Soekris wlan box

[littlebit]

Hallo Leute,

ich habe mir eine soekris 5510 gekauft und habe vor die als wlan AP zu konfigurieren. Neben einer sicheren wlan Verschluesselung (WPA/WPA2) soll die kiste auch als DHCP, DNS und HTTP Proxy (squid) konfiguriert werden.
Ich habe bis jetzt versucht die grundlegenden Dinge selber zu machen, dabei habe ich mich darauf konzentriert dass es funktioniert aber nicht darauf geachtet dass es sicher ist.
Meine jetzige Konfiguration ist wie folgt:

1. Als Wlan habe ich den Hersteller Ralink (RT2561T Chip) gewählt, und besetzt die miniPCI Schnittstelle. Ich habe versucht die Wlankarte mit unter der bridge mit unterzubringen aber ohne einer eigenen IP-Addresse würde ich keine Wlanverbindung mit den Clients aufbauen können, daher habe ich ihr eine eigene IP gegeben und hatte keine Probleme. Neben Notebooks, werden auch 2 bis 3 Repeater über diese Karte verbunden.
   Hier ist der Inhalt der hostname.ral0 Datei:
   
   Code:

   inet 10.0.0.2
   media autoselect mediaopt hostap nwid mynet chan 1 wpa wpapsk test1234
   up

1. Ueber die NICs vr0,vr1,vr2,vr3 sollen vom dhcpd IP Addressen vom Addressraum 10.0.0.0/24 vergeben werden.Dabei dachte ich mir, ich fasse alle NICs unter einer bridge zusammen und verpasse nur ein NIC eine IP wie 10.0.0.1
   Hier ist der Inhalt der hostname.bridge0 Datei:
   
   Code:

   add vr0
   add vr1
   add vr2
   add vr3
   up

   Hier ist der Inhalt der hostname.vr0 Datei:
   
   Code:

   inet 10.0.0.1 255.255.255.0
   up

1. An der PCI Schnittstelle habe ich eine herkoemmliche 3COM (xl0) Netzwerkkarte. Diese Karte soll zur Fritzbox angeschlossen sein, die (Fritzbox) eine DSL-Verbindung aufbaut.
   IP-Addresse dieser Karte ist wie folgt: inet 192.168.1.253 255.255.255.0
   Da diese die NIC die Verbindung zum Internet herstellt muss dann in deren hostname.if Datei die default route defeniert werden.
   
   Hier ist der Inhalt der hostname.xl0Datei:
   
   Code:

   inet 192.168.1.200 255.255.255.0 NONE
   !route add default 192.168.1.254
   !route add -net 10.0.0.0/24 10.0.0.1
   !route add -net 192.168.1.0/24 192.168.1.200

1. Um NAT zu ermöglichen habe ich diverse Beispiele im Internet gefunden und habe meine Konfiguration (noch nicht ausprobiert) von folgenden Link hergeleitet.
   Fürs erste ist mir ein Nacktes NAT wichtig, und da ich jedes mal die Soekris abstecken muss und sie an der Fritzbox anschließen muss die sich im Keller befindet habe ich es nicht getestet habe, würde ich in diesen Teil um eine kurze Bestätigung bitten ob es funktionieren würde oder nicht.
   
   Hier ist der Inhalt der pf.conf Datei:
   
   Code:

   IntNet="10.0.0.0/24" 
   Ext="xl0"             
   Int="vr0" 
   nat on $Ext from $IntNet to any -> $Ext static-port

   Und ich habe nicht vergessen "net.inet.ip.forwarding" auf 1 zu setzen.

Ich vermute dass ich als Anfänger ein paar Sachen entweder umständlich gemacht habe, oder wie der Lügenbaron "zu Gutenberg" Sachen hier und da Kopiert habe, was ich gleich offen und ehrlich zu gebe.
Daher wollte ich jeden bitten der sich auskennt, mir zu zeigen wo man es verbessern kann.
Bind und Squid sind jetzt für das erste auch nicht wichtig.


Vielen Dank im Voraus an die Community...

[midnight]

Ich habe auch eine 5501 als WLAN AP laufen. Funktioniert sehr gut bei mir. Ich schaue heute Abend oder morgen frueh mal in meine configs und vergleiche die mit deinen.

