[WLANware] defaultroute von iptables geblockt /whiterussianpakete verwenbar? / crosscompiling

mickey at netfreaks.org mickey at netfreaks.org
Fri Jul 28 13:40:13 CEST 2006 

re,

finde es sehr gut, dass man hier als newbie diskutieren kann, ohne
gleich geflamed zu werden!

zur sache: mir gehts vor allem darum, das der wrt wegen ipkg oder rdate
ins internet kommt, ohne das ich meine internet verbindung sharen muss.
und da hier in hannover die meisten ap noch inseln sind (ich bin eine
insel), bleibt nicht viel auswahl als die eigene internet verbindung.

> Tricks mit Policy-Routing
klingt für mich in meinem fall am sinnvollsten.

> Internet-Zugang tunneln
vor freifunk hatte ich für mein wlan clients einen openvpn server
laufen, das wäre sicher auch noch eine möglichkeit. nur ich will den
platz auf dem wrt nicht mit openvpn verschwenden...

sollte es mir gelingen, tor ans laufen zu bringen, sieht das mit dem
internet sharing auch wieder ganz anders aus.

vielen dank für die nette unterstützung - falls ich probleme habe,
"schreie" ich ;-)

vg, mickey

Sven-Ola Tuecke schrieb:
> Mickey,
> 
> naja - meshing ist ein bisschen unterschiedlich zum ueblichen Netzwerken. 
> Das merkt man z.B. an der Defaultroute. Es gibt mehrere Nutzer aber eben 
> auch mehrere Admins und sogar mehrere Internet-Zugaenge (jedenfalls hier in 
> Berlin). Damit das zusammenspielt kann man Zwangsmassnahmen ergreifen (war 
> jedenfalls mal lang-und-breit in der Diskussion) oder um Verstaendnis 
> werben. Ich bin ein Anhaenger von letzterem. Fuer die Default-Route gibt es 
> diese Moeglichkeiten:
> 
> Internet-Zugang anbieten (ist was fuer Altruisten)
>   -> Default-Route setzen und per HNA4 ankuendigen
> Internet-Zugang nutzen
>   -> Dann OLSR-defaultroute hinnehmen
> Tricks mit Policy-Routing
>   -> Das ist manchmal auch sinnvoll
> Internet-Zugang tunneln
>   -> Das OLSR-Netz einfach als Transitweg verwenden
> 
> Im letzteren Fall hat nicht der Router selbst die gewuenschte Default-Route 
> sondern der Client (XP, Linux, Mac) tunnelt durch den Router auf einen 
> Rechner der dann wiederum eine Default-Route hat. So einen Tunnel kann man 
> schuetzen...
> 
> Grusz, Sven-Ola
> 
> <mickey at netfreaks.org> schrieb im Newsbeitrag 
> news:20060725145248.559E4F4260 at box1.pixel-hosting.de...
>> besten dank für die ausführliche antwort!
>>
>> ich werde das zunächst versuchen zu verstehen und dann umzusetzen :-)
>>
>> die default route über die lan schnittstelle fliegt jedenfalls erst mal
>> wieder aus...
>>
>>
>> Am 25.07.2006 um 16:48 Uhr haben Sie geschrieben:
>>> Hi,
>>>
>>> das'n ueblicher Konflikt - eine Defaultroute "nur fuer mich, ich will
>> meinen
>>> eigenen Inetzugang nutzen" in einem OLSR-Meshgeraet. Es gibt nur eine
>>> regellose Defaultroute in einem Linux-System. Es besteht die
>> Moeglichkeit,
>>> dass du daher mit dieser Konfi (unabsichtlich) den Inetverkehr von
>> Nachbarn
>>> blockieren oder verfaelschen kannst:
>>>
>>> Irgendwer -> DeinWRT -> IrgenwerAnders -> Inet
>>>
>>> Warum? Na weil die von "Irgendwer" an das Inet gerichteten Pakete bei
>> Deinem
>>> WRT 'rausgehen und dann evt. wegen Firewall / NAT / Wasweissich nicht
>> wieder
>>> zurueckkommen. Sowas nennen wir "schwarzes Loch". Schwarze Loecher
>> sind
>>> nicht wild, wenn netz-topologisch sonst niemand <b>hinter</b> Deinem
>> WRT haengt
>>> (der also sozusagen nur in Richtung Mesh benutzt wird und eigentlich
>> niemals
>>> Verkehr anderer weiterleitet). Haengt Dein WRT topologische irgendwo
>> mitten
>>> drin, isses unhoeflich und blockiert die Mesh-funktion
>> "Internet-Teilen" von
>>> anderen.
>>>
>>> Im letzteren Fall koennte man eine "Policy-Default-Route" setzen. Ist
>> ein
>>> bisschen schwieriger, funktioniert aber. Mach' eine Regel etwa "ip
>> route add
