Router m Layer 3 FW einrichten - Kein Internet
Adrian Schmutzler
mail at adrianschmutzler.de
Di Sep 15 00:55:36 CEST 2020
"uci: Entry not found" heißt dass irgendein File in /etc/config/ nicht korrekt formatiert ist und nicht geparst werden kann (muss nicht direkt in Relation zum ausgeführten Befehl stehen). Also entweder /etc/config/gateway selbst oder eine der anderen Dateien, die durch falsche config in gateway falsch editiert wurde (ersteres ist wahrscheinlicher).
Ich hatte mal versucht, den uci code so zu ändern, dass die betroffene Datei angezeigt wird, aber das ist ziemlich kacke ...
Grüße
Adrian
> -----Original Message-----
> From: franken [mailto:franken-bounces at freifunk.net] On Behalf Of Andreas
> Sent: Montag, 14. September 2020 23:13
> To: fff at chrisi01.de; franken at freifunk.net
> Subject: Re: Router m Layer 3 FW einrichten - Kein Internet
>
> ich bekomme immer noch kein Netz an meinem Layer-3 TL-WR1043ND-V2.
> Ein ping 8.8.8.8 wirft: "connect: Network is unreachable"
> Den Fehler in list ip6addr hab ich behoben.
> Um Irgendwelche blöden Effekte in den Kommentaren aus zu schließen
> habe ich alle Kommentare in der /etc/config/gateway gelöscht.
> Das configuregateway -t wirft ein "uci: Entry not found" aus.
>
> was habe ich übersehen? Bzw. was kann ich noch testen?
>
> Gruß
> Andreas
>
>
> Am 14.09.20 um 12:48 schrieb Christian Dresel:
> > Hallo Andreas
> >
> > ich seh auf Anhieb einen Fehler:
> >
> > On 13.09.20 21:52, Andreas wrote:
> >> Hallo,
> >> so wie es für mich ausschaut funktioniert mein/unser Tunnel.
> >> ich habe unten mal meine /etc/config/gateway eingefügt.
> >> vielleicht hilft es ja weiter.
> >>
> >> Danke,
> >> Gruß Andreas
> >>
> >>
> >> Am 13.09.20 um 10:55 schrieb Christian Dresel:
> >>> Hallo Andreas
> >>>
> >>> nein keine Sorge du nervst nicht, wir sind ja da um zu helfen und
> >>> Wissen weiter zu vermitteln :)
> >>>
> >>> ich sehe mittlerweile auch eine Verbindung auf meiner Seite:
> >>>
> >>> interface: wg_AndKhof
> >>> public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
> >>> private key: (hidden)
> >>> listening port: 31358
> >>>
> >>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
> >>> endpoint: 85.212.100.191:34852
> >>> allowed ips: 0.0.0.0/0, ::/0
> >>> latest handshake: 34 seconds ago
> >>> transfer: 646.79 MiB received, 659.10 MiB sent
> >>>
> >>> Die Sache mit dem wireguard scheint nun zu funktionieren. Der
> >>> nächste Schritt wäre nun, ob du alle Routen von mir erhälst und sie
> >>> dein Router auch installiert. Wir nutzen dazu die Routingtabelle fff
> >>> =>
> >>>
> >>> ip ro sh tab fff
> >> ip ro sh tab fff
> >> default via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> >> 2.58.112.0/24 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> >> 10.0.0.0/8 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink
> >> 10.8.0.3 via 10.83.252.2 dev wg_TunnelAtF3 proto babel onlink und
> >> dann geht es noch viel Zeile so weiter...
> >>> bzw.
> >>> ip -6 ro sh tab fff
> >> ip -6 ro sh tab fff
> >> default from 2a00:1aa0:ffff::/48 via fe80::22:33:44:11 dev
> >> wg_TunnelAtF3 proto babel metric 1024 pref medium default from
> >> 2a01:4f8:c17:5a7a::/64 via fe80::22:33:44:11 dev
> >> wg_TunnelAtF3 proto babel metric 1024 pref medium default from
> >> 2a04:5b81:1fff::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto
> >> babel metric 1024 pref medium default from 2a06:e881:340a::/48 via
> >> fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel metric 1024 pref
> >> medium default from 2a06:e881:340b::/48 via fe80::22:33:44:11 dev
> >> wg_TunnelAtF3 proto babel metric 1024 pref medium default from
> >> 2a06:e881:6900::/44 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto
> >> babel metric 1024 pref medium default from 2a0b:f4c0::/40 via
> >> fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel metric 1024 pref
> >> medium default from 2a0c:b642:1030::/48 via fe80::22:33:44:11 dev
> >> wg_TunnelAtF3 proto babel metric 1024 pref medium
> >> 64:ff9b::/96 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto babel
> >> metric
> >> 1024 pref medium
> >> 2001:67c:2ebc::/48 via fe80::22:33:44:11 dev wg_TunnelAtF3 proto
> >> babel metric 1024 pref medium .........und so weiter....
