dd-wrt als Bridge

[henfri]

Hallo,

Ich hatte ja schon einen Thread zur Hardware-Wahl.
Jetzt zur Einstellung.
Mein Huawei Wechselrichter hat einen recht schlechten Netzwerk-Dongel.
Deshalb ist empfohlen, ihn über eine Netzwerk-Brücke über das von ihm selbst aufgespannte WLAN (da ist der WR also AP) über eine Netzwerkbrücke zu verbinden.

Ich folge dieser Anleitung:
https://skyboo.net/2021/07/how-to-connect-to-sun2000-from-dd-wrt/

Das funktioniert auch soweit als dass der WR im Webinterface angezeigt wird. Auch bekommt er eine IP (192.168.200.1).
Der AP selbst hat die IP aus meinem Heimnetzwerk 192.168.177.2

Jetzt funktioniert aber noch kein Ping vom Laptop auf die 192.168.200.1. Das ist soweit ja logisch, als dass der Router (fritzbox) nicht weiß, wie er die 200.1 erreichen soll.
Also habe ich eine statische Route in der Fritz Box erstellt:

War das richtig?

Dennoch geht ein Ping auf die 200.1 nicht.
Wenn ich mich auf dem dd-wrt router per telnet anmelde, dann geht der Ping auf die 200.1

Was mache ich noch falsch?

Gruß,
Hendrik

 

[lukas12342]

Kenne mich nur mit openwrt aus und da muss man in openwrt aus den WAN Zugriff auf das LAN erlauben oder man nutzt nur einen dumb ap (gemeinsame broadcast domain mit der fritzbox).

Standardmäßig wird nur von LAN nach WAN (fritzbox) aber nicht umgekehrt (bzw. nur contracked) traffic erlaubt.

 

[BFF]

Kannst Du das DDWRT-Teil nicht einfach als AP betreiben und der Wechselrichter verbindet sich mit dem?

 

[madmax2010]

bitte ssh. kein telnet. schon garnicht, wenn potententiell nicht vertrauenswuerdige Geraete in deinem nnetz sind
zeig doch mal die routing table

vermutlich reicht das da:
/etc/sysctl.conf oeffnen
untenn diese zeile hinzufuegen: net.ipv4.ip_forward=1

vorher und hinterher mal sysctl net.ipv4.ip_forward aufrufen, dann siehst du ob die einstelllung gesetzt ist / gesetzt wurde

 

[henfri]

Hallo,

vielen Dank für eure Tipps!

Kenne mich nur mit openwrt aus und da muss man in openwrt aus den WAN Zugriff auf das LAN erlauben oder man nutzt nur einen dumb ap (gemeinsame broadcast domain mit der fritzbox).

Standardmäßig wird nur von LAN nach WAN (fritzbox) aber nicht umgekehrt (bzw. nur contracked) traffic erlaubt.

Das könnte es sein:

C:\Users\Hendrik Friedel>tracert 192.168.200.1

Routenverfolgung zu 192.168.200.1 über maximal 30 Hops

  1     2 ms     2 ms     2 ms  fritz.box [192.168.177.1]
  2     3 ms     2 ms     4 ms  192.168.177.2

Es ist also schon bekannt, dass man über die 177.2 gehen muss um zur 200.1 zu kommen

Kannst Du das DDWRT-Teil nicht einfach als AP betreiben und der Wechselrichter verbindet sich mit dem?

Nein, das geht nur über den unzuverlässigen Dongel

bitte ssh. kein telnet. schon garnicht, wenn potententiell nicht vertrauenswuerdige Geraete in deinem nnetz sind
zeig doch mal die routing table

per ssh sagte er connection refused. In den Einstellungen finde ich kein sshd.
Es ist auch DD-WRT 2.4-sp2 micro. Ich weiß nicht, ob es für den Router (Siemens SE505) eine neuere Firmware gibt.
edit: gibt es nicht.

vermutlich reicht das da:
/etc/sysctl.conf oeffnen
untenn diese zeile hinzufuegen: net.ipv4.ip_forward=1

vorher und hinterher mal sysctl net.ipv4.ip_forward aufrufen, dann siehst du ob die einstelllung gesetzt ist / gesetzt wurde

Ich kann keinen Editor finden. Ist keiner vorinstalliert?
Wie installiere ich einen?

Die Routing-Tabelle:

==========================================================

 ____  ___    __        ______ _____         ____  _  _
 | _ \| _ \   \ \      / /  _ \_   _| __   _|___ \| || |
 || | || ||____\ \ /\ / /| |_) || |   \ \ / / __) | || |_
 ||_| ||_||_____\ V  V / |  _ < | |    \ V / / __/|__   _|
 |___/|___/      \_/\_/  |_| \_\|_|     \_/ |_____|  |_|

                       DD-WRT v24-sp2
                   http://www.dd-wrt.com

==========================================================


BusyBox v1.13.4 (2009-11-02 13:10:10 CET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

\u@\h:\w\$ iptables -S
\u@\h:\w\$ iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp dpt:webcache
DROP       tcp  --  anywhere             anywhere            tcp dpt:www
DROP       tcp  --  anywhere             anywhere            tcp dpt:https
DROP       tcp  --  anywhere             anywhere            tcp dpt:69
DROP       tcp  --  anywhere             anywhere            tcp dpt:telnet
DROP       tcp  --  anywhere             anywhere            tcp dpt:telnet

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     gre  --  192.168.177.0/24     anywhere
ACCEPT     tcp  --  192.168.177.0/24     anywhere            tcp dpt:1723
ACCEPT     0    --  anywhere             anywhere
logdrop    0    --  anywhere             anywhere            state INVALID
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
lan2wan    0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
TRIGGER    0    --  anywhere             anywhere            TRIGGER type:in match:0 relate:0
trigger_out  0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere            state NEW
DROP       0    --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain advgrp_1 (0 references)
target     prot opt source               destination