>>> from 10.11.12.13/16 table meinsfuermich" und setze eine Default-Route
>> auf
>>> die neue Table (die ja nur fuer den spezifizierten Netzbereich gilt)
>> etwa
>>> "ip route add default via 1.2.3.4 table meinsfuermich". Jetzt gibts 2
>>> Default-Routen. Eine fuer den Netzbereich 10.11.12.13/16 und eine fuer
>> alle
>>> anderen Source-IPs.
>>>
>>> "meinsfuermich" ist dabei ein Platzhalter fuer eine Nummer, z.B. 123.
>> Diese
>>> Nummer kann man mit der Zeichenkette "meinsfuermich" in der Textdatei
>>> /etc/iproute2/rt_tables vereinbaren - oder eben die Nummer verwenden.
>>> Naeheres weiss Google unter dem Stichwort "lartc".
>>>
>>> Vom Konzept her ist "meinsfuermich" nicht in die FFF eingebaut - es
>> wundert
>>> mich daher nicht, das irgendeine iptables-Regel oder der
>>> /usr/sbin/cron.minutely da dran herumspielt. Mach'n Firewall halt aus
>>> (Schalter unter Admin/LAN) und schreibe einen neuen in
>> <i>etc</i>local.fw
>>> Grusz, Sven-Ola
>>>
>>> <<a
>> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>>
>> schrieb im Newsbeitrag
>>> news:<a
>> href='email_neu.php?writeTo=20060725115603.2C189F4260 at box1.pixel-hosting.de'>20060725115603.2C189F4260 at box1.pixel-hosting.de</a>...
>>>> hallo und danke für die antworten!
>>>>
>>>>> - Eine feste Default-Route? Willst du internet anbieten oder willst
>> du
>>>> die
>>>>> Auswahl vom OLSR ueberschreiben?
>>>> ich habe meinen wrt über den lan anschluss an mein lokales netz
>>>> angeschlossen, eine feste ip und eine feste defaultroute vergeben.
>> das
>>>> ziel dabei ist es, dem wrt zugriff auf die lan-ressourcen und das
>>>> internet zu ermöglichen, ohne dabei den wlan-clients (olsr) internet
>>>> zugriff zu gewähren.
>>>> wie schon beschrieben funktioniert das auch prima, allerdings musste
>> ich
>>>> den internetzugriff nachträglich über manuelle firewall einträge
>>>> freigeben.
>>>> daher meine frage, ob es nicht sinnvoll wäre, in dem firewall script
>> im
>>>> falle einer gesetzten defaultroute auf der lan-schnittstelle, diese
>>>> firewallregeln zu setzen?
>>>>
>>>>
>>>>> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht
>> in
>>>> den
>>>>> depends
>>>> ich denke, das ich alle libs beisammen habe.
>>>>
>>>>> Versuche "ipkg install strace"
>>>> danke für den hinweis, ich werde es versuchen :-)
>>>>
>>>>> - OW Buildroot um was zu kompilieren?
>>>> mein erstes opfer wäre ne aktuelle version von tor
>>>>
>>>>> Nimm das
>>>>> Whiterussian BR.
>>>> schon geschehen. dachte mir allerdings, eine original .config wäre
>> eine
>>>> hilfreiche ausgangsbasis?
>>>>
>>>>
>>>> nochmals danke für kreative und hilfreiche tipps - jeder fängt mal
>> an
>>>> und ich gehöre dazu ;-)
>>>>
>>>>
>>>> mickey
>>>>
>>>> Am 25.07.2006 um 12:39 Uhr haben Sie geschrieben:
>>>>> Hi,
>>>>>
>>>>> echtes Bugfinding ist immer gut. Allerdings vermute ich wenigstens
>>>> manchmal,
>>>>> das es eine Fehlkonfi ist:
>>>>>
>>>>> - Eine feste Default-Route? Willst du internet anbieten oder willst
>> du
>>>> die
>>>>> Auswahl vom OLSR ueberschreiben? Ersters sollte gehen, und
>> letzteres
>>>> geht
>>>>> so nicht. Es gibt insbesondere mit der Default-Route eine ganze
>> Reihe
>>>> von
>>>>> sinnfreien Konfi-Varianten, die dann halt nicht und nicht so
>>>> funktionieren
>>>>> wie gedacht.
>>>>>
>>>>> - Irgendwas aus OpenWrt will nicht? Versuche "ipkg install strace".
>>>> Dann
>>>>> kann man mit "strace -f <i>etc</i>init.d/StartTor start" (oder so)
>>>> genau
>>>>> nachgucken, warum der Dateizugriff nicht will. Fehlende Lib? Viele
>>>>> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht
>> in
>>>> den
>>>>> depends und muss daher von Hand nachinstalliert werden.
>>>>>
>>>>> - OW Buildroot um was zu kompilieren? Das sollte gehen. Nimm das
>>>>> Whiterussian BR.
>>>>>
