OpenWRT hinter meiner FritzBox

[thegustavo]

Hallo liebes Forum,

ich habe noch eine verstaubte FritzBox 7360SL und diese inzwischen mit OpenWRT geflashed. Funktioniert prima, nur das Übernehmen der Einstellungen ist etwas langsam. Naja, meckern auf hohem Niveau

Mein Ziel ist es, die 7360SL hinter meine 7590 zu klemmen, als Router-Kaskade.

Ich bastel gerne herum, auch wenn mir in Teilen offensichtlich (Basis-)Wissen fehlt. Das kann man sich ja vielleicht mit so einem Gebastel aneignen; oder es zumindest versuchen.

Mein bis jetzt umgesetzter Aufbau:

1. IP-Bereich der 7590: 192.168.178.0/24 (sie selber hat die 192.168.178.1)
2. IP-Bereich der 7360SL: 192.168.50.0/24 (sie selber hat die 192.168.50.1)
3. WAN-Port der 7360SL per Netzwerkkabel mit einem LAN-Port der 7590 verbunden
4. Im OpenWRT der 7360SL die Firewall freigeschaltet - damit die Grundfunktionalität erstmal gegeben ist
5. Im OpenWRT der 7360SL dem WAN-Port die feste IP 192.168.178.3 zugewiesen
6. In der 7590 eine Netzwerkroute 192.168.50.0/24 mit dem Gateway 192.168.178.3 eingerichtet
7. In der 7360SL eine Netzwerkroute 192.168.178.0/24 mit dem Gateway 192.168.178.3 eingerichtet

Mein Linux-Mint-PC hängt nun an der 7360SL und bekommt dort auch über DHCP eine IP zugewiesen, seltsamerweise aber die 192.168.50.227 und nicht, wie Screenshot ersichtlich, aus dem in der 7360SL definierten DHCP-Bereich (192.168.50.100-150).

Zuerst fehlt aber grundsätzlich der Zugriff auf's Internet von meinem Linux-Mint-PC. Ich komme also irgendwie nicht über die 7360SL hinaus (siehe traceroute). Ich komme auch auf nicht auf meinen pihole (192.168.178.45). Auch sehe ich die 7360SL nicht in meiner 7590 unter "Aktive Verbindungen"; ich sehe sie nirgends.

Also habe ich grundsätzlich einen Fehler gemacht haben. Ob Ihr mich hier unterstützen könnt? Das wäre großartig. Vielen Dank für Euren Input. Und bitte nicht böse sein über doofe Fragen oder dämlich umgesetzte Einstellungen - ich bastel halt einfach gerne

 

[chrigu]

Du musst in beiden Boxen die jeweilige routen eintragen. Und den standardgateway auf die Haupt Box legen

 

[riversource]

Erste Frage: Arbeitet die OpenWRT Box als NAT Router oder routet sie vollwertig? Bei einem NAT Router brauchst du keine Subnetz Routen.

In der 7360SL eine Netzwerkroute 192.168.178.0/24 mit dem Gateway 192.168.178.3 eingerichtet

Da muss kein Gateway rein. Die OpenWRT Box hat eine Subnetz Route allein schon deshalb, weil die eine Adresse in dem Subnetz hat. Ansonsten ist das für sie ein lokales Netzwerk.

Dafür fehlt der OpenWRT Box offensichtlich eine Default Route, also auf 0.0.0.0/0 mit Gateway 192.168.178.1.

Wie ist das DNS Setup für alle Beteiligten?

Generell wundere ich mich, warum du so viel mit statischen Routen und Adressen arbeitest. Lass die OpenWRT einfach eine Adresse per DHCP von der Fritzbox ziehen, und die Endgeräte an der OpenWRT bekommen eine Adresse per DHCP von OpenWRT. Dann sind DNS und Routensetup schon mal richtig. Da geht im Moment bei dir nämlich einiges schief.

