UGW Tutorial

Aus Opennet

Inhaltsverzeichnis 1 Braindump 1.1 Ausgangssituation 1.2 Ziel 1.3 Exemplarische Umsetzung 1.3.1 interner AP (APi) 1.3.2 Opennet AP (APo) 1.3.3 Traffic Monitoring 1.3.4 Hinweise 1.4 ToDos (Vorgehen) 1.5 ToDos (Tutorial)

Braindump

Ausgangssituation

• Breitbandzugang
• eigener AP (OpenWrt RC6, APi), internes LAN
• on-i AP (aktuellste FW, APo)

Ziel

• Bereitstellung eines Internet-Gateways durch APi
• eigenes Subnetz zur sauberen Trennung von eigenem LAN und on-i Netz (VLANing, dedizierter Port an APi)
• Verbindung zu APo über WAN-Port
• Erreichbarkeit des Web-Interfaces von APo aus dem LAN von APi

Exemplarische Umsetzung

interner AP (APi)

• Installation OpenWrt auf APi
• internes LAN auf 172.21.8.0/16
• neues VLAN einrichten

nvram set vlan0ports="1 2 3 5*"
nvram set vlan2ports="4 5"
nvram set vlan2hwname=et0
nvram commit

• neues Interface einrichten

nvram set dmz_ifname=vlan2
nvram set dmz_ipaddr=172.18.12.1
nvram set dmz_netmask=255.255.255.0
nvram set dmz_proto=static
nvram commit

• autom. Start des Interfaces nach Booten

entweder Erweiterung /etc/init.d/S40network um

ifup dmz

oder Anlegen einer NVRAM-Variablen

nvram set ifup_interfaces="lan wan wifi dmz"
nvram commit

• Eintragen der Routing-Regeln in /etc/firewall.user

DMZ=$(nvram get dmz_ifname)
...
iptables -A forwarding_rule -i $DMZ -o $WAN -j ACCEPT
iptables -A forwarding_rule -i $LAN -o $DMZ -j ACCEPT

• Routing von on-i Anfragen zum UGW

route add -net 192.168.0.0 netmask 255.255.0.0 gw 172.18.12.2 dev vlan2

Opennet AP (APo)

• Installation aktuellster ON-FW auf APo
• statische WAN-IP auf 172.18.12.2 (Netzmaske: 255.255.255.0 Gateway: 172.18.12.1)
• Anpassung der Firewall und des Routings, um vom vorgelagerten internen AP das ON-Netz zu erreichen

iptables -I FORWARD 2 -s 172.21.8.0/24 -d 192.168.0.0/16 -o eth1 -i vlan1 -m state --state NEW -j ACCEPT
route add -net 172.21.8.0 netmask 255.255.255.0 gw 172.18.12.1
iptables -t nat -A POSTROUTING -o eth1 -s 172.21.8.0/24 -j SNAT --to-source 192.168.1.57
iptables -t nat -A POSTROUTING -o tap+ -s 172.21.8.0/24 -j SNAT --to-source 192.168.1.57

• Anforderung und Eintragen des UGW-Zertifikats
• Aktivierung der Internet-Freigabe im Webinterface

Traffic Monitoring

Paketversion

• Paketliste aktualisieren
• Paket use-backports aus repository opennet installieren
• Paket opennet-ugw-trafmon aus repository opennet installieren
• (Paket use-backports wieder deinstallieren)
• AP neu starten

Quellen

• use-backports: svn export svn://svn.opennet-initiative.de/on_firmware/branches/use-backports/trunk
• opennet-ugw-trafmon: svn export svn://svn.opennet-initiative.de/on_firmware/branches/opennet-ugw-trafmon/trunk

Hinweise

ToDos (Vorgehen)

• erina (GW247 212.227.37.142) als zusätzlichen DNS auf APi

ToDos (Tutorial)

• iptables rules überlebensfähig machen
• optische Aufbereitung
• Fehlerbehebung / Verbesserungen