Isolation

[bart1983]

Hallo,

habe eine Fritzbox, dahinter einen OpenWRT Router. Der OpenWRT-Router ist mit der Fritzbox via LAN verbunden (Fritzbox LAN3-Buchse -> OpenWRT: Ethernetbuchse)

Am OpenWRT-Router hängt ein Gerät das via Internet zugreifbar sein soll, aber nicht auf die Geräte an der Fritzbox angeschlossen sind zugreifen soll.
Wie kann ich das verhindern das Geräte am OpenWRT die Geräte an der Fritzbox sehen können?

Fritzbox hat eigenen IP-Range (...178.x) und die Geräte am OpenWRT auch (...1.x), dennoch geht das pingen, weil die Router natürlich verbunden sind und "routen" .

Zugreifbar aus dem Internet habe ich das Gerät wie folgt gemacht:
Public IPv4 Adresse -> Portforwarding in der Fritzbox auf den OpenWRT -> Portforwarding im OpenWRT auf die IP des Gerätes.

Ich kann andere Geräte durch VLANs im OpenWRT von einander isolieren, aber dennoch kann ich die FB-Geräte anpingen.
geht das überhaupt das ich von OpenWRT aus Zugriff auf Geräte an einem anderen Router isoliere?

 

[Bagbag]

Das einfachste wäre hier, wenn du in der FB den Gast-Port aktivierst. Dabei kommt eine Buchse dann ins Gastnetz, analog zum WLAN.

 

[Nilson]

Aktiviere das Gast-Lan der GB auf LAN4 und häng da den OpenWRT dran.
Ich kenn OpenWRT nicht gut genug, aber es gibt wohl ein Support für ACLs:
https://openwrt.org/packages/pkgdata/acl
Damit lässt sich der OpenWRT ggf. so einstellen, dass der nur Paket zu bzw. von der FB zulässt.

 

[BFF]

Aus dem Internet über das FritzGastNetz dann ein OpenWRT-Router und dann ein auf ein Geraet?

Geht das mit dem Fritzgastnetz überhaupt?
Sorry das ich frage, aber Fritzboxen hab ich ewig nicht mehr in den Fingern gehabt.

 

[Nilson]

Stimmt hast recht, nicht zuende gedacht ...

 

[prian]

Wäre es dann nicht sinnvoller, das Gerät gleich im Gastnetz der FB zu platzieren?
Dann wäre der OpenWRT Router doch überflüssig, oder übersehe ich da was?

 

[BFF]

Das der TE aus dem Internet da drauf will. @prian

Am OpenWRT-Router hängt ein Gerät das via Internet zugreifbar sein soll, aber nicht auf die Geräte an der Fritzbox angeschlossen sind zugreifen soll.

Kommt man den überhaupt aus dem Internet auf das Gastnetz?

 

[gaym0r]

Ja, man kommt aus dem Internet auf das Gast-Netz.

Auf der FB NAT aus dem Internet auf die IP-Adresse des OpenWRT-Routers (im Gast-Netz) einrichten. Auf dem OpenWRT Router ein NAT auf das Endgerät.

 

[prian]

Das der TE aus dem Internet da drauf will. @prian

Verd....., das hatte ich übersehen!

Aber wenn man den Ausführungen von @gaym0r folgt, dann müsste das doch auch am LAN-Port des Gästenetzes möglich sein, oder nicht?
Ob da jetzt ein Router dahinter hängt oder ein Gerät, wenn ich ins Gästenetz komme, ist doch egal.

 

[bart1983]

Man kann leider keine Portfreigabe auf das Gastnetz der FB machen.
Hatte ich probiert, deshalb der Umweg über den OpenWRT Router.

@Nilson Interessant. Werde ich Morgen mal testen.

 

[gaym0r]

Man kann leider keine Portfreigabe auf das Gastnetz der FB machen.

Du hast recht. Ich hatte vor meinem Post folgenden Thread gefunden: https://www.ip-phone-forum.de/threads/fritzbox-portweiterleitung-in-gastnetz.263708/

Dort stand mehrfach, dass es geht - hätte aber mal weiterlesen sollen. Inzwischen wurde es rausgepatcht von AVM.
Sorry für die Falschinformationen. Dann doch über die ACLs wie oben angemerkt.

 

[bart1983]

Dort stand mehrfach, dass es geht - hätte aber mal weiterlesen sollen

Kein Problem, deshalb gibt es ja Threads
Schade das AVM was rausgepatcht hat.

 

[ookee]

Ich kenn OpenWRT nicht gut genug, aber es gibt wohl ein Support für ACLs:
https://openwrt.org/packages/pkgdata/acl

Das Paket beinhaltet Tools zur Konfiguration von Dateisystem-ACLs, das hilft hier also nicht weiter.

