Du geroutete Verbindungen machen willst. Du brauchst also den Admin vom Internetrouter.

Deine eigentliche Frage: jeder andere Teilnehmer im Netz1? Die kannst Du doch mit der Firewall vollständig draußen halten. Wenn der Router aber das VPN baut, dann kann jeder der Zugang zu Deinem Router hat dort etwas "anstecken".

Du kannst auch NAT machen, da weiß ich nicht ob dann VPN Client in jedem Fall funktioniert. Bei zweimal NAT ist das meist ein Problem.
Was ist zu Hause dein VPN Server?

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Fixel2012

#2
Hi Otto,

Zitat von: Otto123 am 22 Juni 2018, 16:45:51
Das mit der Route ist anders als Du denkst, Dein Router macht das relativ easy aber Du brauchst in dem anderen Netzwerk eine Route zu Dir. Zumindest wenn Du geroutete Verbindungen machen willst. Du brauchst also den Admin vom Internetrouter.

das klingt nicht so gut. Da ich keinen Zugriff auf den Router habe und auch nicht haben werde, wird das also nichts.

ZitatDeine eigentliche Frage: jeder andere Teilnehmer im Netz1? Die kannst Du doch mit der Firewall vollständig draußen halten. Wenn der Router aber das VPN baut, dann kann jeder der Zugang zu Deinem Router hat dort etwas "anstecken".

In wie Fern kann ich einzelne Client mit der Firewall aussperren? Sorry für die blöde Frage.

Das jemand physisch etwas anstecken kann, ist mir bewusst. Das Risiko muss ich eingehen. Mache mir da aber eher weniger Sorgen.

ZitatWas ist zu Hause dein VPN Server?

Meine Fritzbox. Würde das denn überhaupt so gehen? Ansonsten könnte ich auch einen Openvpn server zuhause aufsetzen. Würde aber lieber den einfachen weg über die Fritzbox nehmen.


Danke.

EDIT: In wie fern kann ich alle clients mit der Firewall blocken außer bestimmte Geräte?
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Otto123

Aus Netz1 hat doch keiner was in deinem Netz zu suchen. Also aus Netz1 in Dein Netz ist einfach alles dicht. Das wäre der Standard.

Das Problem mit dem VPN Server, jeder ist leider etwas "speziell" also auch der der FB. Ob man das vom OpenWrt hinbekommt bzw. eben über zweimal NAT muss man schauen. Kann ich nur sagen: Weiß ich nicht, aber ich weiß es kann da Probleme geben.

Also nochmal konkret zur gewünschten Funktion:
Du willst ein getrenntes Netz? Macht die Firewall im OpenWrt.
Du willst surfen? Das geht auch mit zweimal NAT.
Du willst VPN Zugriff von Netz2 (drinnen) nach draußen? - Mal sehen :)
Was vergessen?

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Fixel2012

Ich glaube du verwechselst da was.

Netz 1 ist das Netz was vom Wohnheim bereitgestellt wird und worüber ich Internet habe.
Netz 2 wird durch den OpenWrt Router konfiguriert und ist sozusagen innerhalb von Netz 1 soll aber abgeschirmt von Netz 1 sein.
Netz 3 ist mein Netz zuhause was über Netz 2 per VPN erreicht werden soll.

Brauche ich denn um mich von anderen Clients abzuschirmen zwingend einen eigenen IP-Adressbereich?

ZitatDu willst ein getrenntes Netz? Macht die Firewall im OpenWrt.

ja. Muss dabei meinerseits noch etwas konfiguriert werden?

ZitatDu willst surfen? Das geht auch mit zweimal NAT.

Muss das nicht manuell in beiden Routern eingerichtet werden?

ZitatDas Problem mit dem VPN Server, jeder ist leider etwas "speziell" also auch der der FB.

