DD-WRT - IP Zugriff auf interne IPs verbieten

Re(2): DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Wed, 07 Nov 2018 06:29:38 GMT

Dem hab ich noch gar keine Bedeutung beigemessen.
Ich hab in jedem Stockwerk auch noch einen Switch um mehrere Geräte zu versorgen...

Ohne sehr tiefe tiefe Netzwerkkenntnisse und mit meinem Equipment bekomme ich da wohl keine brauchbare Lösung hin.

Da wird sich wohl hoffentlich in Zukunft auch im Home-Bereich was tun. Immer mehr IoT-Geräte im Netzwerk, da wird es aus meiner Sicht immer wichtiger werden die Berechtigungen einzuschränken...

Vielen Dank, flump

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

fleptin — Tue, 06 Nov 2018 11:48:09 GMT

Der Router hat LAN-seitig einen Swich, d.h. der Traffic zwischen den Geräten lauft nicht mal über die DD-WRT-Firmware, sondern autonom von den Netzwerk-Chips der Hardware ausgeführt.

Du kannst eine Trennung nur auf Layer3-Ebene erzwingen, da ja eh meist alles IP-Protokoll ist sollte das kein Problem sein. Denn alles was an IP-Paketen an den Gateway geschickt wird, geht schon durch die Behandlung der DD-WRT-Firmware. Jedoch muss dich tief mit DD-WRT beschäftigen und es kann nicht jede Hardware, es kommt auf das Chipset des internen Switches an ob man VLAN oder eigenen IP-Bereich ansprechen kann und Swichports zuweisen kann. D.h. nicht jedes Tutorial auf der Webseite von DD-WRT muss für deinen Router funktionieren.

Einfachste Lösung wäre ein zweiter Router, der hinter dem ersten Router steht. Doppel-NAT ist zwar nicht schön, aber wenn man nicht viel mit Port-Forwarding machen muss auch kaum ein Problem.

Re(4): DD-WRT - IP Zugriff auf interne IPs verbieten

hhetl — Tue, 30 Oct 2018 19:28:03 GMT

Das ist aber etwas anderes als du geschrieben hast.
Im Übrigen siehe https://forum.geizhals.at/t896426,7937451.html#7937451

Re(3): DD-WRT - IP Zugriff auf interne IPs verbieten

holleroo — Tue, 30 Oct 2018 17:13:52 GMT

z. B.
lan, wlan hat 192.168.3.0/24
das Gäste-Wlan hat 10.1.1.0/24

iptables -I FORWARD -s 192.168.3.0/24 -d 10.1.1.0/24 -j DROP
iptables -I FORWARD -d 192.168.3.0/24 -s 10.1.1.0/24 -j DROP

Re(3): DD-WRT - IP Zugriff auf interne IPs verbieten

hhetl — Tue, 30 Oct 2018 12:34:39 GMT

Ja- das kannst Du normalerweise dem DHCP Server beibringen.

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

hhetl — Tue, 30 Oct 2018 08:38:20 GMT

Variante II: Getrennte IP-Netze vergeben und dazwischen kein Routing einrichten. Ist aber mehr Placebo-Sicherheit...

Re(2): DD-WRT - IP Zugriff auf interne IPs verbieten

hhetl — Tue, 30 Oct 2018 08:36:42 GMT

Thema verfehlt. Interner Traffic geht nicht über denRouter.

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

hhetl — Tue, 30 Oct 2018 08:35:39 GMT

Aufrüsten auf Ubiquiti-Geraffel. Die können VLANs am Wifi. (Oder versuchen, genau das deinen Asusen beizubringen - keine Ahnung, ob die das unterstützen)

Geeignete APs sollten reichen, wenn Du aber zusätzlich den Router auch noch durch ein Ubiquiti Gateway ersetzt, wird die Administration einfacher. Sonst musst Du halt die VLANS an APs und DD-WRT getrennt konfigurieren.

Re(2): DD-WRT - IP Zugriff auf interne IPs verbieten

kaufinator1 — Mon, 29 Oct 2018 16:48:20 GMT

Es ist praktisch unmöglich eine Kommunikation in nur eine Richtung zu erlauben. Selbst wenn du das mit viel trickserei auf Netzwerebene hinbekommst, wird keine Anwendung funktionieren:

Beispiel: Wenn Gerät A, das auf interne IPs zugreifen darf, eine Anfrage an Gerät B schickt, das nicht auf interne IPs zugreifen darf, wird die Applikation auf Gerät A einen Timeout produzieren, weil sie keine Antwort bekommt.