 

[FISI_John]

1. Im OpenWRT der 7360SL dem WAN-Port die feste IP 192.168.178.3 zugewiesen
2. In der 7590 eine Netzwerkroute 192.168.50.0/24 mit dem Gateway 192.168.178.3 eingerichtet

Du hast als Gateway für die Route vom Quellnetz 192.168.178.0 in das Zielnetz 192.168.50.0 die WAN-Port Adresse des Zielnetzes angegeben. Das kann nicht funktionieren da das gewählte Gateway nicht Teil des Subnetzes 192.168.178.0 ist. Auf diese Weise gibt es keine Autorität die das Netz 192.168.50.0 kennt und demzufolge wird es nicht gesehen und es kann auch keine Kommunikation stattfinden.

Wenn dann müsste die Route auf dem 7590 so lauten:
Quelle 192.168.178.0
Ziel 192.168.50.0
Gateway 192.168.178.1

 

[riversource]

Sorry, aber ich habe selten einen größeren Unsinn gelesen. Das ganze ist komplett hanebüchen und hat auch mit dem Problem nichts zu tun, aber nur, um die Widersprüche mal aufzuzeigen:

Das kann nicht funktionieren da das gewählte Gateway nicht Teil des Subnetzes 192.168.178.0 ist.

Doch, 192.168.178.3 ist Teil des Subnetzes 192.168.178.0/24.

Wenn dann müsste die Route auf dem 7590 so lauten:
Quelle 192.168.178.0
Ziel 192.168.50.0
Gateway 192.168.178.1

Wofür sollte man denn eine Route auf der Fritzbox anlegen, wenn der Router auf dem Weg ins Zielnetz die Fritzbox selber ist? Das macht doch überhaupt keinen Sinn. Das Gateway in ein anderes Subnetz muss natürlich der Router sein, der Zugriff auf beide Netze hat, und das ist in dem Fall die OpenWRT Box. Wenn also die OpenWRT Box vollwertig routet, dann wäre diese Route wie angegeben genau richtig.
Ich hab auch noch nie eine "Quelle" bei einer Route gesehen.

Meine Sorge ist allerdings, dass die OpenWRT als NAT Router arbeitet. Und dann ist die Route Unsinn und wird nichts bringen.

 

[thegustavo]

Erste Frage: Arbeitet die OpenWRT Box als NAT Router oder routet sie vollwertig? Bei einem NAT Router brauchst du keine Subnetz Routen.

Wenn ich ehrlich bin, kann ich Dir das nicht sagen Da endet mein Wissen als Baselt-Onkel. Wie kann ich das prüfen?

Dafür fehlt der OpenWRT Box offensichtlich eine Default Route, also auf 0.0.0.0/0 mit Gateway 192.168.178.1.

Habe ich geändert. Das muss auf die Schnittstelle "wan" eingerichtet werden, richtig?

Wie ist das DNS Setup für alle Beteiligten?

Der Plan ist, dass mein pihole der DNS-Server ist. So ist das auch in der 7590 eingetragen: Sie selbst benutzt den pihole (192.168.178.45) als DNS und gibt ihn als DNS-Server an alle Kisten im Netzwerk weiter. Das funktioniert auch bisher prima.

Generell wundere ich mich, warum du so viel mit statischen Routen und Adressen arbeitest. Lass die OpenWRT einfach eine Adresse per DHCP von der Fritzbox ziehen, und die Endgeräte an der OpenWRT bekommen eine Adresse per DHCP von OpenWRT. Dann sind DNS und Routensetup schon mal richtig. Da geht im Moment bei dir nämlich einiges schief.

Ok - habe ich jetzt genauso eingestellt. Die 7360SL bekommt aber keine IP-Adresse von der 7590... . Und solange die 7360SL keine IP-Adresse bekommt, kann ich auch keine brauchbare Route in die 7590 eintragen. Also habe ich die Route in der 7590 wieder gelöscht. Weiterhin keine IP-Adresse an der 7360SL von der 7590.