[midnight]

Die pf.conf wuerde etwa so aussehen:

Code:

 1  # cat /etc/pf.conf
 2  ext_if  = "xl0"         # externes Netz: DSL / ppp
 3  int_if  = "vr0"         # internes LAN-Netz
 4  wlan_if = "ral0"        # internes WLAN-Netz
 5
 6  # keine Packet-Filterungen auf lo (loopback-device)
 7  set skip on lo
 8
 9  # Alle eingehenden Pakete "normalisieren".
10  match in all scrub (no-df max-mss 1440)
11
12  # NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
13  # interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
14  match out on $ext_if from ! $ext_if nat-to ($ext_if:0)
15
16  # alles blocken
17  block all
18
19  # Antispoof aktivieren, um eingehende Packete mit gefaelschten IP's zu blocken.
20  antispoof for lo0
21  antispoof for { $ext_if, $int_if, $wlan_if } inet
22
23  # alles aus ext_if heraus lassen
24  pass out on $ext_if
25
26  # alles vom int_if (aus dem internen LAN-Netz) hereinlassen
27  pass in on $int_if
28
29  # alles vom wlan_if (aus dem internen WLAN-Netz) hereinlassen
30  pass in on $wlan_if
31
32  # SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
33  # die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
34  # immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
35  pass in inet proto tcp to port 22

Wenn Du unbedingt eine bridge nutzen moechtest, solltest Du deine config wie folgt abaendern:

Code:

1 # cp /etc/hostname.vr0 /etc/hostname.vether0
2 # cp /etc/hostname.vr{0,1,2,3}{,.orig} && echo "up" > /etc/hostname.vr{0,1,2,3}

Dann entsprechend `add vether0' noch oben in die /etc/hostname.bridge0 eintragen und auch in der pf.conf vr0 durch vether0 ersetzen.

[littlebit]

Vielen Dank midnight,

was mich auch interessieren wuerde ist die Konfiguration deiner Interfaces.

Vielen Dank nochmals.

littlebit

[midnight]

vr0 ist hier zu Testzwecken an ein zusaetzliches gateway (hier www.gateway genannt) per dhcp angeschossen. Normalerweise nutze ich fuer sowas statische IP's. Ich habe einfach mal auf die Schnelle eine simple dhcpd.conf als Beispiel erstellt. Hierbei stellt jedes interface IP's per dhcp an die angeschlossenen / per WLAN verbundenen Rechner / Smartphones etc. zur Verfuegung. Ich nutze allerdings keine bridge.

Code:

# cat /etc/hostname.vr0
dhcp

# cat /etc/hostname.vr1
inet 10.0.0.1 255.255.255.0 NONE

# cat /etc/hostname.vr2
inet 20.0.0.1 255.255.255.0 NONE

# cat /etc/hostname.vr3
inet 30.0.0.1 255.255.255.0 NONE

# cat /etc/hostname.athn0
inet 40.0.0.1 255.255.255.0 NONE media mode 11g mediaopt hostap nwid AABBCC chan 8 wpakey XXYYZZ

# cat /etc/rc.conf.local
ntpd_flags="-s"
dhcpd_flags="vr1 vr2 vr3 athn0"

# cat /etc/dhcpd.conf
option domain-name "www.gateway";
option domain-name-servers 192.168.199.254;

max-lease-time 43200;
default-lease-time 43200;

subnet 10.0.0.0 netmask 255.255.255.0 {
        option routers 10.0.0.1;
        range 10.0.0.2 10.0.0.127;
}

subnet 20.0.0.0 netmask 255.255.255.0 {
        option routers 20.0.0.1;
        range 20.0.0.2 20.0.0.127;
}

subnet 30.0.0.0 netmask 255.255.255.0 {
        option routers 30.0.0.1;
        range 30.0.0.2 30.0.0.127;
}

subnet 40.0.0.0 netmask 255.255.255.0 {
        option routers 40.0.0.1;
        range 40.0.0.2 40.0.0.127;
}

[littlebit]

Ist denn die Konfiguration fuer so eine Loesung etwas umstaendlich? Es sei denn du teilst die 4 NICs von der Soekris fuer verschriedene Abteilungen ein die von einander abgeschottet werden sollen.

[midnight]

Nein, seit es vether(4) gibt, macht es fuer deine Zwecke keinen Unterschied mehr, ob Du verschiedene subnets nutzt oder eine bridge. Vorher gabs es jedoch oefter Probleme, dass sich die vr(4) devices nach Ausschalten eines angeschlossenen PC's nicht mehr erreichen liessen und erst nach einem Neustart des routers oder nach einem ifconfig down und erneutem up wieder da waren.

