17
Internetzugang bei mehreren VLANs über dd-wrt router
Hallo,
Ich habe folgenden Netzwerkaufbau
Der WAN-Port des DD-WRT Routers ist mit einem LAN-Port des Internet Routers verbunden
Der PC hängt am VLAN3
Mein Problem ist, ich komme vom PC nicht ins Internet, wenn ich diesen an das VLAN3 hänge. Der Internet-Router lässt sich auch nicht anpingen.
Ob ich andere Geräte im VLAN1 oder 4 erreichen kann habe ich noch nicht getestet.
Im VLAN3 liegende Geräte sind erreichbar.
Wenn ich den PC allerdings in das VLAN1 hänge (IP z.B. 192.168.11.10) ist Internetzugriff vorhanden und der Internet-Router sowie im VLAN3 liegende Geräte lassen sich anpingen.
Auch hier habe ich andere Geräte im VLAN1 oder 4 noch nicht getestet.
Meine Vermutung ist deswegen, es liegt an den Firewall-Regeln im DD-WRT Router.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 162K packets, 29M bytes)
br0 ist dabei eine Bridge im DD-WRT Router zw. VLAN1 und dem Wireless-LAN(das ist aber abgeschaltet).
Wenn ich das richtig sehe müsste ich in der FORWARD-Chain einen Eintrtag analog diesem
auch für VLAN3 und 4 erzeugen. liege ich da richtig? Ist das alles?
vielen Dank
Thomas
Ich habe folgenden Netzwerkaufbau
| Internet-Router | DD-WRT-Router | Clients |
| WAN über LTE | ||
| LAN IP: 192.168.2.2 | WAN IP: 192.168.2.1 | |
| Gateway: 192.168.2.2 | ||
| DNS: 192.168.2.2 | ||
| VLAN2 | ||
| VLAN1: Ports1-3 des Routers | ||
| Router-IP: 192.168.11.1 | ||
| VLAN3: Tagged über Port 4 des Routers | PC IP: 192.168.0.10 | |
| Router-IP: 192.168.0.1 | GW: 192.168.0.1 | |
| VLAN4: Tagged über Port 4 des Routers | DNS: 192.168.0.1 | |
| Router-IP: 192.168.1.1 |
Der PC hängt am VLAN3
Mein Problem ist, ich komme vom PC nicht ins Internet, wenn ich diesen an das VLAN3 hänge. Der Internet-Router lässt sich auch nicht anpingen.
Ob ich andere Geräte im VLAN1 oder 4 erreichen kann habe ich noch nicht getestet.
Im VLAN3 liegende Geräte sind erreichbar.
Wenn ich den PC allerdings in das VLAN1 hänge (IP z.B. 192.168.11.10) ist Internetzugriff vorhanden und der Internet-Router sowie im VLAN3 liegende Geräte lassen sich anpingen.
Auch hier habe ich andere Geräte im VLAN1 oder 4 noch nicht getestet.
Meine Vermutung ist deswegen, es liegt an den Firewall-Regeln im DD-WRT Router.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
| pkts | bytes | target | prot | opt | in | out | source | destination | |
| 223K | 31M | ACCEPT | 0 | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | state RELATED,ESTABLISHED |
| 0 | 0 | DROP | udp | -- | vlan2 | * | 0.0.0.0/0 | 0.0.0.0/0 | udp dpt:520 |
| 0 | 0 | DROP | udp | -- | br0 | * | 0.0.0.0/0 | 0.0.0.0/0 | udp dpt:520 |
| 0 | 0 | ACCEPT | udp | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | udp dpt:520 |
| 24381 | 1289K | ACCEPT | 0 | -- | br0 | * | 0.0.0.0/0 | 0.0.0.0/0 | 0.0.0.0/0 |
| 0 | 0 | ACCEPT | tcp | -- | vlan2 | * | 0.0.0.0/0 | 192.168.11.1 | tcp dpt:23 |
| 0 | 0 | DROP | icmp | -- | vlan2 | * | 0.0.0.0/0 | 0.0.0.0/0 | |
