Openwrt getrennte Netzwerke

[winky_de]

Hallo,

ich habe schon viel gelesen aber momme leider nicht wirklich weiter. Vielleicht wird mir hier ja geholfen.
Mein Vorhaben ist es einen TP Link Openwrt Router an mein Lan Netzwerk zu hängen der ein eigenes Wlan für eine Ferienwohnung später mit VPN aufbaut. Soweit so gut. Openwrt habe ich erfolgreich geflasht. Wrt Router hängt über WAN Anschluss an meinem Hausrouter. Für WAN ist eine feste IP vergeben (192.168.0.13). Die LAN Schnittstelle des Wrt Router ist mit 192,168.44.1 konfiguriert. Es funktioniert soweit auch alles. Internet am Wrt Router ist vorhanden, Wlan Netz wird aufgebaut und ich kann mich auch im Wlan vom Wrt Router anmelden. Ich bekomme dann auch eine IP (192.168.44.160). Mein Problem ist jetzt jedoch, dass ich über den Wrt Router immer noch auf meine Geräte im Heimnetz zugreifen kann. Wie bekomme ich den jetzt zwei voneinander getrennte Netze hin. Ist wahrscheinlich völlig einfach, aber ich komme irgendwie nicht weiter. Vielleicht kann mir ja jemand helfen.

 

[chrigu]

Wan trennt nur das zweite Netzwerk vom ersten ab. Also hauptrouter-Netzwerk sieht nicht das Netzwerk des wan-routers. Aber du bist mit dem hauptnetzwerk verbunden. Du müsstest am hauptrouter den gastlan Anschluss benutzen um beide Netze physisch zu trennen oder ein vlan fähigen hauptrouter kaufen, oder beide Router untereinander tauschen, soweit ich weiss sollte openwrt und vlan möglich sein

 

[Luftgucker]

Eine Lösung habe ich nicht. Alternativ könntest du das Gast-Wlan deines Routers nutzen, oder eine VLan-Lösung wäre auch eine Möglichkeit.
Ansonsten gilt: Router verbinden Netze, Firewalls trennen Netze.

 

[Raijin]

Mein Problem ist jetzt jedoch, dass ich über den Wrt Router immer noch auf meine Geräte im Heimnetz zugreifen kann.

Das ist auch nachvollziehbar. Du hast eine Routerkaskade gebaut und die blockiert nur in einer Richtung, und zwar vom WAN-Port zum LAN-Port bzw. WLAN. Andersherum ist die Firewall offen, weil das in Richtung Internet ist, das will man ja.

Ich habe lange kein OpenWRT mehr in den Fingern gehabt, daher kann ich nur Hinweise geben:

Netzwerk --> Firewall --> Destination IP = 192.168.0.0 /24 --> block/deny/drop

Damit blockt die Firewall alle Verbindungen, die als Ziel eine IP-Adresse aus deinem Hauptnetz haben. Kann sein, dass da irgendwo noch ein Menüpunkt dazwischen ist, aber ich denke mit den Stichworten solltest du dich zurechtfinden. Wenn nicht, war OpenWRT vielleicht keine so gute Idee.......


Wenn dein Internetrouter eine Gastfunktion hat und das Gastnetzwerk über einen LAN-Port ausgeben kann, wäre keine Konfiguration in OpenWRT notwendig, da die Firewall des Routers bereits Haupt- und Gastnetzwerk trennt.

 

[deveth0]

Genau was Raijin sagt. Alternativ kannst du auch die Route, die für das 192.168.0.0/24 Netz im OpenWRT zuständig ist löschen, Firewall ist aber sauberer und später, wenn VPN kommt, eh anzuraten, da du dann auch direkt noch den direkten Internet Zugriff blocken kannst und nur die IP vom VPN zulassen kannst.

 

[winky_de]

So vielleicht noch ein wenig Hintergrundinfos. Ich lasse das im Moment über einen kostenpflichtigen Hotspot Betreiber laufen, was auch gut funktioniert aber halt auch kostet. Der Hotspot Betreiber stellt eine Software für den TP Link bereit welche auch auf Openwrt beruht. Die Oberfläche ist aber für den Betreiber angepasst. Deshalb war meine Idee dieses selber aufzubauen und über meinen VPN Dienst laufen zu lassen den ich ja ebenfalls bezahle. Im Prinzip müsste das doch funktionieren.
Bei meine Hotspot steht z.B. folgendes: "Hotspot Clients können defaultmäßig nicht auf lokale Netze oder das WAN-seitige Subnetz zugreifen"
Das sollte mein Problem beim Openwrt wohl sein. Das müsste ich doch auch irgendwie einstellen können, oder?