[littlebit]

Ah ok,
dann wie wuerde dann die /etc/hostname.vether0 aussehen? Befindet sich darin die ipconfiguration
"inet 10.0.0.1 255.255.255.0" ?
Wie sieht denn hostname.vether0 aussehen?

Und bei der /etc/pf.conf bei folgenden Linie:
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

Zum einen ist ext_if ist bei mir statisch und was bedeutet ":0" ?

[midnight]

Habe heute mal wieder auf bridge umkonfiguriert. Hier meine komplette config:

Code:

# uname -a
OpenBSD soekris.gateway 5.1 GENERIC#160 i386

Code:

# df -h
Filesystem     Size    Used   Avail Capacity  Mounted on
/dev/wd0a      1.9G    230M    1.5G    13%    /
mfs:12576     61.9M    3.1M   55.7M     5%    /var
mfs:17688      3.4M   32.0K    3.2M     1%    /dev

Code:

# mount
/dev/wd0a on / type ffs (local, noatime, read-only)
mfs:12576 on /var type mfs (asynchronous, local, noexec, nosuid, size=131072 512-blocks)
mfs:17688 on /dev type mfs (asynchronous, local, noexec, nosuid, size=8192 512-blocks)

Code:

# cat /etc/hostname.bridge0
add vether0
add vr1
add vr2
add vr3
add athn0
up

Code:

# cat /etc/hostname.vether0
inet 10.0.0.1 255.255.255.0 NONE
inet6 2001::1 64

Hinweis: vr0 ist mein externes interface

Code:

# cat /etc/hostname.vr0
dhcp

# cat /etc/hostname.vr1
up

# cat /etc/hostname.vr2
up

# cat /etc/hostname.vr3
up

# cat /etc/hostname.athn0
up media mode 11g mediaopt hostap nwid NWID chan 8 wpakey WPAKEY

Code:

# cat /etc/hosts
127.0.0.1       localhost
::1             localhost
10.0.0.1        soekris.gateway soekris
2001::1         soekris.gateway soekris

Code:

# cat /etc/sysctl.conf
[snip]
net.inet.ip.forwarding=1
net.inet6.ip6.forwarding=1
[/snip]

Code:

# cat /etc/pf.conf
ext_if = "vr0"                          # externes Netz: DSL / ppp
int_if = "{ vether0, vr1, vr2, vr3 }"   # internes LAN-Netz
wlan_if = "athn0"                       # internes WLAN-Netz

# keine Packet-Filterungen auf lo (loopback-device)
set skip on lo

# Alle eingehenden Pakete "normalisieren".
match in all scrub (no-df max-mss 1440)

# NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
# interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

# alles blocken
block all

# Antispoof aktivieren, um eingehende Pakete mit gefaelschten IP's zu blocken.
antispoof for $int_if
antispoof for { lo0, $ext_if, $wlan_if }

# alles aus ext_if heraus lassen
pass out on $ext_if

# alles vom int_if (aus dem internen LAN-Netz) hereinlassen
pass in on $int_if

# alles vom wlan_if (aus dem internen WLAN-Netz) hereinlassen
pass in on $wlan_if

# SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
# die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
# immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
pass in inet proto tcp to port 22

Code:

# cat /etc/rc.conf.local
ntpd_flags="-s"
dhcpd_flags="vether0"

Code:

# cat /etc/dhcpd.conf
option  domain-name "www-gateway";
option  domain-name-servers 192.168.1.1, 8.8.8.8;

max-lease-time 43200;
default-lease-time 43200;

subnet 10.0.0.0 netmask 255.255.255.0 {
        option routers 10.0.0.1;
        range 10.0.0.2 10.0.0.127;
}

Code:

# ifconfig
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33196
        priority: 0
        groups: lo
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
        inet 127.0.0.1 netmask 0xff000000
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:98
        priority: 0
        groups: egress
        media: Ethernet autoselect (100baseTX half-duplex)
        status: active
        inet6 fe80::200:24ff:fec9:2a98%vr0 prefixlen 64 scopeid 0x1
        inet 192.168.1.63 netmask 0xffffff00 broadcast 192.168.1.255
vr1: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:99
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet6 fe80::200:24ff:fec9:2a99%vr1 prefixlen 64 scopeid 0x2
vr2: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:9a
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet6 fe80::200:24ff:fec9:2a9a%vr2 prefixlen 64 scopeid 0x3
vr3: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:00:24:c9:2a:9b
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet6 fe80::200:24ff:fec9:2a9b%vr3 prefixlen 64 scopeid 0x4
athn0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:0c:42:65:cb:5d
        priority: 4
        groups: wlan
        media: IEEE802.11 autoselect mode 11g hostap
        status: active
        ieee80211: nwid NWID chan 8 bssid 00:0c:42:65:cb:5d wpakey 0x9cc241a6314dfc5f447166e07335f8bacf1322d5abfc676c702a2ddad6fa3621 wpaprotos wpa1,wpa2 wpaakms psk wpaciphers tkip,ccmp wpagroupcipher tkip
        inet6 fe80::20c:42ff:fe65:cb5d%athn0 prefixlen 64 scopeid 0x5
enc0: flags=0<>
        priority: 0
        groups: enc
        status: active
vether0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        lladdr fe:e1:ba:d0:93:97
        priority: 0
        groups: vether
        media: Ethernet autoselect
        status: active
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        inet6 fe80::fce1:baff:fed0:9397%vether0 prefixlen 64 scopeid 0x8
        inet6 2001::1 prefixlen 64
bridge0: flags=41<UP,RUNNING>
        groups: bridge
        priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp
        athn0 flags=3<LEARNING,DISCOVER>
                port 5 ifpriority 0 ifcost 0
        vr3 flags=3<LEARNING,DISCOVER>
                port 4 ifpriority 0 ifcost 0
        vr2 flags=3<LEARNING,DISCOVER>
                port 3 ifpriority 0 ifcost 0
        vr1 flags=3<LEARNING,DISCOVER>
                port 2 ifpriority 0 ifcost 0
        vether0 flags=3<LEARNING,DISCOVER>
                port 8 ifpriority 0 ifcost 0
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33196
        priority: 0
        groups: pflog

[midnight]

Zitat:

Zitat von littlebit

Und bei der /etc/pf.conf bei folgenden Linie:
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

Zum einen ist ext_if ist bei mir statisch und was bedeutet ":0" ?

PF.CONF(5)
:0 Do not include interface aliases.

Du kannst die Klammer ruhig lassen, sie aber auch entfernen wenn sich deine IP nicht aendert.

[midnight]

Zitat:

Zitat von littlebit

Hier ist der Inhalt der hostname.xl0Datei:

Code:

inet 192.168.1.200 255.255.255.0 NONE
!route add default 192.168.1.254
!route add -net 10.0.0.0/24 10.0.0.1
!route add -net 192.168.1.0/24 192.168.1.200

Es sollte eigentlich reichen, wenn Du folgendes in deiner /etc/hostname.xl0 hast:

Code:

inet 192.168.1.200 255.255.255.0 NONE

und folgendes in deiner /etc/mygate

Code:

192.168.1.254

[midnight]

Zitat:

Zitat von littlebit

Ist denn die Konfiguration fuer so eine Loesung etwas umstaendlich? Es sei denn du teilst die 4 NICs von der Soekris fuer verschriedene Abteilungen ein die von einander abgeschottet werden sollen.

Ein fuer mich grosser Nachteil von bridge und einige der Gruende, warum ich diese generell unter OpenBSD vermeide:

pf.conf(5)

Code:

[...]
Options returning ICMP packets currently have no effect if pf(4)
operates on a bridge(4), as the code to support this feature has
not yet been implemented.
[...]
Rules with synproxy will not work if pf(4) operates on a bridge(4).
[...]

[littlebit]

Verstehe,
vielen Dank fuer die Aufklaerung, nur noch eine letzte Frage.
Bei der Konfiguration von pf ab zeile 14:

Zitat:

# NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
# interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

Danke.

es wurde von dir kommentiert dass alles von int_if und wlan_if zu ext_if geNATtet wird, aber wo ist dann wlan_if?

[midnight]

Zitat:

Zitat von littlebit

Verstehe,
vielen Dank fuer die Aufklaerung, nur noch eine letzte Frage.
Bei der Konfiguration von pf ab zeile 14:



Danke.

es wurde von dir kommentiert dass alles von int_if und wlan_if zu ext_if geNATtet wird, aber wo ist dann wlan_if?

Alles was von `! $ext_if' (von NICHT $ext_if) kommt. Das bedeutet lo0 und die subnets von $int_if, $wlan_if -- alles ausser $ext_if. Man haette hier auch jedes subnet einzeln auffuehren koennen oder auch zwei match out Regeln. So ist es aber kuerzer.

[littlebit]

stimmt. War nicht direkt in der manpage zu finden aber macht Sinn.

Danke.