| 258 | 8256 | DROP | 2 | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | |
| 4 | 310 | ACCEPT | 0 | -- | lo | * | 0.0.0.0/0 | 0.0.0.0/0 | state NEW |
| 0 | 0 | ACCEPT | 0 | -- | br0 | * | 0.0.0.0/0 | 0.0.0.0/0 | state NEW |
| 31359 | 1645K | ACCEPT | 0 | -- | vlan3 | * | 0.0.0.0/0 | 0.0.0.0/0 | |
| 0 | 0 | ACCEPT | 0 | -- | vlan4 | * | 0.0.0.0/0 | 0.0.0.0/0 | |
| 261 | 63684 | DROP | 0 | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 |
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
| pkts | bytes | target | prot | opt | in | out | source | destination | |
| 20076 | 12M | ACCEPT | 0 | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | state RELATED,ESTABLISHED |
| 1310 | 67992 | TCPMSS | tcp | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | tcp flags:0x06/0x02 TCPMSS clamp to PMTU |
| 0 | 0 | ACCEPT | 47 | -- | * | vlan2 | 192.168.11.0/24 | 0.0.0.0/0 | 0.0.0.0/0 |
| 0 | 0 | ACCEPT | tcp | -- | * | vlan2 | 192.168.11.0/24 | 0.0.0.0/0 | tcp dpt:1723 |
| 1630 | 93776 | lan2wan | 0 | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | 0.0.0.0/0 |
| 0 | 0 | ACCEPT | 0 | -- | br0 | br0 | 0.0.0.0/0 | 0.0.0.0/0 | 0.0.0.0/0 |
| 670 | 34740 | ACCEPT | 0 | -- | br0 | vlan2 | 0.0.0.0/0 | 0.0.0.0/0 | 0.0.0.0/0 |
| 0 | 0 | TRIGGER | 0 | -- | vlan2 | br0 | 0.0.0.0/0 | 0.0.0.0/0 | TRIGGER type:in match:0 relate:0 |
| 152 | 16020 | trigger_out | 0 | -- | br0 | * | 0.0.0.0/0 | 0.0.0.0/0 | 0.0.0.0/0 |
| 152 | 16020 | ACCEPT | 0 | -- | br0 | * | 0.0.0.0/0 | 0.0.0.0/0 | state NEW |
| 808 | 43016 | DROP | 0 | -- | * | * | 0.0.0.0/0 | 0.0.0.0/0 | 0.0.0.0/0 |
Chain OUTPUT (policy ACCEPT 162K packets, 29M bytes)
| pkts | bytes | target | prot | opt | in | out | source | destination |
| 133K | 21M | ACCEPT | 0 | -- | * | br0 | 0.0.0.0/0 | 0.0.0.0/0 |
br0 ist dabei eine Bridge im DD-WRT Router zw. VLAN1 und dem Wireless-LAN(das ist aber abgeschaltet).
Wenn ich das richtig sehe müsste ich in der FORWARD-Chain einen Eintrtag analog diesem
| 670 | 34740 | ACCEPT | 0 | -- | br0 | vlan2 | 0.0.0.0/0 | 0.0.0.0/0 |
vielen Dank
Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294104
Url: https://administrator.de/contentid/294104
Ausgedruckt am: 04.12.2024 um 19:12 Uhr
17 Kommentare
Neuester Kommentar
Das Tutorial zu dem Thema hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du meinst diesen Absatz?
"Sollen auch alle weiteren VLANs über den DD-WRT direkt ins Internet ohne einen weiteren Router im externen Netz, dann muss für diese VLAN IPs auch nch das Masquerading aktiviert werden unter Service -> "Local DNS" und "DNSmasq".
Hier dann im Feld "Additional DNSMasq Option" zusätzlich zu den bestehende Einträgen alle VLANs für die es relevant sein soll eintragen:
interface=vlan3
interface=vlan10
Je VLAN in dem auch NAT gemacht werden soll, eine Zeile!"
Unter Services habe ich den Punkt "DNSMasq" dort war "DNSMasq" auf Enable und "No DNS Rebind" auf Disable
Local DNS habe ich jetzt auf Enable gesetzt und unter "Additional DNSMasq Options" folgendes eingetragen: "interface=vlan3".
