OpenWRT: Problem beim GuestWifi auf 2,4MHz einrichten

Brom

Addicted

Registered: Oct 2003
Location: Graz
Posts: 408

15.10.2015 - 14:40

hi,
hab mir den neuen TP-Link Archer C7 gegönnt und mit OpenWrt Chaos Calmer 15.05 versorgt.

Ich bin streng nach der Anleitung von hier vorgegangen, trotzdem schaff ich kein Internet über das GuestWifi (81626open). Der Client zieht eine DHCP Lease, korrekter Gateway und DNS sind da (Router IP 192.168.200.1), aber alles raus ins Internet zeigt sofort keine Verbindung an. Vielleicht ist es wirklich nur irgendwo ein Hakerl, aber ich finds EINFACH NET!

Vielleicht kann mir wer helfen, ich checks nicht mehr!

2015-10-15-14_30_19-wlan-general-settings-luci_207872.png

2015-10-15-14_30_27-wlan-general-settings-luci_207873.png

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6503

15.10.2015 - 14:50

Bis wohin kannst du denn aus dem Gästenetz Pingen?

Beginne mit 127.0.0.1, dann die eigene IP, dann den Gateway, dann eine andere IP im gleichen Netz, dann eine IP in einem anderen Netz.

AdRy

Auferstanden

Registered: Oct 2002
Location: Wien
Posts: 5239

15.10.2015 - 14:54

Wenn du beim guest -> wan "input" reject hast, werden keine Daten ankommen.. daher alles keine Verbdindung. Oder hab ich das falsch verstanden?

delete1

Registered: Apr 2007
Location:
Posts: 1845

15.10.2015 - 15:03

ggf. mal a andere ssid ausprobieren. bei meinem archer c7 und ppen wrt hatte ich probleme mit zahlen in der wlan ssid. hatte ich da zahlen drinnen, gab der dhcp keine ip. statisch eingetragen, kam ich bis zum gw aber nicht raus. war zu faul zu suchen warum das so war. maybe ist das bei dir ja gleich. und ja, ich weiß wie sich diese kausalität anhört..

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10340

15.10.2015 - 15:32

Input REJECT beim Gast-Lan kommt mir auch seltsam vor..

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6503

15.10.2015 - 15:44

Zitat von XeroXs
Input REJECT beim Gast-Lan kommt mir auch seltsam vor..

ack, in der Anleitung die er verwendet hat steht's aber so drinnen.

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10340

15.10.2015 - 15:46

Zitat von mr.nice.
ack, in der Anleitung die er verwendet hat steht's aber so drinnen.

Habe ich gesehen, aber muss ja nicht alles richtig sein im WWW

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6503

15.10.2015 - 16:16

Stimmt, es kann nicht jede Seite die Qualität von overclockers.at haben

MjrSEIDL

OC Addicted

Registered: Nov 2000
Location: wien
Posts: 1178

15.10.2015 - 20:10

hmm... reject input hat ein problem... dein gateway ist im guest lan und wird rejected... du müsstest also eine eigene regel definieren fürs gateway mit accept... dann sollte es gehen... oder du acceptest input im guestlan und lebst damit, dass sie untereinander kommunizieren können.

edit:
unter diesem punkt beschrieben:

Zitat
We need to configure the rule, so choose to edit it. Set Source zone to guest, and set Destination zone to Device (input) like shown here

postest mal einen screenshot der traffic rules?

Bearbeitet von MjrSEIDL am 15.10.2015, 20:13

Brom

Addicted

Registered: Oct 2003
Location: Graz
Posts: 408

15.10.2015 - 20:21

so,
danke mal für die Vorschläge!

- SSID auf open umbenannt: Keine Verbesserung
- INPUT ACCEPT bei Guest Netz: Keine Verbesserung
- Pingen:
Ping auf localhost OK
Ping auf zugewiesene IP (192.168.200.109) OK
Ping auf Gateway (192.168.200.1) Zielport nicht erreichbar
Ping auf Gateway-LAN (192.168.24.253) Zielport nicht erreichbar
Ping auf 8.8.8.8 Zielport nicht erreichbar
Was mir klar ist, weil ja keine Regel existiert, die ICMP zulässt bzw. forwarded

Sehr wohl funktioniert aber DNS-Auflösung, wenn ich ein tracert auf den google dns mache, weiß er sehr wohl, dass es der public google dns a ist...

@mjrseidl:
hab ich beide laut anleitung eingetragen und funktionieren auch, dhcp u. dns geht.
TrafficRules, ausser den beiden Guest EInträgen alles ootb.