Da geht im Moment bei dir nämlich einiges schief.

Ganz sicher, daher bin ich auf Eure Hilfe angewiesen. Wie gesagt - ich bin eher ein Baslter, aber das Basteln macht mir Spaß und ich hoffe, ich kann etwas lernen.

 

[riversource]

Wenn ich ehrlich bin, kann ich Dir das nicht sagen Da endet mein Wissen als Baselt-Onkel. Wie kann ich das prüfen?

Tja, wenn du es nicht weißt ... du hast es ja mal eingerichtet. Musstest du nicht eine Rolle oder sowas für OpenWRT festlegen?

Habe ich geändert. Das muss auf die Schnittstelle "wan" eingerichtet werden, richtig?

Vermutlich. Wobei das bei DHCP automatisch eingerichtet werden sollte. Hat OpenWRT denn nun Internetzugang?

Ok - habe ich jetzt genauso eingestellt. Die 7360SL bekommt aber keine IP-Adresse von der 7590..

Die 7590 arbeitet auch als DHCP Server? Die Netzwerkverbindung ist in Ordnung?

Wir sollten Schritt für Schritt vorgehen. Also als erstes sicherstellen, dass OpenWRT problemlos über die Fritzbox ins Internet kommt. Die Clients der OpenWRT kommen später dran.

 

[norKoeri]

Der Plan ist, dass mein pihole der DNS-Server ist

als Router-Kaskade

Fangen wir mal ganz vorne an: Warum willst Du eine Router-Kaskade?
Klingt für mich so, als wolltest Du lediglich einen IP-Client – einen Dienste-Server – Deinem Heimnetz hinzufügen, in Deinem Fall

• eine FRITZ!Box 7360 SL mit OpenWrt als Betriebssystem und
• dem Dienst DNS-Server in Form eines Pi-hole.

Habe ich das richtig verstanden? In dem Fall hältst Du Dich an diese Anleitung … und machst auf der vorgelagerten FRITZ!Box 7590 gar nichts. Überhaupt nichts. Außer später dessen DNS-Einträge anpassen, wenn es soweit ist. Die Anleitung dafür findest Du in diesem Thread …

Wenn ich falsch lag, beschreibe bitte wofür die Router-Kaskade dienen soll. Vielleicht verstehen wir dann Dein Ziel besser (und können konkret bzw. direkt bzw. gezielt helfen).

 

[thegustavo]

Tja, wenn du es nicht weißt ... du hast es ja mal eingerichtet. Musstest du nicht eine Rolle oder sowas für OpenWRT festlegen?

Nein, musste ich nicht. Jedenfalls nicht, dass ich mich erinnern könnte.

Vermutlich. Wobei das bei DHCP automatisch eingerichtet werden sollte. Hat OpenWRT denn nun Internetzugang?

Hätte ich auch erwartet, das nun eine IP automatisch gezogen wird. Wird sie aber nicht - OpenWRT hat keinen Internetzugang.

Die 7590 arbeitet auch als DHCP Server? Die Netzwerkverbindung ist in Ordnung?

Ja, und ja. Alle anderen Geräte an der 7590 bekommen problemlos ihre IP via DHCP. Sollte also funktionieren. Das Netzwerkkabel habe ich geprüft - läuft an meinem Raspi problemlos. Sollte also auch nicht das Problem sein.

Wir sollten Schritt für Schritt vorgehen. Also als erstes sicherstellen, dass OpenWRT problemlos über die Fritzbox ins Internet kommt. Die Clients der OpenWRT kommen später dran.

Most welcome.