Chain advgrp_10 (0 references)
target     prot opt source               destination

Chain advgrp_2 (0 references)
target     prot opt source               destination

Chain advgrp_3 (0 references)
target     prot opt source               destination

Chain advgrp_4 (0 references)
target     prot opt source               destination

Chain advgrp_5 (0 references)
target     prot opt source               destination

Chain advgrp_6 (0 references)
target     prot opt source               destination

Chain advgrp_7 (0 references)
target     prot opt source               destination

Chain advgrp_8 (0 references)
target     prot opt source               destination

Chain advgrp_9 (0 references)
target     prot opt source               destination

Chain grp_1 (0 references)
target     prot opt source               destination

Chain grp_10 (0 references)
target     prot opt source               destination

Chain grp_2 (0 references)
target     prot opt source               destination

Chain grp_3 (0 references)
target     prot opt source               destination

Chain grp_4 (0 references)
target     prot opt source               destination

Chain grp_5 (0 references)
target     prot opt source               destination

Chain grp_6 (0 references)
target     prot opt source               destination

Chain grp_7 (0 references)
target     prot opt source               destination

Chain grp_8 (0 references)
target     prot opt source               destination

Chain grp_9 (0 references)
target     prot opt source               destination

Chain lan2wan (1 references)
target     prot opt source               destination

Chain logaccept (0 references)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere

Chain logdrop (1 references)
target     prot opt source               destination
DROP       0    --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            tcp reject-with tcp-reset

Chain trigger_out (1 references)
target     prot opt source               destination

Gruß,
Hendrik

 

[madmax2010]

Das ist die Firewall config..
Editor ist nano, vim, vi
Sonst halt einen davon installieren
Geht sonst bestimmt auch in der Web ui

 

[BFF]

es für den Router (Siemens SE505) eine neuere Firmware gibt.

Besorg Dir für kleines Geld einen gebrauchten Router der mit neuen DD-WRT oder OpenWRT zu flashen ist oder von sich aus den BrigdeModus unterstützt.

@madmax2010

Wenn die Firmware die Micro ist, passt da überhaupt noch mehr auf das olle Siemensteil?

 

[henfri]

nano, vim, vi

Die sind alle nicht installiert.

Ich kaufe neue Hardware, wenn nötig. Aber wenn die alte funktioniert, warum nicht...
Fehlt doch nur noch das Routing.

 

[henfri]

Hallo,

so, ich hab jetzt einen neuen openwrt-router hier.
Den Router habe ich mit dem vom Wechselrichter aufgespannten Wlan verbunden. OpenWRT bekommt auch die erwartete IP.
Nmap findet auch den Modbus Port offen:

 nmap -sS -O -p6607 192.168.200.1
Starting Nmap 7.91 ( https://nmap.org ) at 2023-05-22 19:49 UTC
Nmap scan report for 192.168.200.1
Host is up (0.0016s latency).

PORT     STATE SERVICE
6607/tcp open  unknown

Auf meinem Linux-Rechner klappt auch ein Traceroute zu der IP. Ping hingegen nicht:

traceroute to 192.168.200.1 (192.168.200.1), 30 hops max, 60 byte packets
 1  fritz.box (192.168.177.1)  0.388 ms  0.684 ms  0.830 ms
 2  192.168.177.2 (192.168.177.2)  1.312 ms  1.459 ms  1.604 ms
 3  192.168.177.2 (192.168.177.2)  1.868 ms  2.033 ms  2.202 ms

ping 192.168.200.1
PING 192.168.200.1 (192.168.200.1) 56(84) bytes of data.
From 192.168.177.1: icmp_seq=1 Redirect Host(New nexthop: 192.168.177.2)
From 192.168.177.2 icmp_seq=1 Destination Port Unreachable
From 192.168.177.2 icmp_seq=2 Destination Port Unreachable
From 192.168.177.2 icmp_seq=3 Destination Port Unreachable

Nmap auf dem Linux Server sagt:

nmap -sS -O -p6607 192.168.200.1
Starting Nmap 7.93SVN ( https://nmap.org ) at 2023-05-22 21:58 CEST
Nmap scan report for 192.168.200.1
Host is up (0.00086s latency).

PORT     STATE  SERVICE
6607/tcp closed unknown

Also irgendetwas funktioniert da mit der Verbindung der zwei Netze noch nicht.
Forwarding ist aber aktiv:

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Hier noch aus den Einstellungen:

In meinem Router (Fritzbox) gibt es auch eine statische route von 177 nach 200.

Wo kann der Fehler noch sein?

Edit: Aus der Anleitung (link):

After setting up your WLAN device in 'client mode', you need to either add a DNAT firewall rule on the WLAN bridge to direct all incoming traffic on port 6607 to the inverter IP (192.168.200.1) on port 6607, or add a static route on your home network router to 192.168.200.0/24 via that WLAN bridge. Otherwise the devices in your network won't know how to reach the inverter subnet.

Das habe ich sogar beides.

config zone
option input 'ACCEPT'
option name 'sun'
option output 'ACCEPT'
option forward 'ACCEPT'
option masq '1'
option network 'wlan'

config redirect
option name 'SUN2000'
option target 'DNAT'
option src 'lan'
option src_dport '6607'
option dest 'sun'
option dest_ip '192.168.200.1'
option dest_port '6607'
list proto 'tcp'

Edit2: Im log von openwrt finde ich:

daemon.warn dnsmasq[1]: possible DNS-rebind attack detected: wpad.fritz.box

Kann es damit zusammehängen

Gruß,
Hendrik