Posted: Sun May 29, 2016 16:55 Post subject: Lan Ports von Wan trennen
Hallo an Alle!
Ich hätte folgende Fragen:
Ich habe einen Asus RT-AC56U und diesen mit DD-WRT geflasht. Diesen würde ich gerne als Client mit einem Vpn Server verbinden. (bisher hatte ich es mit OpenVpn vor..) Alle Lan-Ports sollen nur die VPN Verbindung nutzen und keinen "Durchgang" zum Wan Port und restlichen Netz bekommen.
Mein Netzwerk ist bisher so aufgebaut:
Internet - Fritzbox 7490 - (Netgear GS108E-300PES Switch) - Asus RT-AC56U -
(Der Netgear-Switch wird nur auf Grund zu wenig freier Ports an der Fritzbox benötigt)
Der Wan-Zugang wurde mit "Automatische IP" konfiguriert. Dann habe ich den VPN eingerichtet. Dies hat funktioniert, allerdings hatte ich kompletten Zugriff aufs Netz bis hin auf die Fritzbox.
Wie könnte ich es umsetzen dass die Lan Ports nur funktionieren wenn der VPN aufgebaut ist und egal ob mit oder ohne VPN kein Durchgang von Lan zu Wan (und ins restliche Netz statt findet)
Die einzigste Möglichkeit die ich glaube gefunden zu haben ist mit Iptabples. Leider kennne ich mich da viel zu wenig damit aus.
Ist mein Vorhaben umsetzbar und zuverlässig?
Habe mich schon einige Tage in diversen Foren eingelesen, allerdings leider keinen gleichen Fall gefunden (..der gelöst wurde)
Kann mich mit den Iptables jemand unterstützen?
Aus meiner Sicht musst du sowohl die IPTABLES anpassen, als auch die DEFAULTE ROUTE neu definieren.
Spontan würde ich dir raten folgende Zeilen in das Startup-Script einzufügen (--> Administation --> Commands). Damit startet das kleine Script nach dem Start des Routers automatisch. Aber vorsicht, bis zum Start des Skripts und dem erfolgreichen Aufbau der VPN-Verbindung kommen alle Clients am Asus über die FritzBox ins Internet!
echo "#!/bin/sh
VPNCLIENTIP=$(/sbin/ifconfig tun0 | awk -F"[: ]+" '/inet addr:/ {print $4}')
GATEWAY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $VPNCLIENTIP gw $GATEWAY dev vlan2
/sbin/route del default
/sbin/route add default dev tun0
/usr/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE" > /tmp/changeVpnRoute.sh
Gegebenenfalls musst du noch das tun0 entsprechend anpassen. (siehe Aufruf von: ifconfig).
Hoffe es funktioniert, auch wenn iches nicht testen konnte. _________________ Ongoing experiences with:
Linksys E3000 and WRT610N v2
TP-Link Archer C9
Raspberry Pi and TP-Link TL-WR710N with OpenWRT