> >>> da sollten ein haufen routen installiert sein.
> >>>
> >>> Von dir sehe ich die routen bereits:
> >>>
> >>> root at fff-nue2-gw1:/home/christiand# ip -6 ro sh tab fff | grep
> >>> wg_AndKhof
> >>> 2a0b:f4c0:fb::/48 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof proto
> >>> babel metric 1024 onlink pref medium
> >>> fd43:5602:29bd:d1:: via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof
> >>> proto babel metric 1024 onlink pref medium
> >>> fd43:5602:29bd:d1::/64 via fe80::32b5:c2ff:fe3e:8270 dev wg_AndKhof
> >>> proto babel metric 1024 onlink pref medium
> >>> root at fff-nue2-gw1:/home/christiand# ip ro sh tab fff | grep
> >>> wg_AndKhof
> >>> 10.50.74.97 via 10.50.74.97 dev wg_AndKhof proto babel onlink
> >>>
> >>> daher gehe ich davon aus, das auch dies bei dir in Ordnung sein wird.
> >>>
> >>> wenn die auch da sind, muss man sich den Clientblock/VLAN Blöcke in
> >>> der config nochmal angucken. Das ganze wäre jetzt aber auf der
> >>> Mailingliste schon wieder besser aufgehoben ;)
> >> Hier nun mal die ganze
> >> /etc/config/gateway
> >>
> >> config gateway 'meta'
> >> option config_version '1'
> >>
> >> config gateway
> >> option name 'N-KraftshhsGW'
> >>
> >> config vlan '1'
> >> option comment 'client'
> >> option ports '1 2 3 4'
> >>
> >> config vlan '2'
> >> option comment 'wan'
> >> option ports '5'
> >>
> >> config client
> >> option vlan '1'
> >> list ip6addr '2a0b:f4c0:fb::/48'# public IPv6 Adresse des Gateways
> >> mit Subnetz Maske,
> > bei IPv6 werden generell an Clients immer /64 vergeben (genauer, hier
> > wird die Adresse des Routers konfiguriert, aus dem Subnetz werden dann
> > RA erzeugt die an die Clients weiter gegeben wird, das funktioniert
> > nur mit /64). Richtig wäre also:
> >
> > 2a0b:f4c0:fb::/64
> >
> > das ist zwar technisch so korrekt und würde so auch funktionieren
> > (nicht wie bei IPv4 wo die allererste Adresse im Subnetz reserviert
> > ist), ich finde es aber dennoch immer schön, nicht die allererste
> > Adresse an den Router zu vergeben, demnach mache ich persönlich
> immer:
> >
> > 2a0b:f4c0:fb::1/64
> > (oder ein anderes Subnetz aus dem /48, das ist ganz dir überlassen,
> > die "gehört" das ganze /48 das du dir zerteilen kannst wie du willst)
> >
> > das ist allerdings Geschmackssache ;) Nur /48 ist auf jeden Fall
> > falsch und musst du korrigeren.
> >
> > Ich schau gleich mal ins Wiki, ob das dort evtl. undeutlich
> > geschrieben ist und bessere es, wenn nötig aus.
