#491  (Permalink
Alt 04.06.2021, 18:45
frank_m frank_m ist offline
Mitglied
 
Registriert seit: 02.06.2006
Beiträge: 213
Standard AW: Konfiguration Vigor165

Da wäre ich vorsichtig. Wenn der vorgeschaltete das gleiche Subnetz benutzt, wie der nächste Router, dann kann das zu Problemen führen - je nachdem, wie die Verbindung zwischen IPFire und Vigor genau realisiert wird.

Ich würde die IP des Vigor so belassen, und dann den Clients ggf. eine statische IP geben. Das ist nicht schön, aber die Lösung ist eh eine Krücke. Ggf. solltest du in Erwägung ziehen, den Vigor die PPPOE Einwahl machen zu lassen und den IPFire über IP anzubinden. Dann hast du jederzeit Zugriff auf den Vigor, aber natürlich auch eine Doppel-NAT Konfiguration.
__________________
Deutsche Glasfaser DG Classic 400
Fritzbox 5530
Mit Zitat antworten
  #492  (Permalink
Alt 04.06.2021, 19:33
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Ne, die IPFire soll weiterhin die Einwahl übernehmen. Dann werde ich es so lassen wie es ist. Danke für deine Beiträge.
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #493  (Permalink
Alt 04.06.2021, 19:41
user375 user375 ist offline
Mitglied
 
Registriert seit: 07.11.2018
Beiträge: 311
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von Rennrakete Beitrag anzeigen
Ausgangslage: APL -> TAE -> Vigor 165 (DSL-Port) -> LAN1 (WAN) -> IPFire (PPPoE-Einwahl)
Vollkommen korrekt und sinnvoll, die WAN-IP auf dem IPFire zu haben - genau dafür macht man diese Architektur.

Aus Sicherheitsgründen bindest Du den Vigor über ein dediziertes Netz an und machst für die Devices, von denen aus Du den Vigor erreichen möchtest ein popeliges Source NAT (oder auch masquerade). Außerdem gilt firewalltechnisch auf der IPFire für den Ausgangsport, an dem Dein Vigor hängt, die Policy DROP und nur ssh und was sonst noch gewünscht ist, wird dediziert erlaubt. Ist ja über iptables alles locker abzubilden. Dafür brauchst Du noch nicht mal eine zweite Leitung - geht alles über die Leitung, über die Du auch pppoe machst.
Mit Zitat antworten
  #494  (Permalink
Alt 04.06.2021, 21:29
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

ich habe mich nun an dieser Anleitung orientiert und es genau so umgesetzt. Es funktioniert auch. Ist das die saubere und sicherste Lösung?

https://frank-mankel.de/kategorien/1...-red-erreichen
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #495  (Permalink
Alt 04.06.2021, 23:43
netmax netmax ist offline
Mitglied
 
Registriert seit: 07.08.2008
Ort: Kerpen Manheim-neu
Beiträge: 268
Provider: Telekom
Bandbreite: SV 256/46
Standard AW: Konfiguration Vigor165

Das ist ja quasi das NAT über das WAN-Interfae, schaut für mich OK aus.

Mein Vigor hat generell eine IP auf seinem LAN, die nix mit sonstigen Subnets bei mir zu tun hat (10.100.0.100/24). Keine zweite IP auf seinem LAN, der läuft bei mir im nackten Bridge-Mode.
Meiner pfSense habe ich auf dem WAN-Interface die 10.100.0.1/24 vergeben mit Source-NAT, so dass ich auf den Vigor komme.