MjrSEIDL

OC Addicted

Registered: Nov 2000
Location: wien
Posts: 1178

15.10.2015 - 20:36

hmm... probier mal testweise eine regel-> from anyhost in guest to any router IP on this device accept...
btw: die port 500 forward regel schaut seltsam aus... forward vom wan ins lan? hat aber nichts mit dem guest wlan zu tun

Bearbeitet von MjrSEIDL am 15.10.2015, 20:39

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3282

15.10.2015 - 20:43

Zitat von MjrSEIDL
hmm... reject input hat ein problem... dein gateway ist im guest lan und wird rejected... du müsstest also eine eigene regel definieren fürs gateway mit accept... dann sollte es gehen... oder du acceptest input im guestlan und lebst damit, dass sie untereinander kommunizieren können.

das könnts sein, probier:

Code:

config zone
        option forward 'REJECT'
        option output 'ACCEPT'
        option input 'REJECT'
        option network 'public'
        option name 'guest'
        option masq '1'

config forwarding
        option dest 'lan'
        option src 'public'

config redirect
        option target 'SNAT'
        option src 'public'
        option dest 'lan'
        option proto 'all'
        option src_dip '192.168.24.253'
        option name 'allow Internet'

config rule
        option src 'public'
        option dest 'lan'
        option name 'block LAN'
        option proto 'all'
        option dest_ip '192.168.24.0/24'
        option target 'DROP'

habs nun mit LuCI nochmal nachgespielt:
http://i.imgur.com/AuSdbaY.png
http://i.imgur.com/BEHvuRG.png
http://i.imgur.com/14HzTzz.png

block LAN:
http://i.imgur.com/wWcrGRT.png
http://i.imgur.com/vAej0VI.png

ich hoff ich hab deine IPs/name alle richtig

durch option input 'REJECT' brauchts die dns+dhcp rules, umgekehrt mit ACCEPT müsste man ports von guest > device blocken. (zb. http + ssh zum router)

sollen sich die wlan clients auch nicht sehen:
in /etc/config/wireless beim 81626open: isolate = 1
oder mit: uci set wireless.81626open.isolate=1

habs bei mir unter BB 14.07 getestet, sollte es mit cc nicht gehn vielleicht ein bug? (never change a running system, zu faul

)

ich leg auch nicht meine Hand ins Feuer dass das alles der schönste weg ist - learning by doing war mein ziel > mehr test ich nimmer. der waf sank nach einem reboot schon unter 0