Trotzdem komme ich nicht auf den vorgelagerten Internet-Router. Wobei ich auch nicht ganz verstehe, was mit "ohne einen weiteren Router im externen Netz" gemeint ist. ist das nicht mein Internet-Router? Auch will ich ja kein NAT zwischen den einzelnen VLANs, bis auf VLAN2, zu dem sollen alle über NAT gehen.
"Sollen auch alle weiteren VLANs über den DD-WRT direkt ins Internet ohne einen weiteren Router im externen Netz, dann muss für diese VLAN IPs auch nch das Masquerading aktiviert werden unter Service -> "Local DNS" und "DNSmasq".
Hier dann im Feld "Additional DNSMasq Option" zusätzlich zu den bestehende Einträgen alle VLANs für die es relevant sein soll eintragen:
interface=vlan3
interface=vlan10
Je VLAN in dem auch NAT gemacht werden soll, eine Zeile!"
Unter Services habe ich den Punkt "DNSMasq" dort war "DNSMasq" auf Enable und "No DNS Rebind" auf Disable
Local DNS habe ich jetzt auf Enable gesetzt und unter "Additional DNSMasq Options" folgendes eingetragen: "interface=vlan3".
Trotzdem komme ich nicht auf den vorgelagerten Internet-Router. Wobei ich auch nicht ganz verstehe, was mit "ohne einen weiteren Router im externen Netz" gemeint ist. ist das nicht mein Internet-Router? Auch will ich ja kein NAT zwischen den einzelnen VLANs, bis auf VLAN2, zu dem sollen alle über NAT gehen.
Folgendes hatte ich schon eingestellt:
Das jetzt laut Tutorial:
Hallo,
gerade getestet:
gerade getestet:
- im VLAN4 liegende Geräte sind aus dem VLAN3 auch nicht erreichbar.
- aus VLAN1 komme ich auf Geräte im VLAN1, VLAN3, VLAN4 und VLAN2
Ich komme nochmal auf die FORWARD-Chain zurück.
Regel 1: alles was existierende Verbindungen betrifft durchlassen
=> ok
Regel 2: scheint eine Standard-Regel zu sein http://lartc.org/howto/lartc.cookbook.mtu-mss.html
=> denke das ist auch ok
Regel 3: betrifft das Generic Routing Encapsulation Protocol
=> da sehe ich keine Notwendigkeit das auch für andere IP-Bereiche zuzulassen, oder?
Regel 4: Point-to-point tunnelling protocol
=> da sehe ich auch keine Notwendigkeit das auch für andere IP-Bereiche zuzulassen
Regel 5: die lan2wan-Chain ist leer, kann also auch ignoriert werden
Regel 6: wozu ist die überhaupt da?
Regel 7: die brauche ich meiner meinung nach auch für VLAN3 und VLAN4
Regel 8: die vermutlich auch, aber was macht die?
Regel 9: trigger_out muss ich mir heute abend mal ansehen, dachte aber die war auch leer
Regel 10: auch die benötige ich vermutlich für VLAN3 und VLAN4 um Zugriffe zw. den VLANs zuzulassen
Ist das totaler Mist, was ich mir hier überlegt habe oder kann ich es damit mal versuchen?
Ich setze auch gerne nur einen Haken im DD-WRT, wenn es den gibt. Laut dem Tutorial an dem ich mich orientiert habe
http://www.dd-wrt.com/wiki/index.php/VLAN_Detached_Networks_%28Separate ...
welches auch weitgehend dem von aqui erwähnten Tutorial zum einrichten von VLANs auf DD-Wrt entspricht sollte eigentlich folgendes der Fall sein:
"After these steps all clients are able to retrieve an IP via DHCP, can access the internet and each other."
Hab ich was übersehen?
Die im von aqui erwähnten Tutorial erwähnten DNSmasq-Einstellungen habe ich auch probiert ohne Erfolg.
Ich bin mir jetzt wo ich das schreibe allerdings nicht mehr sicher, ob ich den Router danach neu gestartet hatte, das probiere ich auch nochmal.
Regel 1: alles was existierende Verbindungen betrifft durchlassen
=> ok
Regel 2: scheint eine Standard-Regel zu sein http://lartc.org/howto/lartc.cookbook.mtu-mss.html
=> denke das ist auch ok
Regel 3: betrifft das Generic Routing Encapsulation Protocol
=> da sehe ich keine Notwendigkeit das auch für andere IP-Bereiche zuzulassen, oder?
