Posts by RalleB

    ThomasL


    bei deinen Punkten 1 bis 9 bin ich zum Teil ganz bei dir, je nachdem wie intensiv man es betreiben möchte, kann oder muss.


    Zu deinen ersten Aufzählungen fehlt mir aber der,

    • ich bin bereit mir Fachwissen anzueignen, anzulesen, brauche aber zu einigen Sachverhalten konkrete Unterstützung bzw. Beratung da ich sie nicht sofort verstehe bzw. verunsichert bin ob ich sie richtig interpretiere.


    Und genauso wie jeder der ein Auto fährt nicht die Zusammenhänge der Systeme versteht die das fahren möglich machen muss auch nicht jeder der einen Computer, egal in welcher Form und mit welcher Software nutzt, ein Experte für IT- Sicherheit sein. Aber es ist gut wenn man sich damit mal beschäftigt und wenn nötig andere befragt wie sie die Probleme lösen.

    Nach dem ermahnenden und besinnlich Worten von ThomasL würde ich mich über ein paar konkrete Lösungsansätze freuen.

    Ich erwarte keine Lösung die allgemeingültig ist und die man nach Schema F abarbeiten kann. Schön wäre es aber mal zu lesen wie ihr euer Netzwerk aufgebaut und abgesichert habt.

    Denn viele nutzen den Raspberry & Co zum schalten und verwalten (ioT) und sind sich der Gefahren vielleicht auch bewusst, wissen aber nicht das man es auch besser oder anders machen kann.

    Ich z.B. denke gerade darüber nach mir einen zweiten V-Lan fähigen Router hinder meiner FB zu setzen und dort meine Raspberry's und ESP einzubinden. Allerdings bin ich sehr unsicher ob der Aufwand den Sicherheitsaspekt steigert da ja alle Maschinen den gleichen I-Net Anschluss über die Fritzbox nutzen nur eben in getrennten Netzen.

    So, ich habe das Tutorial ausprobiert. Es funktioniert nicht!

    Ich habe:

    1. dnsmasq installiert

    2. dieses Script heruntergeladen und per autostart wird es auch gestartet.

    3. Laptop an eth0 angeschlossen.

    • Laptop bekommt keine IP
    • IP an Hand am Laptop eingestellt, trotzdem kein Zugriff auf das Internet.

    und schon das erste Problem. In den Tutorial steht diese Konfiguration von eth0.


    Code
    allow-hotplug eth0
    iface eth0 inet static
    address 192.168.2.1 die Adresse von eth0 würde ich auf 192.168.178.20 ändern
    netmask 255.255.255.0 bleibt gleich
    network 192.168.2.0 das wäre dann die IP meiner Fritzbox 192.168.178.1
    broadcast 192.168.2.255 aber was kommt hier hin??

    Was ist broadcast?

    vor weg, ich bin KEIN Netzwerkspezi, hatte aber ähnliches vor und bin leider gescheitert.

    siehe auch. Link zum Thema

    Quote

    und dort schriebt framp

    Du musst in Deinem Internetrouter noch eine statische Route zu Deinem Raspberry Router fuer das 192.168.3.0/24 er Netz vornehmen. Ansonsten können Deine angeschlossenen Clients nicht ins Internet, denn sie finden nicht ihren Weg zurück ins Subnetz

    Morgen werde ich mal dein verlinktes Tutorial testen. Mal sehen ob es bei mir funktioniert.

    ja ist ähnlich aber

    bei Punkt 18.


    Code
    sudo service dnsmasq start

    kommt auch schon die erste Fehlermeldung. dnsmaq startet nicht

    "Job for dnsmasq.service failed because the control process...."


    und gleich mal mit "systemctl status -l dnsmasq.service" nachgesehen.

    "... a lightweight DHCP and caching DNS server"


    wenn ich versuche

    sudo dnsmasq

    bekomme ich die Fehlermeldung

    "unbekonnte Schnittstelle eth0"


    Ich verstehe jetzt nix mehr.


    Edit:

    in der dnsmasq.conf

    interface=eth0 auf interface=wlan0

    geändert.

    ich denke das war der Fehler

    Edit 2:

    Nein, das war der Fehler nicht.

    Entschuldige aber mich hat es die letzten Tage gesundheitlich ziemlich stark erwischt. Daher konnte und wollte ich mich nicht mit dem Pi beschäftigen. Aber jetzt geht es weiter.

    Zu deiner Frage, nein läuft leider immer noch nicht. Was mir allerdings aufgefallen ist das du in deiner Anleitung bei den iptables wlan und nicht wlan0 steht. Daher werde ich meine iptable gleich mal von wlan zu wlan0 ändern.

    Parallel werde ich auch mal diese Anleitung testen.

    Die ist zwar genau andersherum also von eth0 zu wlan, aber das kann ich ja in den iptables ändern.

    framp,

    vielen Dank für deine geduldige Unterstützung aber ich komme nicht richtig voran und beende das ganze erst ein mal obwohl ich schon fast auf der Zielgeraden bin.

