[lolinger]

Hi, ich habe folgendes Problem:

Ich betreibe einen TP-Link WR-1043ND hinter einer FritzBox. Bislang wurde der DHCP-Server im TP-Link deaktiviert und der WAN-Port dem Switch zugewiesen. Alle Rechner bekamen die IP-Adresse direkt von der FritzBox, der TP-Link hat im Grunde nichts geroutet o.Ä. sondern nur gebrückt, also im Endeffekt einen Switch gemacht.

Jetzt möchte ich den TP-Link so umstellen, dass:

1. LAN 1-4 weiterhin gebrückt wird, also die IP-Adresse von der FritzBox bekommt.
2. 2 WLAN-Netzwerke (SSIDs) über denselben TP-Link Router betreiben
3. WLAN1 ebenfalls gebrückt ist.
4. WLAN2 durch den TP-Link geroutet wird. Clients, welche WLAN2 benutzen, erhalten ihre IP-Adresse vom TP-Link und werden durch dessen Firewall geschützt.

Wie stelle ich das nun am besten ein? Danke!

[roki100]

Wenn ich dich richtig verstanden, willst Du WVLAN haben und nicht VLAN?

Also;
DDWRT, DHCP Server deaktivieren(WAN dem Switch zuweisen)
DDWRT (Tab "Setup") hat z.B die IP : 192.168.1.1

DDWRT LAN -> mit dem andere Router(der dann für WLAN1 als DHCP Server läuft) verbinden.

DDWRT->WLAN
WLAN1: ist "Physische WLAN Schnittstelle"
WLAN2: ist "Virtuelle Schnittstellen" (Hinzufügen und anpassen wie Du es haben möchtest)

Dann unter Setup->Netzwerk, bei "Bridging" Bridge erstellen / Hinzufügen Button klicken:
Bridge 1: "br1" STP auf "Off"
IP-Adresse(nicht die selbe wie die von FritzBox oder die von DDWRT) z.B: 192.168.2.1
Subnetz: 255.255.255.0
Speichern&Anwenden -Button klicken.

Weise Bridge zu: "br1", interface: das wäre dann WLAN2, bei mir heißt dieser "ath0.1"
Speichern&Anwenden

Weiter unten, bei "DHCPD" / Mehrere DHCP Server: dem br1 ein DHCP-Server zuweisen, also auf "Hinzufügen" "br1" auswählen, Start der IP und Max. IP eingeben. (z.B Start: 10, Max. 10 kommt drauf an wieviele Clients drauf zugreifen sollen)

Speichern&Anwenden

(DDWRT) Reiter/Tab "Service" anklicken, DNSMasq Aktivieren und folgendes hinzufügen:
interface=br1
dhcp-option=br1,3,192.168.2.1
dhcp-range=br1,192.168.2.10,192.168.2.20,255.255.255.0,30m

Speichern&Anwenden

Reiter/Tab "Administration" -> Diagnose, im Feld folgendes einfügen:

###ab hier ####
iptables -t hat -A PREROUTING -i br1 -p udp --dport 53 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i br1 -p tcp --dport 53 -j DNAT --to 192.168.1.1

iptables -I FORWARD -i br1 -d 192.168.1.1/255.255.255.0 -m state --state NEW -j DROP

iptables -t nat -I POSTROUTING -o br0 -j SNAT --to 192.168.1.1

# Zugriff verbieten
iptables -I INPUT -i br1 -m state --state NEW -j DROP

# DHCP und DNS erlauben...
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT

# nur http & https erlauben...
iptables -I FORWARD -i br1 -j DROP
iptables -I FORWARD -i br1 -p udp --dport 53 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 53 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 443 -j ACCEPT

### bis hier ###

###
# wenn Du E-Mail Ports freigeben möchtest, dann musst Du das noch hinzufügen, ansonsten funktioniert dein E-Mail Client nicht über WLAN2
###
# 25 smtp, 110 pop3, 143 imap 993 ssl-map usw.
iptables -I FORWARD -i br1 -p tcp --dport 25 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 110 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 143 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 993 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 995 -j ACCEPT
iptables -I FORWARD -i br1 -p tcp --dport 587 -j ACCEPT
####

Firewall Speichern
ca. 30 Sekunden warten und zuletzt DDWRT Router Neustarten.

Viel Spaß!

[lolinger]

Hallo! danke für deine Antwort!

Also bis zu DNSmasq verstehe ich was ich tue, danach wird es etwas konfus für mich. Ins Internet komme ich damit natürlich noch nicht, da der dd-wrt nicht weiß wie was zu routen ist.

Hintergrund ist folgender: Die FritzBox verteilt IPv6 Adressen, womit einige Geräte nicht klar kommen (z.B. XBOX). Ich möchte es aber auch nicht deaktivieren. Die Idee ist daher, diese Geräte hinter das VAP zu schalten, damit die nur mit IPv4 laufen. Diese Geräte sollen eigentlich auch alles tun dürfen und auch von außen soll ein Zugriff möglich sein als ob diese Geräte zum Primären IP-Range der FritzBox gehörten (natürlich dennoch eine andere IP haben). Ich glaube das heißt dann DMZ. Eine Portweiterleitung von der FritzBox zum DD-WRT wird es vermutlich dennoch brauchen?

Dann muss ich dafür doch eigentlich nur folgendes in der iptable hinterlegen, oder:

iptables -t nat -A PREROUTING -i br1 -j DNAT --to 192.168.1.1

bzw. wäre es nicht einfacher die Regeln auf Interfaces anzuwenden?

[lolinger]

Ohne etwas zusätzlichen Input komme ich leider nicht weiter...