> >
> > Ich weiß jetzt gerade nicht, was am Router passiert wenn dort ein /48
> > steht. Kann gut sein, das dies deinen Fehler schon behebt oder
> > vielleicht auch nicht. Ansonsten, wenn es nicht hilft, einfach weiter
> > nerven, dann suchen wir weiter ;)
> >
> > Denk dran nach dem korrigieren configuregateway wieder laufen zu
> > lassen
> >
> > Gruß
> >
> > Christian
> >
> >> list ip6addr 'fd43:5602:29bd:d1::/64' # ULA IPv6 Adresse des Gateways
> >> mit Subnetz Maske list ipaddr '10.50.74.96/27' # IPv4 Adresse des
> >> Gateways mit Subnetz Maske option dhcp_start '10.50.74.100' #
> >> Startadresse vom DHCP option dhcp_limit '25'
> >> option chan2ghz '13'
> >> option essid 'GWKhhs.freifunk'
> >>
> >> config dns #
> >> list server 'fd43:5602:29bd:ffff:a:a:a:a'
> >> list server 'fd43:5602:29bd:ffff::42'
> >> list server 'fd43:5602:29bd:ffff:a:a:a:a'
> >> list server '10.83.252.11'
> >> list server '10.83.252.0'
> >>
> >> config wireguardpeer 'TunnelAtF3'
> >> option endpoint_host '81.95.4.186'
> >> option endpoint_port '31358'
> >> option persistent_keepalive '20'
> >> option remote_public_key
> '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
> >> option rxcost '4096'
> >> option mtu '1412'
> >> option local_private_key '******mein private Key*****'
> >>> Gruß
> >>>
> >>> Christian
> >>>
> >>> On 10.09.20 22:17, Andreas wrote:
> >>>> Hallo Christian,
> >>>> so, hab mal wieder ne Stunde Zeit für den Router gefunden.
> >>>> 1. Bei mir war option local_private_key falsch
> >>>> ich habe es heute geändert, dann configuregateway -c -t -a
> >>>> Ergebnis: es läuft immer noch nicht.
> >>>>
> >>>> Ich hoff ich nerve dich mit meinem gebastel nicht zu sehr.
> >>>>
> >>>> bei einem wg kommt jetzt folgendes:
> >>>> root at N-KraftshhsGW:~# wg
> >>>> interface: wg_TunnelAtF3
> >>>> public key: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
> >>>> private key: (hidden)
> >>>> listening port: 34852
> >>>> fwmark: 0xc8
> >>>>
> >>>> peer: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
> >>>> endpoint: 81.95.4.186:31358
> >>>> allowed ips: ::/0, 0.0.0.0/0
> >>>> latest handshake: 1 minute, 6 seconds ago
> >>>> transfer: 79.15 MiB received, 77.65 MiB sent
> >>>> persistent keepalive: every 20 seconds
> >>>>
> >>>> Thema Ports: wo stelle ich den listening port ein? musst Du diesen
> >>>> auf der Gegenseite eintragen?
> >>>> An meiner Fritzbox hab ich den Port 34852 frei gegeben - erfolglos.
> >>>> ping 81.95.4.186 läuft.
> >>>>
> >>>> in der /etc/config/gateway steht folgendes:
> >>>> config wireguardpeer 'TunnelAtF3'
> >>>> option endpoint_host '81.95.4.186'
> >>>> option endpoint_port '31358'
> >>>> option persistent_keepalive '20'
> >>>> option remote_public_key
> >>>> '9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4='
> >>>> option rxcost '4096'
> >>>> option mtu '1412'
> >>>> option local_private_key 'mein priv key aus wg genkey | tee
> >>>> privatekey | wg pubkey > publickey'
> >>>>
> >>>>
> >>>>
> >>>> Gruß
> >>>> Andreas
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> Am 03.09.20 um 11:29 schrieb Christian Dresel:
> >>>>> Hi
> >>>>>
> >>>>> mal kurz auflösen:
> >>>>>
> >>>>> Ja er hat einen wireguard Tunnel zu fff-nue2-gw1. Wir haben uns
> >>>>> schon persönlich getroffen und ich hab ihm danach einen Tunnel
> eingerichtet.
> >>>>>
> >>>>> ===
> >>>>> interface: wg_AndKhof
> >>>>> public key: 9L5BoY7wVKa8bJiXdfIUoVbealZiki/1ImtzdFTBGX4=
> >>>>> private key: (hidden)
> >>>>> listening port: 31358
> >>>>>
> >>>>> peer: vlyWQJRFfkDkbh/xpL8WDxOoYSpM58pBc5CSzZWR11c=
> >>>>> allowed ips: 0.0.0.0/0, ::/0
> >>>>> ===
> >>>>>
> >>>>> Ich sehe aber auf nue2 Seite keine Verbindung. Den Fehler sollte
> >>>>> man also im Bereich des wireguard Tunnels suchen.
