[Freifunk Franken Firmware 0000138]: l3-20200423 inkosisten per WAN Port erreichbar
FFF Bugtracker
mantis at fff-nue2.wavecloud.de
Sa Apr 25 12:28:56 CEST 2020
Der folgende Eintrag wurde erfasst.
======================================================================
https://mantis.freifunk-franken.de/view.php?id=138
======================================================================
Berichtet von: SebaBe
Zugewiesen an:
======================================================================
Projekt: Freifunk Franken Firmware
Eintrag-ID: 138
Kategorie: Gateway
Reproduzierbarkeit: nicht getestet
Schweregrad: Unschönheit
Priorität: normal
Status: neu
======================================================================
Erstellt am: 2020-04-25 12:28 CEST
Zuletzt geändert: 2020-04-25 12:28 CEST
======================================================================
Zusammenfassung: l3-20200423 inkosisten per WAN Port erreichbar
Beschreibung:
Die l3-FW ist während der Einrichtung inkonsistent über den WAN-Port
erreichbar.
Dies verwirrt unnötig. Eine gewollte Unerreichbarkeit via WAN reduziert die
Usability.
Inbetriebnehmer, die lediglich einen PC ohne WLAN besitzen, diesen aufgeräumt
verkabelt haben müssen unnötig ihre Verkabelung auseinander reisen um auf den
Clientport umzustecken.
Generell vereinfacht die Erreichbarkeit via WAN die Inbetriebnahme, da via DHCP
die WAN IP ausgelesen werden kann und somit die komplette Inbetriebnahme+Wartung
ohne Umstecken erfolgen kann.
-> Bitte Firewallregeln für l3-FW vom WAN Port entfernen
Schritte zum Nachvollziehen:
Testgerät: WR4900-v1
1) Flash auf Beta l3-20200423 mit sysupgrade -n
2) Login Web-UI via WAN Port
3) Setzen der "Einstellungen" im Web-UI -> "Absenden"
4) Setzen eines neuen Passworts im Web-UI "Password" -> "Absenden"
5) Klicken auf beliebigen Reiter im Web-UI -> Neuer Login wird abgefragt
6) Erneuter Login mit neuem Passwort -> Keine Verbindung mehr möglich:
Fehler: Verbindung fehlgeschlagen
Firefox kann keine Verbindung zu dem Server unter <IP> aufbauen.
Zusätzliche Informationen:
Firewall Regeln verhindern die Verbindung:
tcpdump auf Testgerät:
listening on eth0.2, link-type EN10MB (Ethernet), capture size 262144 bytes
12:03:16.413623 IP <PC>.41134 > <node>.22: Flags [S], seq 2615731925, win 64240,
options [mss 1460,sackOK,TS val 3992916560 ecr 0,nop,wscale 7], length 0
12:03:16.413739 IP <node> > <PC>: ICMP 172.31.50.253 tcp port 22 unreachable,
length 68
iptables --list -vvv:
root at beta-l3:~# iptables --list -vvv
Chain INPUT (policy ACCEPT 9 packets, 2952 bytes)
pkts bytes target prot opt in out source destination
197 17309 ACCEPT all -- eth0.2 any anywhere anywhere
ctstate RELATED,ESTABLISHED
181 16882 REJECT all -- eth0.2 any anywhere anywhere
reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- any eth0.2 anywhere anywhere
reject-with icmp-net-unreachable
0 0 TCPMSS tcp -- any any anywhere anywhere
tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT 370 packets, 34952 bytes)
pkts bytes target prot opt in out source destination
libiptc vlibxtables.so.12. 1488 bytes.
Table `filter'
Hooks: pre/in/fwd/out/post = ffffffff/0/290/488/ffffffff
Underflows: pre/in/fwd/out/post = ffffffff/1f8/3f0/488/ffffffff
Entry 0 (0):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `eth0.2'/XXXXXXX.........to `'/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 197 packets, 17309 bytes
Cache: 00000000
Match name: `conntrack'
Target name: `' [40]
verdict=NF_ACCEPT
Entry 1 (352):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `eth0.2'/XXXXXXX.........to `'/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 181 packets, 16882 bytes
Cache: 00000000
Target name: `REJECT' [40]
Entry 2 (504):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `'/................to `'/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 9 packets, 2952 bytes
Cache: 00000000
Target name: `' [40]
verdict=NF_ACCEPT
Entry 3 (656):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `'/................to `eth0.2'/XXXXXXX.........
Protocol: 0
Flags: 00
Invflags: 00
Counters: 0 packets, 0 bytes
Cache: 00000000
Target name: `REJECT' [40]
Entry 4 (808):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `'/................to `'/................
Protocol: 6
Flags: 00
Invflags: 00
Counters: 0 packets, 0 bytes
Cache: 00000000
Match name: `tcp'
Target name: `TCPMSS' [40]
Entry 5 (1008):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `'/................to `'/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 0 packets, 0 bytes
Cache: 00000000
Target name: `' [40]
verdict=NF_ACCEPT
Entry 6 (1160):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `'/................to `'/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 370 packets, 34952 bytes
Cache: 00000000
Target name: `' [40]
verdict=NF_ACCEPT
Entry 7 (1312):
SRC IP: 0.0.0.0/0.0.0.0
DST IP: 0.0.0.0/0.0.0.0
Interface: `'/................to `'/................
Protocol: 0
Flags: 00
Invflags: 00
Counters: 0 packets, 0 bytes
Cache: 00000000
Target name: `ERROR' [64]
error=`ERROR'
======================================================================
Eintrags-Historie
Änderungsdatum Benutzername Feld Änderung
======================================================================
2020-04-25 12:28 SebaBe Neuer Eintrag
======================================================================
Mehr Informationen über die Mailingliste franken-dev