DD-WRT Gast-WLAN erstellen (2. SSID)

[ChavezD]

Hallo mal wieder,

Ich habe vor mir ein Gast Wlan zu erstellen, welches nur Zugriff auf das Internet hat, jedoch nicht lokal.

Vorgeschichte:
-Netgear WNDR4000 mit DD-WRT 21676 (Broadcom)
-Eigenes Subnet dank eurer Hilfe erfolgreich erstellt (per WAN an Fritzbox)
-Im "normalen"Netz funktioniert alles

Habe nun unter Wireless Basic Settings ein "Virtual Interfaces wl0.1 SSID [BLA]" erstellt und hatte auch zwischenzeitig Internetzugriff darauf, jedoch ohne dass dieses VWLAN von meinem eigenen getrennt ist.
Als Verschlüsselung kommt beide male WPA2 Personal zum Einsatz.

Ich bin nach dieser Anleitung unter GUI Method vorgegangen und habe alles wie beschrieben und bebildert erledigt.

Kurzer Überblick:
Local IP: 192.168.1.1
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.1 (Ip der Fritzbox)
DHCP Type: Server
DNS Server: 8.8.8.8, 8.8.4.4, 192.168.178.1
Advanced Routing: Gateway
wl0: AP, N-Only, Kanal 1, 20MHz
wl0.1: Wireless SSID Broadcast aktiviert, AP Isolation Aus, Network Config: Bridged
wl1: N-Only(5GHz), Kanal 44, 40MHz, lower


Mein Problem: Wenn ich mich Verbinde, bekomme ich nur eingeschränkten Zugriff (gut oder schlecht?!), aber habe kein Internetzugang.. Bevor ich unter "Separating the WLAN's" Die schritte durchgeführt habe, klappte es ohne Probleme.
IpConfig spuckt aus:

Ich könnte mir vorstellen, dass es etwas mit dem DNS zu tun hat, jedoch kam ich auch durch Googlen nicht so recht auf die Sprünge.. Hoffe jemand der Ahnung von DD-WRT oder generell Netzwerken hat kann mir da weiterhelfen. Danke schonmal

 

[smuper]

Hast du "Restricting Access" komplett in die Firewall Regeln eingetragen?

 

[ChavezD]

Ach, ist diese Anleitung so zu verstehen, dass man entweder die GUI oder die Commands Method wählt, und dann am Ende (für Beide!) noch Restricting Acces eingeben muss?
Brauche ich dann wirklich alle Befehle davon, oder muss ich mir nur die Aussuchen die ich brauche? Bin gerade unterwegs und kann es schlecht prüfen

 

[smuper]

Aus der Anleitung:

On current builds (>17000) you will not be able to browse the internet until you add appropriate iptables commands later in the guide.

Diese sind zum Betrieb und für getrennte Netze notwendig:


iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT

Lies es dir aber selber durch, die Funktion jeder Zeile wird ja erklärt.

 

[ChavezD]

Super, Danke für die Hilfe, klappt alles soweit!
Hätte da jetzt noch eine Frage: Habe während einieger Sucherei im Internet folgendes (Skript?) gefunden:

iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT
TCA="tc class add dev br1"
TFA="tc filter add dev br1"
TQA="tc qdisc add dev br1"
SFQ="sfq perturb 10"
tc qdisc del dev br1 root
tc qdisc add dev br1 root handle 1: htb
tc class add dev br1 parent 1: classid 1:1 htb rate 1024kbit
$TQA parent 1:1 handle 10: $SFQ
$TFA parent 1:0 prio 2 protocol ip handle 10 fw flowid 1:1
iptables -t mangle -A POSTROUTING -d 192.168.100.0/24 -j MARK --set-mark 10
TCAU="tc class add dev imq0"
TFAU="tc filter add dev imq0"
TQAU="tc qdisc add dev imq0"
insmod imq
insmod ipt_IMQ
ip link set imq0 up
tc qdisc del dev imq0 root
tc qdisc add dev imq0 root handle 1: htb
tc class add dev imq0 parent 1: classid 1:1 htb rate 512kbit
$TQAU parent 1:1 handle 10: $SFQ
$TFAU parent 1:0 prio 2 protocol ip handle 10 fw flowid 1:1
iptables -t mangle -A PREROUTING -s 192.168.100.0/24 -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -j IMQ --todev 0

Damit soll es möglich sein, auf das Gast Wlan auf 1 mbit/s zu begrezen. Wenn ich den Code allerdings austausche und speicher, habe ich auf dem Gast-Wlan keinen Zugang zum Internet oder sonst etwas.. alles andere funktioniert (meine ich...)
Gibt es nun die Möglichkeit, das ich mit der von dir geposteten Fassung das WLAN auch begrenzen kann?
Ich würde es mir ja selbst heraussuchen, jedoch kann ich weder programmieren noch sind meine englisch/+Netzwerk fachbegriffe dafür ausreichend auch nur annährend zu verstehen, was dort vor sich geht

 

[smuper]

Das kommt aus einem Generator, richtig?

Möglich ist es auf jeden Fall, aber da bin ich auch raus. Warum bist du im 100er? (192.168.100.0)

 

[ChavezD]

Nicht direkt, das hat ein User im DD-WRT Forum gepostet; ich weiß nicht ob ich hier den Link posten darf?

Ich sehe gerade, dass dabei stand, dass er es auf einem 2. Router als WAP betreibt.. Dann dürfte es ja nochmal etwas anderes sein, als für mich mit Zugang über WAN?

Mist, auf die IP habe ich gar nicht erst geachtet, da zuvor auch immer alles ohne lief... *erst lesen dann machen*
Später versuche ich nochmal die Ip auf meine anzupassen, danke für den Hinweis! auch wenn ich bezweifle, dass es dadurch klappt

(Wo) gibt es denn solche Generatoren?