Regel 4: Point-to-point tunnelling protocol
=> da sehe ich auch keine Notwendigkeit das auch für andere IP-Bereiche zuzulassen
Regel 5: die lan2wan-Chain ist leer, kann also auch ignoriert werden
Regel 6: wozu ist die überhaupt da?
Regel 7: die brauche ich meiner meinung nach auch für VLAN3 und VLAN4
Regel 8: die vermutlich auch, aber was macht die?
Regel 9: trigger_out muss ich mir heute abend mal ansehen, dachte aber die war auch leer
Regel 10: auch die benötige ich vermutlich für VLAN3 und VLAN4 um Zugriffe zw. den VLANs zuzulassen
Ist das totaler Mist, was ich mir hier überlegt habe oder kann ich es damit mal versuchen?
Ich setze auch gerne nur einen Haken im DD-WRT, wenn es den gibt. Laut dem Tutorial an dem ich mich orientiert habe
http://www.dd-wrt.com/wiki/index.php/VLAN_Detached_Networks_%28Separate ...
welches auch weitgehend dem von aqui erwähnten Tutorial zum einrichten von VLANs auf DD-Wrt entspricht sollte eigentlich folgendes der Fall sein:
"After these steps all clients are able to retrieve an IP via DHCP, can access the internet and each other."
Hab ich was übersehen?
Die im von aqui erwähnten Tutorial erwähnten DNSmasq-Einstellungen habe ich auch probiert ohne Erfolg.
Ich bin mir jetzt wo ich das schreibe allerdings nicht mehr sicher, ob ich den Router danach neu gestartet hatte, das probiere ich auch nochmal.
Du meinst diesen Absatz?
Jepp...ganz genau. (Gleich noch einen Dreckfuhler im Tutorial entdeckt 
)Trotzdem komme ich nicht auf den vorgelagerten Internet-Router.
Was meinst du genau damit ? Kannst du den nicht anpingen aus den einzelnen VLANs ?- Was sagt ein Traceroute auf die Router IP dieses Routers ?
- Was sagt die Routing Tabelle des DD-WRT ?? (SSH Shell Zugriff aktivieren, mit PuTTY connecten und mal netstat -nr eingeben.)
- Hast du im DD-WRT eine default Route auf diese Router IP konfiguriert ?
was mit "ohne einen weiteren Router im externen Netz" gemeint ist.
Weiss ich jetzt auch nicht mehr was ich mir dabei gedacht habe... 
Ich lese mir das Tutorial nochmal gründlich durch und korrigiere ggf. diese Formulierung.Auch will ich ja kein NAT zwischen den einzelnen VLANs
Nee, richtig das ist auch genau richtig so. Alles andere wäre IP Adress Chaos.VLAN 2 ist dann das Koppelnetz was auf den Internet Router geht, oder ?
Bau das erstmal alles OHNE Firewall Regeln auf und teste das Routing zwioschen den VLANs wasserdicht aus !
Erst dann machst du den Zugriff mit der FW dicht. So kannst du sicher sein das wenn es Fehler gibt die nur noch ausschliesslich an den FW Regeln liegen können.
Was meinst du genau damit ? Kannst du den nicht anpingen aus den einzelnen VLANs ?