Dachte ich mir schon fast... :(


Hoffe nun ist verständlicher was ich will und was ich habe ;D

Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Otto123

#5
Ich denke ich liege richtig - nur innerhalb von Netz1 verstehe ich jetzt nicht.
Du willst:

                  -- Wohnheim Client 1
                 |
Internet -- Netz1 -- InternetAnschluss/OpenWrtRouter/LANAnschluss -- Netz2 -- Dein Client 1
                                                                           |
                                                                           -- Dein Client 2


Du baust ein neues separates Netz2 und koppelst das mit dem Router mit Netz1 - beide Netze sind physikalisch getrennt.

Edit:
Schon gesucht und gefunden: notwendiges  vpnc Paket ist bei OpenWrt vorhanden
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Fixel2012

Deine Zeichnung ist korrekt!

Nun weg von der Theorie:

Wie setze ich die Verbindung zwischen Netz1 und Netz2 nun praktisch um?

Habe gerade versucht die nötigen Pakete zu installieren... Mein Router hat allerdings zu wenig speicher frei. :(

Im Internet wird beschrieben, die Pakete dem image schon hinzu zufügen. Das sollte gehen. Ich werde mal in Erfahrung bringen, wie ich ein image selber bauen kann. Weiß nur noch nicht, ob ich in Bezug auf die Hardware irgendetwas Berücksichtigen muss.

Werde mal schauen, was das Internet so ausspuckt.
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

CoolTux

Dein Router bekommt 2 IP Adressen. Eine aus dem Bereich 1 und eine aus deinem 2 Bereich. Den DHCP Server konfigurierst Du so das nur Dein IP Adresse erreichen versorgt wird. Dummer Weise muss der Router von Netz 1 wissen das IP Adressen aus deinem Netz 2 über die IP Adresse deines Routers von Netz 1 geht. Dazu muss eine Route gesetzt werden.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Fixel2012

Wenn eine Route gesetzt werden muss, geht das aber leider so nicht. Auf den Router von Netz 1 habe ich leider keinen Einfluss...
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

RaspiLED

Hi,

Ich würde ein NAT auf Dem openWRT Router benutzen (zumindest solange Du IPv4 nutzen willst).

Damit kennt Netz1 den Weg in INet und eine Netz1 IP vom openWRT Router.

Der openWRT Router kümmert sich alleine um Netz2 und verteilt alles.
Wenn jetzt noch die FW alle IPs ignoriert, die nicht von seinem DHCP vergeben werden passt es doch ;-)

Gruß Arnd


Gesendet von iPhone mit Tapatalk
Raspberry Pi mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, WifiLight2, Bravia, ...

CoolTux

Stimmt NAT wäre eine gute Idee. Das VPN kann er aber dann nur vom OpenWRT aus aufbauen. Der VPN Server muss also zu Hause stehen.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

RaspiLED

Nicht unbedingt: VPN per IPv6 oder Teamviewer VPN oder zwei VPNs ins INet oder VPN Aufbau per E-Mail ...

Gruß Arnd


Gesendet von iPhone mit Tapatalk
Raspberry Pi mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, WifiLight2, Bravia, ...

Fixel2012

Zitat von: CoolTux am 22 Juni 2018, 20:12:47
Stimmt NAT wäre eine gute Idee. Das VPN kann er aber dann nur vom OpenWRT aus aufbauen. Der VPN Server muss also zu Hause stehen.

Ist Momentan eh so geplant.

Kämpe nur noch mit dem erstellen eines eigenen Images für openwrt...  >:(


Zitat von: RaspiLED am 22 Juni 2018, 20:16:06
Nicht unbedingt: VPN per IPv6 oder Teamviewer VPN oder zwei VPNs ins INet oder VPN Aufbau per E-Mail ...

Gruß Arnd


Gesendet von iPhone mit Tapatalk

Per E-Mail O.o
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify

Otto123

#13
Hallo Felix,

bevor Du jetzt den zweiten Schritt machst: Beschäftige Dich doch erstmal damit den Router einfach als NAT Router ins Netz zu bekommen.
Das ist die Standard Konfig bei OpenWrt und schnell gemacht. Aber ein bisschen was tun muss man schon.

