[WLANware] defaultroute von iptables geblockt /whiterussianpakete verwenbar? / crosscompiling

Tue Jul 25 18:30:20 CEST 2006

Mickey,

naja - meshing ist ein bisschen unterschiedlich zum ueblichen Netzwerken. 
Das merkt man z.B. an der Defaultroute. Es gibt mehrere Nutzer aber eben 
auch mehrere Admins und sogar mehrere Internet-Zugaenge (jedenfalls hier in 
Berlin). Damit das zusammenspielt kann man Zwangsmassnahmen ergreifen (war 
jedenfalls mal lang-und-breit in der Diskussion) oder um Verstaendnis 
werben. Ich bin ein Anhaenger von letzterem. Fuer die Default-Route gibt es 
diese Moeglichkeiten:

Internet-Zugang anbieten (ist was fuer Altruisten)
  -> Default-Route setzen und per HNA4 ankuendigen
Internet-Zugang nutzen
  -> Dann OLSR-defaultroute hinnehmen
Tricks mit Policy-Routing
  -> Das ist manchmal auch sinnvoll
Internet-Zugang tunneln
  -> Das OLSR-Netz einfach als Transitweg verwenden

Im letzteren Fall hat nicht der Router selbst die gewuenschte Default-Route 
sondern der Client (XP, Linux, Mac) tunnelt durch den Router auf einen 
Rechner der dann wiederum eine Default-Route hat. So einen Tunnel kann man 
schuetzen...