PC im VLAN1
Ethernet-Adapter LAN-Verbindung:DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.11.210(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.11.1
DHCP-Server . . . . . . . . . . . : 192.168.11.1
DNS-Server . . . . . . . . . . . : 192.168.11.1
ping auf den DD-Wrt Router - VLAN2 Adresse
ping 192.168.2.1
Ping wird ausgeführt für 192.168.2.1 mit 32 Bytes Daten:
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
ping auf den vorgelagerten Internetrouter
ping 192.168.2.2
Ping wird ausgeführt für 192.168.2.2 mit 32 Bytes Daten:
Antwort von 192.168.2.2: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.2.2: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.2.2: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.2.2: Bytes=32 Zeit<1ms TTL=63
ping auf ein Gerät im VLAN3
ping 192.168.0.101
Ping wird ausgeführt für 192.168.0.101 mit 32 Bytes Daten:
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=63
ping auf ein Gerät im VLAN4
C:\Users\hesst>ping 192.168.1.2
Ping wird ausgeführt für 192.168.1.2 mit 32 Bytes Daten:
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=63
Antwort von 192.168.1.2: Bytes=32 Zeit<1ms TTL=63
PC im VLAN3
Ethernet-Adapter LAN-Verbindung:DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.0.10(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.0.1
DHCP-Server . . . . . . . . . . . : 192.168.0.1
DNS-Server . . . . . . . . . . . : 192.168.0.1
ping auf den DD-Wrt Router - VLAN2 Adresse
ping 192.168.2.1
Ping wird ausgeführt für 192.168.2.1 mit 32 Bytes Daten:
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.2.1: Bytes=32 Zeit<1ms TTL=64
ping auf den vorgelagerten Internetrouter
ping 192.168.2.2
Ping wird ausgeführt für 192.168.2.2 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
ping auf ein Gerät im VLAN3
ping 192.168.0.101
Ping wird ausgeführt für 192.168.0.101 mit 32 Bytes Daten:
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=64
Antwort von 192.168.0.101: Bytes=32 Zeit<1ms TTL=64
ping auf ein Gerät im VLAN4
ping 192.168.1.2
Ping wird ausgeführt für 192.168.1.2 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Was sagt ein Traceroute auf die Router IP dieses Routers ?
reich ich noch nachWas sagt die Routing Tabelle des DD-WRT ?? (SSH Shell Zugriff aktivieren, mit PuTTY connecten und mal netstat -nr eingeben.)
netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.2.2 0.0.0.0 UG 0 0 0 vlan2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan3
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan4
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan2
192.168.11.0 0.0.0.0 255.255.255.0 U 0 0 0 br0Hast du im DD-WRT eine default Route auf diese Router IP konfiguriert
Du meinst das Standardgateway?WAN-Seitig:
VLAN 2 ist dann das Koppelnetz was auf den Internet Router geht, oder ?
Genau, Lan-Port X des Internet Routers auf WAN-Port des DD-WrtPC im VLAN1
tracert -d 192.168.2.1Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.2.1
Ablaufverfolgung beendet.tracert -d 192.168.2.2
Routenverfolgung zu 192.168.2.2 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.11.1
2 <1 ms <1 ms <1 ms 192.168.2.2Ablaufverfolgung beendet.
PC im VLAN3
tracert -d 192.168.2.1
Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.2.1
Ablaufverfolgung beendet.tracert -d 192.168.2.2
Routenverfolgung zu 192.168.2.2 über maximal 30 Abschnitte
1 <1 ms <1 ms <1 ms 192.168.0.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * ^CUnd danke für die Hilfe schonmal
Das Gateway in den Default-LAN Einstellungen habe ich jetzt auf 192.168.2.1 gesetzt, das VLAN2-Interface des DD-Wrt Routers, das müsste doch stimmen?
Ändert aber nichts.
Ändert aber nichts.
ping auf den vorgelagerten Internetrouter aus VLAN 3
Hast du eine statische Route auf das 192.168.0.0 /24er Netz in dem Router eingetragen ??Ohne diese Route ist es klar das der Ping schiefgeht !
ping auf ein Gerät im VLAN4
Hat dieses Gerät in VLAN 4 .1.2 sein default Gateway eingetragen und zeigt das auf die IP Adresse des DD-WRT in VLAN 4 (ipconfig) ?Routing Tabelle ist OK.
Falsch ist am LAN Port das gateway auf die .2.2 das musst du rausnehmen !!
Das default Gateway wird am WAN Port und nur da eingetragen ! Ebenso der DNS. Beides kann am LAN Port entfallen.
Nur tracert -d 192.168.2.2 ist interessant um die Hops zu sehen.
Unverständlich ist in der Tat warum aus allen VLANs das Routing klappt nur aus VLAN 3 nicht.
Kannst du ausschliessen das da eine FW Regel aktiv ist ? Statische Route am Internet Router ins .0.0er Netz ist da ?
Hast du eine statische Route auf das 192.168.0.0 /24er Netz in dem Router eingetragen ??
Ohne diese Route ist es klar das der Ping schiefgeht !