    Ich kann mein Windows-Laptop das am eth0 angeschlossen ist von meinen PC anpingen. Allerdings mit 50% Verlust. Mit dem Laptop ins I-Net geht allerdings nicht.

    Jetzt hast du ja ein ganz ähnliches Thema Kabel zu WLAN Brücke beschrieben. Auf dem ersten Blick ist es eine andere Methode aber das selbe Ziel.

    Ich denke es ist ein Versuch wert :danke_ATDE:

    Mich interessiert hier vorrangig, ob die hinter den Routern befindlichen Clients via SSH oder auch nur via Ping die Geräte jeweils hinter dem anderen Router erreichen können.

    Ja und nein. In der Regel konfiguriert man es ja so das nur die Geräte im jeweiligen Sub-Netz (Zone) sich sehen.

    Aber das hängt natürlich davon ab welche Ziele du damit verfolgst. Wenn es dir um die Sicherheit geht, das ein böser nicht in deinen Rechner eindringt, dann lohnt sich der Aufwand weniger. Wenn der Rechner von "außen" erreichbar sein muss dann ist er theoretisch für jeden erreichbar.

    Die Frage ist nun also ob so im Vergleich zu einem "normalen" Netzwerk eine erhöhte Sicherheit gewährleistet werden kann

    Ich denke ja. Daher bin ich gerade dabei das so umzusetzen. Hinter meiner Fritzbox kommt ein sehr preiswerter Router (EDIMAX BR-6428nS V4) der allerdings 4 VLAN unterstützt. Somit kann ich also 4 verschiedene Gruppen mit unterschiedlichen Rechten einrichten. In der ct gab es mal einen interessanten Bericht über Router-Kaskaden. Hier der Link

    Das Netzwerkkabel habe ich vorsichtshalber getauscht, daran liegt es leider nicht.

    Ich habe morgen etwas Zeit und werde dann Stretch noch mal neu auf die SD-Karte kopieren und das ganze noch einmal versuchen.

    Wenn es bei dir funktioniert sollte es auch bei mir gehen. Wenn nicht dann :@

    Ich habe jetzt einiges getestet, aber der RPi gibt keine IP Adresse an eth0 im Bereich192.169.178.xx

    sondern diese IP 169.254.xxx.xxx

    Wo die herkommt weiß ich nicht.

    dhcpcd.conf und /etc/network/interfaces habe ich kontrolliert aber nichts auffälliges gefunden.

    Das sagt mir nichts:


    dnsmasq: gestartet, Version 2.76, Cachegröße 150

    dnsmasq: Übersetzungsoptionen: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify

    dnsmasq-dhcp: DHCP, IP-Bereich 192.168.178.16 -- 192.168.178.20, Lease Zeit1d

    dnsmasq: lese /etc/resolv.conf

    dnsmasq: Benutze Namensserver 192.168.178.1#53

    dnsmasq: /etc/hosts gelesen - 5 Adressen

    wenn ich die syslog richtig interpretiere 192.168.3.1

    Das kann aber nicht sein.

    Ich kontrolliere gleich mal die dnsmasq.conf

    * * *

    EDIT: Fehler gefunden, in der dhcpcd.conf war noch ein alter Eintrag mit static ip für eth0

    Das habe ich gelöscht.

    Trotzdem wird eth0 keine IP aus dem Adressbereich 192.168.178.XX zugewiesen.

    Sobald ich mein Laptop verbindet bekommt eth0 die IP 169.254.93

    Files

    • syslog.txt

      (3.85 kB, downloaded 99 times, last: )

    Danke für deine Unterstützung, aber es funktioniert nicht.

    Wahrscheinlich mache ich irgendetwas grundsätzlich falsch. Ich habe zum testen mein Laptop mit dem RPi per LAN Kabel verbunden.

    Das Laptop bekommt aber keine IP Adresse zugewiesen.

    Mein Gateway (FritzBox) 192.168.178.1

    Der RPi hat eine feste IP 192.168.178.12 WLan

    Die Lan Buchse eth0 sollte dann eine IP aus dem Bereich 192.168.178.15 bis 192.168.178.20 bekommen.

    Code
    dhcp-range=192.168.178.15,192.168.178.20,24hdhcp-option=option:dns-server,192.168.178.1

    Frage, müsste der DNS-Server für das Lan nicht eigentlich der RPi sein? Nach der obigen Konfiguration ist es ja meine Fritzbox.

    Files

    • ifconfig.txt

      (2.56 kB, downloaded 90 times, last: )

    So ein Angebot kann ich nicht Ablehnen. Danke, ich bin gespannt!


    Parallel werde ich mich weiterhin in das Thema einlesen.