 

[deveth0]

Ja, das ist ja das, war die Firewall oder Route machen würde.
Blockieren, dass man aus dem OpenWrt IP Bereich auf deinen normalen kommt.

 

[chrigu]

VPN Dienst den du bezahlst? Ich ahne schlimmes

 

[winky_de]

VPN Dienst den du bezahlst? Ich ahne schlimmes

Was meinst Du damit?

 

[chrigu]

bitte dies durchlesen
https://gist.github.com/joepie91/5a9909939e6ce7d09e29

 

[deveth0]

Naja, das gist geistert ja immer wieder mal rum, deckt den Fall hier aber nicht wirklich ab.

Im gist geht es um Sicherheit, Verschleierung der Herkunft usw, da stimme ich zu.

In diesem Fall hier geht es aber nur darum, den Traffic der Gäste irgendwie zu trennen und ggf nachweisen zu können, dass illegale Dinge nicht vom TE verbrochen wurden. Und da sehe ich schon, dass das VPN hilft, da man dann auf jedenfall erstmal nach außen eine andere IP hat.

 

[chrigu]

Auch in diesem Szenario macht es keinen Sinn. Sinn, einen VPN Dienst zu abonnieren macht nur geolocation, um gesperrte Länderinhalte bei Streaming zu sehen. Wobei das nächstens in der EU abgeschafft wird.

 

[deveth0]

Dann erklär mir mal bitte, warum es keinen Sinn macht ...

 

[winky_de]

Gelesen und macht nachdenklich. In erster Linie habe ich den VPN für Geoblocking. Sky und Netflix im Urlaub etc.
Da ich früher den Gastzugang für die Ferienwohnung genutzt habe und da leider schlechte Erfahrungen gemacht habe mit Abmahnung etc. habe ich mich dann für einen kostenpflichtigen Hotspot entschieden, der ja eigentlich auch nichts anderes macht als VPN Routing. Und warum soll ich jetzt für zwei VPN Dienste bezahlen wenn einer reichen würde. Der Hotspot Betreiber wirbt natürlich auch damit das man dann sicher ist.

 

[kamanu]

Gelesen und macht nachdenklich. In erster Linie habe ich den VPN für Geoblocking. Sky und Netflix im Urlaub etc.
Da ich früher den Gastzugang für die Ferienwohnung genutzt habe und da leider schlechte Erfahrungen gemacht habe mit Abmahnung etc. habe ich mich dann für einen kostenpflichtigen Hotspot entschieden, der ja eigentlich auch nichts anderes macht als VPN Routing. Und warum soll ich jetzt für zwei VPN Dienste bezahlen wenn einer reichen würde. Der Hotspot Betreiber wirbt natürlich auch damit das man dann sicher ist.

Wann früher? Weil mittlerweile solltest du da eigentlich ausm Schneider sein.

 

[deveth0]

Das Problem bei der Änderung ist, dass man im Zweifel trotzdem besser da steht, wenn man nachweisen kann, dass man es selbst nicht war sondern der Gast.
Sprich, eine extra externe IP hat schon 1-2 Vorteile.

https://www.ferienwohnungen.de/blog/wlan-im-ferienobjekt-stoererhaftung-endgueltig-gekippt/

 

[chrigu]

Beim Hotspot ist es Sache des Betreibers (störerhaftung) und nicht deine. Wobei sich in der letzten Jahren auch die störerhaftung entschieden geändert hat.

@deveth0 wenn der VPN Dienstleister wegen illegalem angezeigt wird, wird er (a) sämtliche Kosten übernehmen? Oder (b) die ip des User verraten? Denn genau dieser passus ist zu 99,99% in den agb des VPN Dienstleister zu finden.

Zudem reicht es, wenn der Mieter ein Zettel unterschreibt mit „sämtliche illegale Aktivitäten werden bei Anzeige dem Mieter weitergegeben„

 

[deveth0]

Aber das ist ja wunderbar so (also wenn der VPN Dienstleister die original IP herausgibt), dann ist klar, dass der Verstoß über's VPN (=> Ferienwohnung) erfolgt ist und der TE ist aus der Sache raus, weil er ja weiß, wer zu dem Zeitpunkt die Ferienwohnung gemietet hat.

Man darf nur halt nicht den gleichen VPN Zugang noch parallel selbst nutzen, dann kann man es direkt sein lassen.

Am Ende geht es ja wirklich nicht mehr darum, sich unsichtbar zu machen sondern nur, eine klare Trennung nach außen zu haben, über die man sich dann absichern kann.

 

[chrigu]

Die Orginal ip ist aber die der Ferienwohnung der auf den Vermieter lautet. Ich sehe keinen Vorteil

 

[deveth0]

Ja, in der Abmahnung wird dann aber auf jedenfall auch die VPN IP, die nur die Gäste nutzen, angegeben.