Was aber prinzipiell funktionieren sollte, wäre eine Firewall-Regel auf dem OpenWrt-Router, die das Forwarding von Paketen aus der LAN-Zone zu IP-Adressen aus dem Subnetz der Fritzbox in der WAN-Zone verbietet.

Für IPv4 sähe eine entsprechende Regel in /etc/config/firewall so aus (ist aber natürlich auch über das Webinterface konfigurierbar):

config rule
    option src 'lan'
    option dest 'wan'
    option dest_ip '192.168.178.0/24'
    option proto 'all'
    option target 'REJECT'

Für IPv6 wäre es prinzipiell so ähnlich möglich. Aber da vermutlich das Präfix dynamisch ist, wird man wohl ein Hotplug-Script brauchen, das eine Regel mit dem passenden Präfix anlegt.

 

[xxMuahdibxx]

Wieso so umständlich?

Wieso ist "der Gerät" was alleine "offen" ins Internet soll hinter dem 2. Router..

Besser wäre die Routerkaskade mit

Internet..... Router für "der Gerät"... Router fürs Heimnetz über WAN Port rein...

Damit kann "der Gerät" das Heimnetz nicht sehen aber alles hat Zugriff aufs Internet.

 

[Incanus]

Das wäre die eigentlich logische Reihenfolge, aber vermutlich wird das Modem der FRITZ!Box verwendet und weitere Funktionen von ihr, die den direkten Internetanschluss bedingen.

 

[bart1983]

Wieso ist "der Gerät" was alleine "offen" ins Internet soll hinter dem 2. Router..

Besser wäre die Routerkaskade mit

Internet..... Router für "der Gerät"... Router fürs Heimnetz über WAN Port rein...

Damit kann "der Gerät" das Heimnetz nicht sehen aber alles hat Zugriff aufs Internet.

Ich habe kein reines Modem, sondern diese Kabel-Fritzbox dient als Modem, VPN Zugang (Wireguard), Telefonanlage, Medienstreamer, Wifi6-AP und Meshmaster. Der OpenWRT ist dagegen nur ein alter TP-Link.

Die FB muss also leider das erste Gerät in der Kaskade sein.

 

[Raijin]

Das, was @ookee beschreibt, müsste auch über Luci, die OpenWRT-GUI, funktionieren:

1. select Network->Firewall
2. select Traffic Rules
3. scroll down to New Forward Rule
4. select Add and edit
5. change source zone to LAN , destination zone to WAN and set the destination address to "AAA.BBB. CCC. DDD" and action to reject.
6. save and apply the changes

Quelle: openwrt.org

In deinem Falle müsstest du das Subnetz der Fritzbox eingeben, also 192.168.178.0/24.

IPv6 könnte man in OpenWRT auch einfach deaktivieren, sofern nicht explizit benötigt. Das spart etwaiges Gefummel mit der IPv6-Firewall.

 

[ookee]

Die Anleitung von @Raijin passt soweit. Zusätzlich sollte aber noch das Protokoll auf "any" umgestellt werden. Standardmäßig würde die Regel nämlich nur für TCP und UDP gelten.

 

[bart1983]

Danke euch.
Weil ich selbst Threads hasse, in denen man nie weiß ob die geposteten Lösungsvorschläge funktioniert haben, hier die Rückmeldung:
Es funktioniert. Weder pingen, noch der Versuch auf SMB/Freigaben in diesem Netzsegment zu kommen funktioniert mit dieser Regel. Also genau wie es sein soll.

So ist die Regel in OpenWRT angelegt:

Ist eigentlich logisch und simpel. Zugriff auf das Internet funktioniert auch weiterhin.

Es ist interessant das man aber immer noch mit der IP der Fritzbox über einen Browser auf die Fritzbox GUI kommt.
Das ist jetzt nicht tragisch, da ich ein sehr sicheres Kennwort für die lokale GUI-Anmeldung verwende.
Hatte mich als Laie jetzt nur gewundert, dachte das würde auch unter "any" protocoll fallen.

Nur aus reiner Neugier: könnte man das auch blockieren?

-> Router & Client mussten nur neugestartet werden.

 

[Raijin]

Es ist interessant das man aber immer noch mit der IP der Fritzbox über einen Browser auf die Fritzbox GUI kommt.

Du meinst mit der 192.168.178.1? Das wundert mich in der Tat auch...

Oder meinst du womöglich die WAN-IP bzw. eine DDNS-Domain (die auf die WAN-IP zeigt)? Das wäre natürlich etwas anderes, weil die WAN-IP der Fritzbox aus Sicht des OpenWRT-Routers eine stinknormale IP im www ist.

Nur aus reiner Neugier: könnte man das auch blockieren?

Sicherlich. Aber dazu müsste man jetzt im Detail gucken was wie wo da gerade passiert. Heißt also im worst case WireShark bzw. tcpdump, aber das kann recht mühselig werden, wenn man sich nicht damit auskennt, und aus der Ferne zu helfen, macht es auch nicht unbedingt einfacher