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

holleroo — Mon, 29 Oct 2018 16:25:03 GMT

zuerst musst du die mac von den Geräten herausfinden (welche du sperren willst),

dann z. B.

iptables -I FORWARD -m mac --mac-source 00:80:41:ae:fd:7e -j REJECT

danach kommen keine Daten vom Gerät mit der mac 00:80:41:ae:fd:7e ueber den Router

https://www.google.at/search?q=dd-wrt+add+iptables+rules

https://de.wikipedia.org/wiki/MAC-Adresse

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Mon, 29 Oct 2018 14:29:19 GMT

ok, bisher scheints so als gäbe es für meine konstellation keine brauchbare lösung.

kann ich denn in dd-wrt eine regel erstellen, dass eine bestimmte client-ip NUR auf die WAN-schnittstelle zugreifen darf, NICHT aber auf interne ips?

ich würde dann einfach zb für den staubsauger mit der mac-adresse eine bestimmte ip vergeben, die dann über die regel entsprechend eingeschränkt ist...

es wäre auch umgekehrt denkbar:
nur ips im beriech von 192.168.0.1 - 20 dürfen auf interne ips zugreifen, alle außerhalb nicht.

lg, flump

Re(3): DD-WRT - IP Zugriff auf interne IPs verbieten

stgoetz — Sun, 28 Oct 2018 20:02:32 GMT

Achso. Na dann weiss ich nicht ob das reibungslos mit dd-wrt funktioniert.

Du müsstest ein zusätzliches VLAN über alle devices spannen und das „iot-wlan“ dort reinhängen.

Wenn alle APs/Router auf dd-wrt laufen könnte es funktionieren. Meine spielereien mit dd-wrt uns vöan tagging von gäste wlans waren bis jetzt aber immer sehr instabil.. ist aber auch schon ein paar versionen her

Lg

Re(2): DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Sun, 28 Oct 2018 19:19:07 GMT

danke für den link!
das ist aber darauf ausgelegt, dass die clients über den router verbunden sind.
in meinem fall ist das wlan am router inaktiv (steht im keller) und die clients verbinden sich über einen der 3 access points.

auf diesen access points (alle 3 asus router im ap modus) soll mein privates wlan und auch ein gast wlan betrieben werden.

lg

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

stgoetz — Sun, 28 Oct 2018 19:15:20 GMT

https://wiki.dd-wrt.com/wiki/index.php/Image:Guest_VAP.PNG

Musst es ja nicht gästewlan nennen

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

stgoetz — Sun, 28 Oct 2018 19:15:20 GMT

https://wiki.dd-wrt.com/wiki/index.php/Guest_WiFi_%2B_abuse_control_for_beginners

Musst es ja nicht gästewlan nennen

Re(2): DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Sun, 28 Oct 2018 19:04:49 GMT

und über die Mac-Adresse dann dem jeweiligen Gerät automatisch eine IP aus dem anderen Bereich zuweisen?

LG

Re: DD-WRT - IP Zugriff auf interne IPs verbieten

kaufinator1 — Sun, 28 Oct 2018 18:57:48 GMT

Der wird wohl VLAN können, oder?

DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Sun, 28 Oct 2018 18:32:35 GMT

Hallo!

Ich betreibe in meinem Netzwerk einen alten Linksys WRT54GL als Router und einige Access-Points um im ganzen Haus Wlan nutzen zu können.

Auf dem Router läuft DD-WRT.

Es haben sich einige IOT-Geräte angesammelt (Backofen, Staubsauger, ...), die eine Internetverbindung brauchen, ich möchte diesen Geräten aber den Zugriff auf das interne Netzwerk verbieten.

Mein erster Gedanke war, einfach auf den APs ein Gäste-Wlan zu betreiben. Die Geräte haben dann aber trotzdem noch Zugriff aufs interne Netz. Ich denke weil es der Router zulässt.

Jetzt möchte ich gerne am Router den entsprechenden IPs den Zugriff auf das interne Netz verbieten.

Kann mir da wer weiterhelfen?

Vielen Dank, flump

DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Sun, 28 Oct 2018 18:32:35 GMT

DD-WRT - IP Zugriff auf interne IPs verbieten

_flump — Sun, 28 Oct 2018 18:32:35 GMT

Hallo!

Ich betreibe in meinem Netzwerk einen alten Linksys WRT54GL als Router, dahinter einen Switch und einige Access-Points (Asus RT-AC53 und RT-AC66) um im ganzen Haus Wlan nutzen zu können.

Auf dem Router läuft DD-WRT.

Es haben sich einige IOT-Geräte angesammelt (Backofen, Staubsauger, ...), die eine Internetverbindung brauchen, ich möchte diesen Geräten aber den Zugriff auf das interne Netzwerk verbieten.

Mein erster Gedanke war, einfach auf den APs ein Gäste-Wlan zu betreiben. Die Geräte haben dann aber trotzdem noch Zugriff aufs interne Netz. Ich denke weil es der Router zulässt.

Jetzt möchte ich gerne am Router den entsprechenden IPs den Zugriff auf das interne Netz verbieten.

Kann mir da wer weiterhelfen? Kann ich das in DD-WRT überhaupt einstellen?

Vielen Dank, flump