Dann hat der Vigor per CLI noch ne Route verpasst bekommen, 10.0.0.0/23 via 10.100.0.1. Damit kann er z.B. an meinen Mailserver und mir Mails schicken.
__________________
DeutschlandLAN Sip-Trunk @SVVDSL 256/46 (BDCM 194.25, 490m@100x2x0.5-Kabel) bei der T, aber FTTH von Westnetz ungenutzt im Keller liegen
Equipment: Draytek Vigor 165 -> pfSense 2.5.1 @ESXi 6.7 on Dell R210ii -> Auerswald COMpact 5500R / COMtrexx.
Mit Zitat antworten
  #496  (Permalink
Alt 05.06.2021, 05:57
user375 user375 ist offline
Mitglied
 
Registriert seit: 07.11.2018
Beiträge: 311
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von Rennrakete Beitrag anzeigen
Es funktioniert auch.
In der verlinkten Doku steht im Detail das, was man machen muss, damit es "funktioniert" (auf was ich ja schon hingewiesen habe):

iptables -t nat -A POSTROUTING -o red0 -d $MODEM_IP -j MASQUERADE

Was bedeutet das jetzt genau? Du hast Vollzugriff auf alle Ports auf dem Vigor freigegeben aus sämtlichen internen Netzen - und damit indirekt auch allen externen. Falls das das ist, was Du gewollt hast, bist Du am Ziel angekommen.

Zitat:
Zitat von Rennrakete Beitrag anzeigen
Ist das die saubere und sicherste Lösung
Das musst Du selbst beurteilen - ich habe Dir oben ja den Hinweis gegeben. Gemessen an dem, was ich im früheren Post geschrieben habe, fehlt der relevante Security-Part (der einschränkende Part) komplett.
Mit Zitat antworten
  #497  (Permalink
Alt 05.06.2021, 12:56
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von user375 Beitrag anzeigen
Das musst Du selbst beurteilen - ich habe Dir oben ja den Hinweis gegeben. Gemessen an dem, was ich im früheren Post geschrieben habe, fehlt der relevante Security-Part (der einschränkende Part) komplett.
Wie müsste der eingeschränkte Part aussehen, wenn ich das Modem nur über das interne Netzwerk erreichen möchte?
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #498  (Permalink
Alt 05.06.2021, 14:00
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Ok, hat sich erledigt. Ich habe die iptables-Regeln entsprechend abgesichert bekommen. Danke für eure Hilfe!
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #499  (Permalink
Alt 05.06.2021, 14:38
pusiofre pusiofre ist offline
Mitglied
 
Registriert seit: 25.04.2020
Beiträge: 140
Standard AW: Konfiguration Vigor165

@Rennrakete, glaubst du nicht, dass wir deine Lösung gerne sehen würden?
Mit Zitat antworten
  #500  (Permalink
Alt 05.06.2021, 16:58
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von pusiofre Beitrag anzeigen
@Rennrakete, glaubst du nicht, dass wir deine Lösung gerne sehen würden?
iptables -t nat -A POSTROUTING -o red0 -s xxx.xxx.xxx.xxx -p tcp --dport xxx -d $MODEM_IP -j MASQUERADE

xxx.xxx.xxx.xxx = interne IP-Adresse aus dem grünen Subnetz als Quelle

--dport xxx = Zielport
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."

Geändert von Rennrakete (05.06.2021 um 17:07 Uhr)
Mit Zitat antworten
 
Anzeige
Antwort


Aktive Benutzer in diesem Thema: 3 (Registrierte Benutzer: 0, Gäste: 3)
 
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Optimale DSL-Konfiguration Robbia Internet via Telefonkabel (ADSL, ADSL2+, VDSL2, SVDSL, G.FAST und SDSL) 6 10.04.2001 22:34
Was haltet ihr von dieser Konfiguration? da.force Hardware 9 19.03.2001 18:24
Konfiguration Zugriffberechtigung mit htaccess Miwe Sonstiges 0 14.02.2001 15:21
Hilfe bei Konfiguration von Squid? dahool Linux, BSD, *NIX 1 09.02.2001 12:13
PC Konfiguration kläuschen Hardware 5 03.02.2001 19:22


Alle Zeitangaben in WEZ +2. Es ist jetzt 06:56 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.