    So wie ich das bis jetzt überblicke ist das Problem das die Datei /etc/network/interfaces jetzt standardmäßig leer ist und die Konfiguration der Ethernet-Schnittstelle, da bin ich mir aber nicht sicher, über dhcpcd.conf oder in /etc/wpa_supplicant/wpa_supplicant.conf gespeichert werden.

    Ich werde weiter etwas experimentieren.

    Grüße

    Ralf

    Ich hatte auch mal eine Raspi als LAN->WLAN Router konfiguriert und betrieben. Vielleicht siehst Du Dir meine Beschreibung an. Vielleicht hilft sie ja

    Leider nicht. Deine und auch die meisten im Netz verfügbaren funktionieren unter Wheezy, Jessie aber nicht unter Stretch. Und wenn man versucht sich als Anfänger in die Materie einzulesen findet man viele verwirrende Aussagen zur Netzwerk-Konfiguration. Momentan arbeite ich nach "try and error", komme aber leider nicht voran.

    Ich habe gerade noch mal diesen Link gefunden, mal sehen was ich dort erfahre.

    Edit: Den Link brauch man nicht zu folgen.

    Nach dem gefühlt 100 Versuche gescheitert sind habe ich mit erst einmal Strecht auf einer neuen SD Karte zum Experimentieren aufgespielt. Trotzdem funktioniert die Bridge noch nicht.

    Was ich bis jetzt gemacht habe:

    1) WLan mit statischer IP Eingerichtet (192.168.178.12) ist i.O.

    2) dnsmasq installiert und konfiguriert (Fehler, läuft leider nicht)

    Meine dnsmasq.conf

    * * *

    Interface=eth0

    listen-address=192.168.178.1 # Specify the address to listen on

    bind-interfaces # Bind to the interface

    server=8.8.8.8 # Use Google DNS

    domain-needed # Don't forward short names

    bogus-priv # Drop the non-routed address spaces.

    dhcp-range=192.168.178.13,192.168.178.20,12h # IP range and lease time
    * * *

    3) IP-Weiterleitung über sysctl.conf (net.ipv4.ip_forward=1 aktiviert / Auskommentieren)

    4) Iptable erstellt, in Datei gespeichert und rc.local geänder so das die Datei mit den Iptable beim booten ausgeführt wird

    sudo iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

    sudo iptables -A FORWARD -i wlan0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

    sudo iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT


    Mein erstes Problem ist das der DNS / DCHP Server dnsmasg nicht so läuft wie er soll.

    Kann mir jemand erklären was an meiner dnsmasq Konfiguration falsch ist?

    eth0 sollte im IP Bereich von 192.168.178.13 bis 178.20 Adressen zuordnen, machter aber nicht.

    Wenn ich dnsmaq prüfe

    sudo systemctl status dnsmasq.service

    bekomme ich folgenden Fehlermeldung


    ● dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server

    Loaded: loaded (/lib/systemd/system/dnsmasq.service; enabled; vendor preset: enabled)

    Active: failed (Result: exit-code) since Sun 2018-02-04 19:26:24 CET; 22h ago

    Process: 461 ExecStart=/etc/init.d/dnsmasq systemd-exec (code=exited, status=2)

    Process: 427 ExecStartPre=/usr/sbin/dnsmasq --test (code=exited, status=0/SUCCESS)


    Feb 04 19:26:24 raspberrypi systemd[1]: Starting dnsmasq - A lightweight DHCP and caching DNS server...

    Feb 04 19:26:24 raspberrypi dnsmasq[427]: dnsmasq: Syntaxprüfung OK.

    Feb 04 19:26:24 raspberrypi dnsmasq[461]: dnsmasq: Konnte Empfangs-Socket für 192.168.178.13: Die angeforderte Adresse kann nicht zugewiesen werden nicht erzeugen

    Feb 04 19:26:24 raspberrypi systemd[1]: dnsmasq.service: Control process exited, code=exited status=2

    Feb 04 19:26:24 raspberrypi systemd[1]: Failed to start dnsmasq - A lightweight DHCP and caching DNS server.

    Feb 04 19:26:24 raspberrypi systemd[1]: dnsmasq.service: Unit entered failed state.

    Feb 04 19:26:24 raspberrypi systemd[1]: dnsmasq.service: Failed with result 'exit-code'.

    Ganz verstehe ich nicht, warum der bestehende WLAN Anschluss am pi auf einen AccessPoint umgerüstet werden muss.


    Wenn das was du schreibst funktioniert wäre mir geholfen. DNS Abfrage muss z.Z. nicht sein. Aber ich weiß leider nicht wie ich deinen Vorschlag umsetzen kann. Ich denke das ich dafür die "/etc/network/interfaces" ändern muss (bridge-ports eth0 wlan0) oder ? ? ?

    Und wenn ich den Traffic vom WLAN auf LAN route ist dann der RPi noch im Netz?

    Das routen (die Konfiguration) per hostapd gestaltet sich doch etwas schwieriger als gedacht :)