Bearbeitet von tialk am 15.10.2015, 23:51

Brom Addicted Registered: Oct 2003 Location: Graz Posts: 408	15.10.2015 - 14:40 hi, hab mir den neuen TP-Link Archer C7 gegönnt und mit OpenWrt Chaos Calmer 15.05 versorgt. Ich bin streng nach der Anleitung von hier vorgegangen, trotzdem schaff ich kein Internet über das GuestWifi (81626open). Der Client zieht eine DHCP Lease, korrekter Gateway und DNS sind da (Router IP 192.168.200.1), aber alles raus ins Internet zeigt sofort keine Verbindung an. Vielleicht ist es wirklich nur irgendwo ein Hakerl, aber ich finds EINFACH NET! Vielleicht kann mir wer helfen, ich checks nicht mehr!
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6503	15.10.2015 - 14:50 Bis wohin kannst du denn aus dem Gästenetz Pingen? Beginne mit 127.0.0.1, dann die eigene IP, dann den Gateway, dann eine andere IP im gleichen Netz, dann eine IP in einem anderen Netz.
AdRy Auferstanden Registered: Oct 2002 Location: Wien Posts: 5239	15.10.2015 - 14:54 Wenn du beim guest -> wan "input" reject hast, werden keine Daten ankommen.. daher alles keine Verbdindung. Oder hab ich das falsch verstanden?
delete1 Registered: Apr 2007 Location: Posts: 1845	15.10.2015 - 15:03 ggf. mal a andere ssid ausprobieren. bei meinem archer c7 und ppen wrt hatte ich probleme mit zahlen in der wlan ssid. hatte ich da zahlen drinnen, gab der dhcp keine ip. statisch eingetragen, kam ich bis zum gw aber nicht raus. war zu faul zu suchen warum das so war. maybe ist das bei dir ja gleich. und ja, ich weiß wie sich diese kausalität anhört..
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10340	15.10.2015 - 15:32 Input REJECT beim Gast-Lan kommt mir auch seltsam vor..
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6503	15.10.2015 - 15:44 Zitat von XeroXs Input REJECT beim Gast-Lan kommt mir auch seltsam vor.. ack, in der Anleitung die er verwendet hat steht's aber so drinnen.
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10340	15.10.2015 - 15:46 Zitat von mr.nice. ack, in der Anleitung die er verwendet hat steht's aber so drinnen. Habe ich gesehen, aber muss ja nicht alles richtig sein im WWW
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6503	15.10.2015 - 16:16 Stimmt, es kann nicht jede Seite die Qualität von overclockers.at haben
MjrSEIDL OC Addicted Registered: Nov 2000 Location: wien Posts: 1178	15.10.2015 - 20:10 hmm... reject input hat ein problem... dein gateway ist im guest lan und wird rejected... du müsstest also eine eigene regel definieren fürs gateway mit accept... dann sollte es gehen... oder du acceptest input im guestlan und lebst damit, dass sie untereinander kommunizieren können. edit: unter diesem punkt beschrieben: Zitat We need to configure the rule, so choose to edit it. Set Source zone to guest, and set Destination zone to Device (input) like shown here postest mal einen screenshot der traffic rules? Bearbeitet von MjrSEIDL am 15.10.2015, 20:13
Brom Addicted Registered: Oct 2003 Location: Graz Posts: 408	15.10.2015 - 20:21 so, danke mal für die Vorschläge! - SSID auf open umbenannt: Keine Verbesserung - INPUT ACCEPT bei Guest Netz: Keine Verbesserung - Pingen: Ping auf localhost OK Ping auf zugewiesene IP (192.168.200.109) OK Ping auf Gateway (192.168.200.1) Zielport nicht erreichbar Ping auf Gateway-LAN (192.168.24.253) Zielport nicht erreichbar Ping auf 8.8.8.8 Zielport nicht erreichbar Was mir klar ist, weil ja keine Regel existiert, die ICMP zulässt bzw. forwarded Sehr wohl funktioniert aber DNS-Auflösung, wenn ich ein tracert auf den google dns mache, weiß er sehr wohl, dass es der public google dns a ist... @mjrseidl: hab ich beide laut anleitung eingetragen und funktionieren auch, dhcp u. dns geht. TrafficRules, ausser den beiden Guest EInträgen alles ootb.
MjrSEIDL OC Addicted Registered: Nov 2000 Location: wien Posts: 1178	15.10.2015 - 20:36 hmm... probier mal testweise eine regel-> from anyhost in guest to any router IP on this device accept... btw: die port 500 forward regel schaut seltsam aus... forward vom wan ins lan? hat aber nichts mit dem guest wlan zu tun Bearbeitet von MjrSEIDL am 15.10.2015, 20:39
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3282	15.10.2015 - 20:43 Zitat von MjrSEIDL hmm... reject input hat ein problem... dein gateway ist im guest lan und wird rejected... du müsstest also eine eigene regel definieren fürs gateway mit accept... dann sollte es gehen... oder du acceptest input im guestlan und lebst damit, dass sie untereinander kommunizieren können. das könnts sein, probier: Code: `config zone option forward 'REJECT' option output 'ACCEPT' option input 'REJECT' option network 'public' option name 'guest' option masq '1' config forwarding option dest 'lan' option src 'public' config redirect option target 'SNAT' option src 'public' option dest 'lan' option proto 'all' option src_dip '192.168.24.253' option name 'allow Internet' config rule option src 'public' option dest 'lan' option name 'block LAN' option proto 'all' option dest_ip '192.168.24.0/24' option target 'DROP'` habs nun mit LuCI nochmal nachgespielt: http://i.imgur.com/AuSdbaY.png http://i.imgur.com/BEHvuRG.png http://i.imgur.com/14HzTzz.png block LAN: http://i.imgur.com/wWcrGRT.png http://i.imgur.com/vAej0VI.png ich hoff ich hab deine IPs/name alle richtig durch option input 'REJECT' brauchts die dns+dhcp rules, umgekehrt mit ACCEPT müsste man ports von guest > device blocken. (zb. http + ssh zum router) sollen sich die wlan clients auch nicht sehen: in /etc/config/wireless beim 81626open: isolate = 1 oder mit: uci set wireless.81626open.isolate=1 habs bei mir unter BB 14.07 getestet, sollte es mit cc nicht gehn vielleicht ein bug? (never change a running system, zu faul ) ich leg auch nicht meine Hand ins Feuer dass das alles der schönste weg ist - learning by doing war mein ziel > mehr test ich nimmer. der waf sank nach einem reboot schon unter 0 Bearbeitet von tialk am 15.10.2015, 23:51

OpenWRT: Problem beim GuestWifi auf 2,4MHz einrichten

Forum Index > Hardware > Peripherie > Netzwerktechnik

Brom

mr.nice.

AdRy

delete1

XeroXs

mr.nice.

XeroXs

mr.nice.

MjrSEIDL

Brom

MjrSEIDL

tialk