Fangen wir mal ganz vorne an: Warum willst Du eine Router-Kaskade?
Klingt für mich so, als wolltest Du lediglich einen IP-Client – einen Dienste-Server – Deinem Heimnetz hinzufügen

Ich arbeite viel im HomeOffice. Ich möchte gerne getrennte LAN-Netze für Firma und Home und dachte, ich könnte dabei etwas dazulernen. Ein weiteres Ziel ist, dass meine Geräte hinter der 7360SL (baikal-Server, Homematic-Server, etc.) keinen Zugriff ins Internet bekommen. Das kann ich natürlich auch anders lösen, aber ich möchte gerne IPTables benutzen und mich auch hier etwas weiterbilden. Daher dieses Konstrukt mit OpenWRT.

[*]eine FRITZ!Box 7360 SL mit OpenWrt als Betriebssystem und
[*]dem Dienst DNS-Server in Form eines Pi-hole.
[/LIST]

Das habe ich vielleicht nicht korrekt ausgedrückt. Der pihole arbeitet bereits in meinem Netzwerk der 7590 - und zwar problemlos. Alle Geräte, die ich habe, sind aktuell an der 7590 angeschlossen, einschließlich des piholes. Alle Geräte bekommen über den DHCP der 7590 den pihole als DNS ausgeliefert und fragen dort die IPs für Domains an - das sehe ich ja im Log des pihole.

Wenn ich falsch lag, beschreibe bitte wofür die Router-Kaskade dienen soll. Vielleicht verstehen wir dann Dein Ziel besser (und können konkret bzw. direkt bzw. gezielt helfen).

Ich hoffe, ich konnte es besser beschreiben? Ist das alles Tinneff, was ich hier vorhabe mit getrennten Netzen? Ich könnte natürlich auch den LAN-Port 4 der 7590 auf das Gastnetz legen und dann dort meine Firmen-Kisten anschließen. Da ist die 7590 (bzw. alle FritzBoxen) aber sehr bescheiden, was Einstellmöglichkeiten angeht... .

 

[riversource]

Ok, DHCP funktioniert nicht. Das ist nicht gut. Ich vermute, wenn du dem WAN Interface eine statische IP gibst (192.168.178.3/24), dann kannst du die Fritzbox (192.168.178.1) nicht pingen von der OpenWRT Konsole, oder?

 

[thegustavo]

[...] wenn du dem WAN Interface eine statische IP gibst (192.168.178.3/24), dann kannst du die Fritzbox (192.168.178.1) nicht pingen von der OpenWRT Konsole, oder?

Korrekt. Umgestellt auf static IP => kein Ping möglich:

root@OpenWrt:~# ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1): 56 data bytes
^C
--- 192.168.178.1 ping statistics ---
21 packets transmitted, 0 packets received, 100% packet loss

Im OpenWRT gibt es so 100 fantastillion Einstellungen. Angefangen damit, dass man das Device für "wan" einstellen kann. Ist es korrekt, dass ich dafür Device "eth0" eingegeben habe?

Mir deucht, dass dieses Vorhaben vielleicht nicht das beste ist, um Basiswissen aufzubauen

 

[riversource]

Ist es korrekt, dass ich dafür Device "eth0" eingegeben habe?

Noch mal: Du hast das Gerät angeklemmt und eingerichtet. Wie sollen wir dir diese Frage beantworten können?

Aber es hört sich für mich so an, als gäbe es schon keine physikalische Verbindung zwischen der Box und dem OpenWRT. Mit Hilfe der Logs auf dem OpenWRT sollte sich ja herausfinden lassen, bei welchem Port sich der Status ändert, wenn du das Kabel zur Fritzbox einsteckst.

 

[ookee]

Mein Linux-Mint-PC hängt nun an der 7360SL und bekommt dort auch über DHCP eine IP zugewiesen, seltsamerweise aber die 192.168.50.227 und nicht, wie Screenshot ersichtlich, aus dem in der 7360SL definierten DHCP-Bereich (192.168.50.100-150).

Der Limit-Parameter bei den DHCP-Optionen gibt die maximale Anzahl der vergebenen Adressen an. Das heißt, es werden Adressen aus dem Bereich 192.168.50.100-249 vergeben.