Zu dem vorgelagerten Internet-Router will ich ja über NAT gehen, der soll den direkten Weg in das 192.168.0.0 /24er Netz überhaupt nicht kennen, sondern nur die DD-Wrt-Router VLAN2 IP 192.168.2.1Ohne diese Route ist es klar das der Ping schiefgeht !
Hat dieses Gerät in VLAN 4 .1.2 sein default Gateway eingetragen und zeigt das auf die IP Adresse des DD-WRT in VLAN 4 (ipconfig) ?
Das ist wieder ein DD-Wrt-Router, aber als reiner AP für WLAN konfiguriert.
Falsch ist am LAN Port das gateway auf die .2.2 das musst du rausnehmen !!
Das default Gateway wird am WAN Port und nur da eingetragen ! Ebenso der DNS. Beides kann am LAN Port entfallen.
Ich dachte das muss ich eintragen, damit alle Pakete die ins Internet sollen an die 192.168.2.1 gesendet werden, der dann über NAT diese an den vorgelagerten Internet-Router sendet.Das default Gateway wird am WAN Port und nur da eingetragen ! Ebenso der DNS. Beides kann am LAN Port entfallen.
Ich werde das mal rausnehmen. Muss ich die dazu auf 0.0.0.0 setzen?
Unverständlich ist in der Tat warum aus allen VLANs das Routing klappt nur aus VLAN 3 nicht.
Das Routing klappt NUR aus dem VLAN1 heraus, aus allen anderen nicht, also aus VLAN 4 komme ich auch nicht raus. VLAN3 hab ich immer nur genannt, weil ich damit angefangen habe zu testen. Es geht aber alles nur aus dem VLAN1, dem Standard-VLAN des Routers.Kannst du ausschliessen das da eine FW Regel aktiv ist ?
FW Regel auf dem PC? Ja!FW auf dem DD-Wrt Router?
FW auf dem vorgelagerten Internet-Router Router? Der soll ja nur die VLAN2 IP des Routers kennen.
Statische Route am Internet Router ins .0.0er Netz ist da ?
Wie gesagt die will ich ja überhaupt nicht und würde das auch ungerne einrichten. Ach, der kann das beim groben drüberschauen auch nicht. Ich kann dort keine statische Route eingeben. Ist ein Vodafon LTE-Router.Hast du eine statische Route auf das 192.168.0.0 /24er Netz in dem Router eingetragen ??
Ohne diese Route ist es klar das der Ping schiefgeht !
Da fällt mir noch ein, in dem Tutorial was ich als Vorlaghe genommen habeOhne diese Route ist es klar das der Ping schiefgeht !
http://www.dd-wrt.com/wiki/index.php/VLAN_Detached_Networks_%28Separate ...
und auch in deinem wird ja davon ausgegangen, daß der DD-Wrt Router direkt ans Internet angeschlossen ist.
Dort kann ich ja auch keine statische Route eintragen.
In dem DD-Wrt Tutorial steht explizit
After these steps all clients are able to retrieve an IP via DHCP, can access the internet and each other.
Bei dir kommt das nicht so direkt zu Ausdruck, da dort nur erwähnt wird, daß Zugriff auf die Router IP eines anderen VLANs gegeben ist. Das geht bei mir ja auch.Der folgende Screenshot zeigt den Ping eines Apple Mac Rechners der sich am Switch im VLAN-3 befindet mit der per DHCP vom Router vergebenen IP Adresse 172.16.3.130. Dieser Mac (kann natürlich auch ein PC sein...) pingt erfolgreich das Router IP Interface im VLAN-10.
Vielleicht noch erwähnenswert, ich haben als DD-Wrt Router einen Buffalo WZR-1750DHP mit Buffalo's Firmware DD-WRT v24SP2- (06/12/14) std
mit folgenden Befehlen auf dem DD-Wrt router komme ich dann auch vom VLAN3 ins VLAN4
iptables -I FORWARD 12 -i vlan3 -j trigger_out
iptables -I FORWARD 13 -i vlan3 -j ACCEPT
fehlt noch der Zugang zum VLAN2
iptables -I FORWARD 12 -i vlan3 -j trigger_out
iptables -I FORWARD 13 -i vlan3 -j ACCEPT
fehlt noch der Zugang zum VLAN2
Hallo,
die 12 und 13 als linenumber stimmt natürlich nicht, richtig ist 11 und 12
dann noch
iptables -t nat -I POSTROUTING 2 -o vlan2 -j SNAT --to-source 192.168.2.1
und ich komme auch ins Internet. Mir als Laie stellt sich hier immernoch die Frage, ist das so ok oder sicherheitstechnisch der Ober-GAU?