> >>>>>
> >>>>> - Hat der Router eine IP Adresse bzw. kommt er ins Internet
> >>>>> (ifconfig, meist eth0.2)
> >>>>> - Ist zum Internet irgendeine Firewall die irgendwas blockt?
> >>>>> - Kann der Router die Gegenstelle erreichen (ping IP_ADRESSE)?
> >>>>> - Sind die Keys/Port/ähnliches korrekt?
> >>>>>
> >>>>> Ich hab grad mal am Server ein tcpdump angeschmissen und ich sehe
> >>>>> da Pakete von dir auf dem richtigen Port rein kommen. Vermutlich
> >>>>> wäre es sinnvoll nochmal die Keys abzugleichen.
> >>>>>
> >>>>> Die Public-Keys die auf meiner Seite gelten, siehst du bei der
> >>>>> oberen Ausgabe. Hast du auch darauf geachtet mir deinen Publickey
> >>>>> zu geben aber selbst den Privatekey (der geheim bleiben sollte,
> >>>>> den bitte nicht
> >>>>> schicken) einzutragen?
> >>>>>
> >>>>> Gruß
> >>>>>
> >>>>> Christian
> >>>>>
> >>>>> On 02.09.20 04:53, McUles wrote:
> >>>>>> Hallo Andreas,
> >>>>>>
> >>>>>> Sicher das du einen wireguard Tunnel hast?
> >>>>>>
> >>>>>> https://sub.f3netze.de ist eigentlich nur die Registrierungsseite
> >>>>>> für v6 IPs.
> >>>>>>
> >>>>>> Du musst noch mit jemanden peeren damit dein L3 Router auch ins
> >>>>>> Netz kommt ;)
> >>>>>>
> >>>>>>
> >>>>>> Mit freifunklichen Grüßen,
> >>>>>>
> >>>>>> McUles
> >>>>>>
> >>>>>>
> >>>>>> Am 01.09.2020 um 22:57 schrieb Andreas:
> >>>>>>> Hallo,
> >>>>>>> ich habe versucht meinen TP-Link TL-WR1043N/ND v2 mit der
> neuen
> >>>>>>> Layer
> >>>>>>> 3 Firmware ein zu richten. Vorweg: ich gehöre bestimmt nicht zu
> >>>>>>> den Experten, und kann sicherlich noch eine Menge lernen.
> >>>>>>>
> >>>>>>> Im Monitoring finde ich nun meinen Router nun unter:
> >>>>>>> https://monitoring.freifunk-franken.de/mac/30b5c23e8270
> >>>>>>> Einen Internetzugang über das WLAN dieses Routers bekomme ich
> >>>>>>> allerdings nicht. Was kann der Grund dafür sein?
> >>>>>>>
> >>>>>>> Die wireguard Bridge ins https://sub.f3netze.de/ scheint zu
> >>>>>>> funktionieren Eine IP bekomme ich, wenn ich mich ins WLAN
> >>>>>>> einwähle. Zugriff auf das Admin-Portal des Routers geht auch.
> >>>>>>> ping 8.8.8.8 Network is unrechable.
> >>>>>>>
> >>>>>>> Ich vermute den Fehler in /etc/config/gateway im Bereich client:
> >>>>>>> config client
> >>>>>>> option vlan '1'
> >>>>>>> list ip6addr '2a0b:f4c0:fb::/48'
> >>>>>>> list ip6addr 'fd43:5602:29bd:d1::/64'
> >>>>>>> list ipaddr '10.50.74.96/27'
> >>>>>>> option dhcp_start '10.50.74.100'
> >>>>>>> option dhcp_limit '25'
> >>>>>>> option chan2ghz '13'
> >>>>>>> option essid 'GWKhhs.freifunk'
> >>>>>>>
> >>>>>>> Danke für Eure Hilfe
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>> --
> >>>>>> Gruß,
> >>>>>>
> >>>>>> McUles
> >>>>>>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : openpgp-digital-signature.asc
Dateityp : application/pgp-signature
Dateigröße : 834 bytes
Beschreibung: nicht verfügbar
URL : <https://lists.freifunk.net/pipermail/franken-freifunk.net/attachments/20200915/abc91752/attachment.sig>
Mehr Informationen über die Mailingliste franken