Soekris wlan box

[littlebit]

@midnight:
ich habe mir mal deine Beitraege in diesem Thread nochmal angeschaut und finde meine Konfiguration mit der bridge umständlich, und verstehe jetzt warum du es bei jedem iface ein eingenes subnetz zuteilst.
Ich habe jetzt mal von vorne angefangen, und habe jetzt volgende Konfiguration:

/etc/resolv.conf:

#mein DSL Router
nameserver 192.168.1.254

/etc/rc.conf.local:

dhcpd_flags="vr0"

/etc/hostname.xl0:

inet 192.168.1.254 255.255.255.0 NONE
up

/etc/hostname.vr0:

inet 10.0.0.1 255.255.255.0 NONE
up

/etc/dhcpd.conf

option domain-name "home.ger";
option domain-name-servers 192.168.1.2;

max-lease-time 43200;
default-lease-time 43200;

subnet 10.0.0.0 netmask 255.255.255.0 {
        option routers 10.0.0.1;
        option domain-name "keller.home.ger";
        range 10.0.0.100 10.0.0.200;
}

Die konfiguration vom PF beschänkt sich auf nur ein iface fürs erste.

/etc/pf.conf

ext_if  = "xl0"         # externes Netz: DSL / ppp
int_if  = "vr0"         # internes LAN-Netz

# keine Packet-Filterungen auf lo (loopback-device)
set skip on lo

# Alle eingehenden Pakete "normalisieren".
match in all scrub (no-df max-mss 1440)

# NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
# interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

# alles blocken
block all

#Antispoof aktivieren, um eingehende Packete mit gefaelschten IP's zu blocken.
antispoof for lo0
antispoof for { $ext_if, $int_if } inet

# alles aus ext_if heraus lassen
pass out on $ext_if

# alles vom int_if (aus dem internen LAN-Netz) hereinlassen
pass in on $int_if

# SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
# die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
# immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
pass in inet proto tcp to port 22

Bekomme auch eine IP mit der zugehörigen subdain, aber wenn ich ein ping vom client machen bekomme ich auf tcpdump folgendes:

09:58:55.220460 10.0.0.100.53568 > iris.home.ger.domain: 46083+ A? drupal.org. (28) (DF)                                                                           
09:58:55.220626 iris.home.ger > 10.0.0.100: icmp: iris.home.ger udp port domain unreachable

Von der Soekris aus pingen geht ohne Probleme, habe versucht den Fehler zu finden aber weis nicht mehr weiter.
Vielleicht siehst du den Fehler.

 

[midnight]

Probiere mal:

pass inet proto icmp

 

[TCM]

Die konfiguration vom PF beschänkt sich auf nur ein iface fürs erste.

/etc/pf.conf

ext_if  = "xl0"         # externes Netz: DSL / ppp
int_if  = "vr0"         # internes LAN-Netz

# keine Packet-Filterungen auf lo (loopback-device)
set skip on lo

# Alle eingehenden Pakete "normalisieren".
match in all scrub (no-df max-mss 1440)

# NAT von int_if und wlan_if zu ext_if. Die Klammern () um das externe
# interface ext_if bedeuten, dass die IP hier dynamisch ist uns wechseln kann.
match out on $ext_if from ! $ext_if nat-to ($ext_if:0)

# alles blocken
block all

#Antispoof aktivieren, um eingehende Packete mit gefaelschten IP's zu blocken.
antispoof for lo0
antispoof for { $ext_if, $int_if } inet

# alles aus ext_if heraus lassen
pass out on $ext_if

# alles vom int_if (aus dem internen LAN-Netz) hereinlassen
pass in on $int_if

# SSH-Verbindung Port 22 auf allen Interfaces erlauben. Sollte IMMER
# die letzte Regel sein, damit bei falscher Konfigurationen der Firewall
# immer eine SSH-Verbindung fuer Rettungsmassnahmen aufgebaut werden kann.
pass in inet proto tcp to port 22

Bekomme auch eine IP mit der zugehörigen subdain, aber wenn ich ein ping vom client machen bekomme ich auf tcpdump folgendes:

09:58:55.220460 10.0.0.100.53568 > iris.home.ger.domain: 46083+ A? drupal.org. (28) (DF)                                                                           
09:58:55.220626 iris.home.ger > 10.0.0.100: icmp: iris.home.ger udp port domain unreachable

Von der Soekris aus pingen geht ohne Probleme, habe versucht den Fehler zu finden aber weis nicht mehr weiter.
Vielleicht siehst du den Fehler.

Ist dein externes Interface wirklich xl0 oder nicht eher ppp0 oder pppoe0? Sind die antispoof-Regeln nicht an der falschen Stelle? Weiter unten erlaubst du doch eh alles.

 

[littlebit]

@midnight: habe ich probiert. hat nichts gefholfen. Stimmt es denn bei meiner dhcpd.conf denn mit "option routers 10.0.0.1;"? das ist die ip von vr0. Oder soll da die ip von xl0 stehen? Also 192.168.1.2..

@TCM: das externe interface is xl0, es ist via lan an mein dsl router verbunden.