Dein Router hat eine Internet Seite und eine LAN Seite. Du kannst Die Internetseite auch per DHCP konfigurieren lassen, das wird im Wohnheim dann ganz easy.

Brauchst Du dazu Hilfe oder geht das allein?

Zum Image machen, wenn Du zu wenig Speicher im Router hast, wird ein angepasstest Image auch keinen Speicher zaubern. Ich wollte gestern schon nachlesen, ob man nicht auch zusätzlichen Speicher einbinden kann. Das sollte doch gehen, dann steckst Du einfach einen USB Stick dran und gut ist.
Edit: sehe gerade: Du hast nur 4 MB Flash und keinen USB Anschluss - uups  :-[

VPN willst Du doch bloß nach Hause machen. Insofern ist eineghendes VPN gegenstandslos und geht sowie nicht, weil Du den primären Router nicht administrieren kannst.

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Fixel2012

#14
Zitat von: Otto123 am 22 Juni 2018, 21:13:49
Hallo Felix,

bevor Du jetzt den zweiten Schritt machst: Beschäftige Dich doch erstmal damit den Router einfach als NAT Router ins Netz zu bekommen.
Das ist die Standard Konfig bei OpenWrt und schnell gemacht. Aber ein bisschen was tun muss man schon.

Damit könnte ich mich in der Tat erstmal beschäftigen. Die Einstellungen kann ich ja sichern. Und anschließend wiederherstellen.

ZitatDein Router hat eine Internet Seite und eine LAN Seite. Du kannst Die Internetseite auch per DHCP konfigurieren lassen, das wird im Wohnheim dann ganz easy.

Du meinst damit erreichbar aus dem Internet, wenn ich den Router im WAN hängen habe und erreichbar aus dem LAN. Das sind zwei verschiedene Seiten, oder wie kann ich das verstehen?

ZitatBrauchst Du dazu Hilfe oder geht das allein?

Ich hoffe das schaffe ich alleine.. Falls nicht melde ich mich. Vielen Dank!

ZitatZum Image machen, wenn Du zu wenig Speicher im Router hast, wird ein angepasstest Image auch keinen Speicher zaubern. Ich wollte gestern schon nachlesen, ob man nicht auch zusätzlichen Speicher einbinden kann. Das sollte doch gehen, dann steckst Du einfach einen USB Stick dran und gut ist.
Edit: sehe gerade: Du hast nur 4 MB Flash und keinen USB Anschluss - uups  :-[

Richtig, habe leider kein USB Port...
Hatte aber gelesen, dass das direkte einbinden ins image wohl irgendwie weniger Speicher verbraucht.

ZitatVPN willst Du doch bloß nach Hause machen. Insofern ist eineghendes VPN gegenstandslos und geht sowie nicht, weil Du den primären Router nicht administrieren kannst.

Richtig, ich will den Router nur als VPN Client nutzen, um mir eben zu ersparen, dass jedes einzelne Gerät manuell eine VPN Verbindung aufbauen muss.

Zur Not würde ich auch ohne VPN auf dem Router auskommen :(

Ich habe hier noch einen alten Speedport, vielleicht funktioniert das bei dem besser :o

EDIT: Der Wlan Chip vom Speedport wird von openwrt leider nicht unterstützt. Einen Netgear habe ich hier auch noch. Allerdings hat dieser auch nur 4MB Speicher und habe es bisher noch nicht geschafft diesen zu flashen...
Fhem 5.8 auf Raspi 3, HMLAN und 868MHz CUL mit einigen Komponenten, Z-Wave Rollladenaktoren, Tablet UI, 433 MHz CUL mit Baumarktsteckdosen und Temp Sensoren, Amazon Echo, Echo Dot, 2x SONOS  play1, 1x SONOS Connect AMP,  presence, HUE, Lightify