Angefangen damit, dass man das Device für "wan" einstellen kann. Ist es korrekt, dass ich dafür Device "eth0" eingegeben habe?

Nein, eth0 ist das interne Interface mit dem der Switch an die CPU angebunden ist. Das ist nicht für die direkte Benutzung vorgesehen.

Einen separaten WAN-Ethernet-Port hat die 7360 SL gar nicht. Wenn du die Box als Router verwenden willst, dann musst du einen der LAN-Ports aus der LAN-Bridge rausnehmen (unter Network -> Interfaces im Tab Devices das Device "br-lan" bearbeiten). Dann kannst du den entsprechen Port für das WAN-Interface auswählen.

 

[thegustavo]

Einen separaten WAN-Ethernet-Port hat die 7360 SL gar nicht. Wenn du die Box als Router verwenden willst, dann musst du einen der LAN-Ports aus der LAN-Bridge rausnehmen (unter Network -> Interfaces im Tab Devices das Device "br-lan" bearbeiten). Dann kannst du den entsprechen Port für das WAN-Interface auswählen.

Wenn ich das so einstelle, dann bekommt die 7360SL wenigstens mal eine IP von der 7590. Schon mal einen Schritt weiter. Von hier aus kann ich mich mal weiter reinfuchsen.

Danke Dir für den hilfreichen Tip!

 

[hildefeuer]

Hast Du denn zuvor mal geklärt, wie schnell der WAN Port der Fritze ist? Das ist bei älteren Routern meist unbefriedigend. Ich erinnere mich da an meinen Dgn 3500b. WAN dchp 70mbit/s.
Pppoe ist dann so ca die Hälfte davon. Ipv6 hat auch nicht funktioniert am Glasfaseranschluss.

 

[norKoeri]

Ist das alles Tinneff, was ich hier vorhabe mit getrennten Netzen?

Grummel. Schwer, das in einer Zeile zu beantworten, aber so trennt man eigentlich keine Netze. Das macht man eigentlich im Haupt-Router, also tatsächlich über das Gast-LAN in der FRITZ!Box. Du hast die Trennung für Arme gemacht, also zwei Router mit all den Folgen (Doppel-NAT; zwei niemals miteinander getestete SPI-Firewalls; IPv6 wird zwischen FRITZ!Box und OpenWrt nicht laufen; und so weiter).

OpenWrt ist auch keine gute Lern-Plattform, weil vieles in der Architektur im Argen ist, verschiedenste Anwendungen sich behaken und sogar viele Protokoll schlicht falsch implementiert sind – nur durch Zufall (wenn überhaupt) funktionieren. Du lernst höchstens OpenWrt und eins zwei Tools in OpenWrt. Aber nichts über Verteilte Systeme im Allgemeinen. Und was irgendwas zu fixen, erfordert tiefes Wissen in Linux.

Klingt eher so, als wolltest Du eigentlich nur „Firewall“ lernen: OPNsense?

 

[thegustavo]

Ach, ich bastel halt einfach gerne herum. Da ich die zweite FritzBox noch hier liegen hatte, dachte ich mir, das wäre eine gute Idee. Ich merke aber, dass mir das echt zu viel Zeit frisst. Geschwindigkeiten habe ich noch nicht gemessen - dazu kann ich nichts sagen.

Nun habe ich auf der FritzBox vier getrennte Netze eingerichtet und die Firewall so eingerichtet, dass sie voneinander getrennt sind und ich mit einigen Klicks Dinge freischalten kann. Nicht sooo doof.

Ich gebe Euch Recht - OpenWRT ist wohl nicht die optimale Grundlage, um IPTables zu lernen Ich glaube, ich motte die Nummer wieder ein. Trotzdem war der Tip von @ookee die Nummer, die meinen gordischen Knoten hat platzen lassen. Danke nochmal dafür.