Grusz, Sven-Ola

<mickey at netfreaks.org> schrieb im Newsbeitrag 
news:20060725145248.559E4F4260 at box1.pixel-hosting.de...
> besten dank für die ausführliche antwort!
>
> ich werde das zunächst versuchen zu verstehen und dann umzusetzen :-)
>
> die default route über die lan schnittstelle fliegt jedenfalls erst mal
> wieder aus...
>
>
> Am 25.07.2006 um 16:48 Uhr haben Sie geschrieben:
>> Hi,
>>
>> das'n ueblicher Konflikt - eine Defaultroute "nur fuer mich, ich will
> meinen
>> eigenen Inetzugang nutzen" in einem OLSR-Meshgeraet. Es gibt nur eine
>> regellose Defaultroute in einem Linux-System. Es besteht die
> Moeglichkeit,
>> dass du daher mit dieser Konfi (unabsichtlich) den Inetverkehr von
> Nachbarn
>> blockieren oder verfaelschen kannst:
>>
>> Irgendwer -> DeinWRT -> IrgenwerAnders -> Inet
>>
>> Warum? Na weil die von "Irgendwer" an das Inet gerichteten Pakete bei
> Deinem
>> WRT 'rausgehen und dann evt. wegen Firewall / NAT / Wasweissich nicht
> wieder
>> zurueckkommen. Sowas nennen wir "schwarzes Loch". Schwarze Loecher
> sind
>> nicht wild, wenn netz-topologisch sonst niemand <b>hinter</b> Deinem
> WRT haengt
>> (der also sozusagen nur in Richtung Mesh benutzt wird und eigentlich
> niemals
>> Verkehr anderer weiterleitet). Haengt Dein WRT topologische irgendwo
> mitten
>> drin, isses unhoeflich und blockiert die Mesh-funktion
> "Internet-Teilen" von
>> anderen.
>>
>> Im letzteren Fall koennte man eine "Policy-Default-Route" setzen. Ist
> ein
>> bisschen schwieriger, funktioniert aber. Mach' eine Regel etwa "ip
> route add
>> from 10.11.12.13/16 table meinsfuermich" und setze eine Default-Route
> auf
>> die neue Table (die ja nur fuer den spezifizierten Netzbereich gilt)
> etwa
>> "ip route add default via 1.2.3.4 table meinsfuermich". Jetzt gibts 2
>> Default-Routen. Eine fuer den Netzbereich 10.11.12.13/16 und eine fuer
> alle
>> anderen Source-IPs.
>>
>> "meinsfuermich" ist dabei ein Platzhalter fuer eine Nummer, z.B. 123.
> Diese
>> Nummer kann man mit der Zeichenkette "meinsfuermich" in der Textdatei
>> /etc/iproute2/rt_tables vereinbaren - oder eben die Nummer verwenden.
>> Naeheres weiss Google unter dem Stichwort "lartc".
>>
>> Vom Konzept her ist "meinsfuermich" nicht in die FFF eingebaut - es
> wundert
>> mich daher nicht, das irgendeine iptables-Regel oder der
>> /usr/sbin/cron.minutely da dran herumspielt. Mach'n Firewall halt aus
>> (Schalter unter Admin/LAN) und schreibe einen neuen in
> <i>etc</i>local.fw
>>
>> Grusz, Sven-Ola
>>
>> <<a
> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>>
> schrieb im Newsbeitrag
>> news:<a
> href='email_neu.php?writeTo=20060725115603.2C189F4260 at box1.pixel-hosting.de'>20060725115603.2C189F4260 at box1.pixel-hosting.de</a>...
>> > hallo und danke für die antworten!
>> >
>> >> - Eine feste Default-Route? Willst du internet anbieten oder willst
> du
>> > die
>> >> Auswahl vom OLSR ueberschreiben?
>> > ich habe meinen wrt über den lan anschluss an mein lokales netz
>> > angeschlossen, eine feste ip und eine feste defaultroute vergeben.
> das
>> > ziel dabei ist es, dem wrt zugriff auf die lan-ressourcen und das
>> > internet zu ermöglichen, ohne dabei den wlan-clients (olsr) internet
>> > zugriff zu gewähren.
>> > wie schon beschrieben funktioniert das auch prima, allerdings musste
> ich
>> > den internetzugriff nachträglich über manuelle firewall einträge
>> > freigeben.
>> > daher meine frage, ob es nicht sinnvoll wäre, in dem firewall script
> im
>> > falle einer gesetzten defaultroute auf der lan-schnittstelle, diese
>> > firewallregeln zu setzen?
>> >
>> >
>> >> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht
> in
>> > den
>> >> depends
>> > ich denke, das ich alle libs beisammen habe.
>> >
>> >>Versuche "ipkg install strace"
>> > danke für den hinweis, ich werde es versuchen :-)
>> >
>> >> - OW Buildroot um was zu kompilieren?
>> > mein erstes opfer wäre ne aktuelle version von tor
>> >
>> >>Nimm das
>> >> Whiterussian BR.
>> > schon geschehen. dachte mir allerdings, eine original .config wäre
> eine
>> > hilfreiche ausgangsbasis?
>> >
>> >
>> > nochmals danke für kreative und hilfreiche tipps - jeder fängt mal
> an
>> > und ich gehöre dazu ;-)
>> >
>> >
>> > mickey
>> >
>> > Am 25.07.2006 um 12:39 Uhr haben Sie geschrieben:
>> >> Hi,
>> >>
>> >> echtes Bugfinding ist immer gut. Allerdings vermute ich wenigstens
>> > manchmal,
>> >> das es eine Fehlkonfi ist:
>> >>
>> >> - Eine feste Default-Route? Willst du internet anbieten oder willst
> du
>> > die
>> >> Auswahl vom OLSR ueberschreiben? Ersters sollte gehen, und
> letzteres
>> > geht
>> >> so nicht. Es gibt insbesondere mit der Default-Route eine ganze
> Reihe
>> > von
>> >> sinnfreien Konfi-Varianten, die dann halt nicht und nicht so
>> > funktionieren
>> >> wie gedacht.
>> >>
>> >> - Irgendwas aus OpenWrt will nicht? Versuche "ipkg install strace".
>> > Dann
>> >> kann man mit "strace -f <i>etc</i>init.d/StartTor start" (oder so)
>> > genau
>> >> nachgucken, warum der Dateizugriff nicht will. Fehlende Lib? Viele
>> >> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht
> in
>> > den
>> >> depends und muss daher von Hand nachinstalliert werden.
>> >>
>> >> - OW Buildroot um was zu kompilieren? Das sollte gehen. Nimm das
>> >> Whiterussian BR.
>> >>
>> >> HTH Sven-Ola
>> >>
>> >> <a
>> > href='email_neu.php?writeTo=<a
> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>'><a
> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a></a>
>> > wrote:
>> >>
>> >> > also gut, auf geht's:
>> >> >
>> >> > ich habe vielleicht einen "bug" gefunden. wenn man im
> webinterface
>> > der
>> >> > freifunk firmware unter LAN eine default-route einträgt, wird
> diese
>> >> > route zwar korrekt gesetzt, allerdings von iptables blockiert.
>> >> > ausgehender verkehr jenseits des unter LAN eingtragenen subnetz
> ist
>> >> > daher nicht möglich.
>> >> > das funktioniert erst, wenn man manuell noch die entsprechenden
>> > firewall
>> >> > regeln nachträgt.
>> >> > wäre doch sicher sinnvoll, wenn man schon ein default gateway
>> > angeben
>> >> > kann, dass dieses dann auch in der firewall freigeschaltet wird,
>> > oder?
>> >> >
>> >> > -- snipp --
>> >> >
>> >> > ich habe den tor proxy von der openwrt seite
> (whiterussian/packages)
>> >> > nachinstalliert und die konfiguration nach meinen wünschen
>> > angepasst.
>> >> > wenn ich das programm allerdings starten will, bekomme ich sehr
>> >> > sonderbare fehlermeldungen. z.b. kann die datei
> <i>etc</i>tor/torrc
>> > nicht
>> >> > gefunden werden - obwohl diese datei vorhanden ist und auch die
>> >> > notwendigen rechte gesetzt sind.
>> >> > kann ich die whiterussian pakete überhaupt unter der freifunk
>> > firmware
>> >> > nutzen? was muss ich beachten? welche tricks gibt es?
>> >> >
>> >> > -- snipp --
>> >> >
>> >> > kann ich das openwrt buildroot verwenden, wenn ich software für
>> > meinen
>> >> > freifunk-basierten wrt compilieren will? woher bekomme ich die
>> >> > "original" config der aktuellen freifunk firmware? was muss ich
>> >> > beachten?
>> >> >
>> >> >
>> >> > wer bis hier gelesen hat und jetzt sogar die eine oder andere
>> >> > konstruktive anmerkung dazu hat, sei recht herzlich von mir
> gegrüßt
>> > :-)
>> >> >
>> >> > mickey
>> >>
>> >> _______________________________________________
>> >> WLANware mailing list
>> >> <a
>> > href='email_neu.php?writeTo=<a
> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>'><a
> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a></a>
>> >> <a href='<a
> href='https://freifunk.net/mailman/listinfo/wlanware<br'<br'
> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br'<br</a>
> />
>> > target='_blank'><a
> href='https://freifunk.net/mailman/listinfo/wlanware<br</a><br'
> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a><br</a>
> />
>> > />
>> >>
>> >>
>> >>
>> >>
>> >
>> >
>> >
>>
>>
>>
> --------------------------------------------------------------------------------
>>
>>
>> _______________________________________________
>> WLANware mailing list
>> <a
> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
>> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
> />
>>
>> _______________________________________________
>> WLANware mailing list
>> <a
> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
>> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
> />
>>
>>
>>
>>
>
>
>

--------------------------------------------------------------------------------

_______________________________________________
WLANware mailing list
WLANware at freifunk.net
https://freifunk.net/mailman/listinfo/wlanware