POSTROUTING-Chain sieht jetzt so aus:
wobei die 1. Zeile ja überflüssig ist, bzw. der src-adr-range in der 2. zeile auf den von VLAN3 angepasst werden müsste. Was sollte ich da machen? Da sowieso alle ins Internet sollen vermutlich die 1. Zeile raus?
die 12 und 13 als linenumber stimmt natürlich nicht, richtig ist 11 und 12
dann noch
iptables -t nat -I POSTROUTING 2 -o vlan2 -j SNAT --to-source 192.168.2.1
und ich komme auch ins Internet. Mir als Laie stellt sich hier immernoch die Frage, ist das so ok oder sicherheitstechnisch der Ober-GAU?
POSTROUTING-Chain sieht jetzt so aus:
Chain POSTROUTING (policy ACCEPT 642 packets, 45633 bytes)
num pkts bytes target prot opt in out source destination
1 112 5764 SNAT 0 -- * vlan2 192.168.11.0/24 0.0.0.0/0 to:192.168.2.1
2 0 0 SNAT 0 -- * vlan2 0.0.0.0/0 0.0.0.0/0 to:192.168.2.1
3 0 0 MASQUERADE 0 -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x80000000/0x80000000wobei die 1. Zeile ja überflüssig ist, bzw. der src-adr-range in der 2. zeile auf den von VLAN3 angepasst werden müsste. Was sollte ich da machen? Da sowieso alle ins Internet sollen vermutlich die 1. Zeile raus?
Nein, das ist so OK. Mit dem Masquerade hast du eine NAT Firewall aktiv über die so ohne weiteres keiner reinkommt.
Ich fasse nochmal zusammen, das Folgende sorgt dafür, daß VLAN 3 auf alle anderen VLANs zugreifen kann, für weitere müsste das dann entsprechend erweitert werden.
iptables -I FORWARD 11 -i vlan3 -j trigger_out
iptables -I FORWARD 12 -i vlan3 -m state --state NEW -j ACCEPT
Hiermit dann alle VLANs ins Internet:
iptables -t nat -I POSTROUTING 2 -o vlan2 -j SNAT --to-source 192.168.2.1
Einige Regeln in der FORWARD-chain sind mir immer noch nicht klar, aber mal sehen wie weit wir hiermit kommen.
6 und 7: keine Ahnung was die bezwecken, die dürften meiner Meinung nach mit anderen Regeln abgefangen sein
8: verstehe ich überhaupt nicht
5 und 9: sind vermutlich irgendwelche von der GUI genutzten chains - bei mir sind sie leer
Also, vielen Dank
Thomas
iptables -I FORWARD 11 -i vlan3 -j trigger_out
iptables -I FORWARD 12 -i vlan3 -m state --state NEW -j ACCEPT
Hiermit dann alle VLANs ins Internet:
iptables -t nat -I POSTROUTING 2 -o vlan2 -j SNAT --to-source 192.168.2.1
Einige Regeln in der FORWARD-chain sind mir immer noch nicht klar, aber mal sehen wie weit wir hiermit kommen.
6 0 0 ACCEPT 0 -- br0 br0 0.0.0.0/0 0.0.0.0/0
7 0 0 ACCEPT 0 -- br0 vlan2 0.0.0.0/0 0.0.0.0/0
8 0 0 TRIGGER 0 -- vlan2 br0 0.0.0.0/0 0.0.0.0/0 TRIGGER type:in match:0 relate:08: verstehe ich überhaupt nicht
5 1842 148K lan2wan 0 -- * * 0.0.0.0/0 0.0.0.0/0
9 0 0 trigger_out 0 -- br0 * 0.0.0.0/0 0.0.0.0/0Also, vielen Dank
Thomas