>>>>> HTH Sven-Ola
>>>>>
>>>>> <a
>>>> href='email_neu.php?writeTo=<a
>> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>'><a
>> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a></a>
>>>> wrote:
>>>>>> also gut, auf geht's:
>>>>>>
>>>>>> ich habe vielleicht einen "bug" gefunden. wenn man im
>> webinterface
>>>> der
>>>>>> freifunk firmware unter LAN eine default-route einträgt, wird
>> diese
>>>>>> route zwar korrekt gesetzt, allerdings von iptables blockiert.
>>>>>> ausgehender verkehr jenseits des unter LAN eingtragenen subnetz
>> ist
>>>>>> daher nicht möglich.
>>>>>> das funktioniert erst, wenn man manuell noch die entsprechenden
>>>> firewall
>>>>>> regeln nachträgt.
>>>>>> wäre doch sicher sinnvoll, wenn man schon ein default gateway
>>>> angeben
>>>>>> kann, dass dieses dann auch in der firewall freigeschaltet wird,
>>>> oder?
>>>>>> -- snipp --
>>>>>>
>>>>>> ich habe den tor proxy von der openwrt seite
>> (whiterussian/packages)
>>>>>> nachinstalliert und die konfiguration nach meinen wünschen
>>>> angepasst.
>>>>>> wenn ich das programm allerdings starten will, bekomme ich sehr
>>>>>> sonderbare fehlermeldungen. z.b. kann die datei
>> <i>etc</i>tor/torrc
>>>> nicht
>>>>>> gefunden werden - obwohl diese datei vorhanden ist und auch die
>>>>>> notwendigen rechte gesetzt sind.
>>>>>> kann ich die whiterussian pakete überhaupt unter der freifunk
>>>> firmware
>>>>>> nutzen? was muss ich beachten? welche tricks gibt es?
>>>>>>
>>>>>> -- snipp --
>>>>>>
>>>>>> kann ich das openwrt buildroot verwenden, wenn ich software für
>>>> meinen
>>>>>> freifunk-basierten wrt compilieren will? woher bekomme ich die
>>>>>> "original" config der aktuellen freifunk firmware? was muss ich
>>>>>> beachten?
>>>>>>
>>>>>>
>>>>>> wer bis hier gelesen hat und jetzt sogar die eine oder andere
>>>>>> konstruktive anmerkung dazu hat, sei recht herzlich von mir
>> gegrüßt
>>>> :-)
>>>>>> mickey
>>>>> _______________________________________________
>>>>> WLANware mailing list
>>>>> <a
>>>> href='email_neu.php?writeTo=<a
>> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>'><a
>> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a></a>
>>>>> <a href='<a
>> href='https://freifunk.net/mailman/listinfo/wlanware<br'<br'
>> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br'<br</a>
>> />
>>>> target='_blank'><a
>> href='https://freifunk.net/mailman/listinfo/wlanware<br</a><br'
>> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a><br</a>
>> />
>>>> />
>>>>>
>>>>>
>>>>>
>>>>
>>>>
>>>
>>>
>> --------------------------------------------------------------------------------
>>>
>>> _______________________________________________
>>> WLANware mailing list
>>> <a
>> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
>>> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
>> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
>> />
>>> _______________________________________________
>>> WLANware mailing list
>>> <a
>> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
>>> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
>> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
>> />
>>>
>>>
>>>
>>
>>
> 
> 
> --------------------------------------------------------------------------------
> 
> 
> _______________________________________________
> WLANware mailing list
> WLANware at freifunk.net
> https://freifunk.net/mailman/listinfo/wlanware
> 
> _______________________________________________
> WLANware mailing list
> WLANware at freifunk.net
> https://freifunk.net/mailman/listinfo/wlanware
> 
> 

-- 
mickey at netfreaks.org
_______________________________________________
WLANware mailing list
WLANware at freifunk.net
https://freifunk.net/mailman/listinfo/wlanware

More information about the WLANware mailing list