xDSL.at

[tomster]

Servus beinand!

Ich habe am Wochenende einmal mein 510 (FW 4.2.X) als Router für meinen Ex-Tiscali-Anschluß (EUnet) konfiguriert. Funzt eigentlich ganz gut.
Nachdem ich in Zukunft vorhabe hinter das 510 eine Fritzbox 7170 als ATA/LAN 1 zu hängen (ist hoffentlich bei einem POTS nicht so eine Frickelei wie bei Ö-ISDN/Alcatel-Splitter), bleibt die Frage nach dem Portforwardings. Soweit ich es bislang verstanden habe, hat das 510 eine Firewall, die zunächst nix durchlässt.
Leider habe ich einige Anwendungen, die eine ganze Litanei an Portforwardings benötigen (SIP/ RTP, etc.). Um die alle an's Laufen zu bringen, müsste ich ja sämtlich Forwardings 2 Mal eintragen. Ein Mal im Modem und einmal auf der 7170.

Drum dachte ich mir, es wäre doch einfacher beim 510 das Firewalling komplett zu deaktivieren. Leider könnte man dann aber wohl auch "von aussen" auf 21, 23, 80 direkt das Modem ansprechen (auch wenn ich's durch ein PW schütze).
Um aber zu umgehen, dass ich nun jeden freizugebenden Port manuell 2 Mal eintrage, dachte ich daran mit Portranges zu arbeiten. Ich sitze leider nicht am Modem (steht in der Ferienwohnung), würde aber gerne im Vorfeld wissen, ob's so hinhaut, wie ich mir das vorstelle:

Lediglich auf dem 510 (Firewall on)
Forward 1-20
Forward 22
Forward 24-79
Forward 81-unendlich

Klar ist mir, dass das Webinterface diese Einträge wohl nicht zulässt. Aber evtl. geht es ja auch via telnet/ .ini. Das würde mir nämlich einiges an Einträgen ersparen... Hat wer eine Idee dazu?

Danke schon Mal für Eure Hilfe.
Gruß aus München
TOM

--edit--
Ok, Ok, SuFu hätte wohl geholfen... (auch wenn ich es vorhin noch nicht gefunden habe)

> eine Portrange freizuschalten.

geht auch nicht in einem einzigen schritt. man muss jeden port fuer sich forwarden, was im web-if muehsam ist.
http://ju-linux.no-ip.info/kramuri/st510_2.png
per telnet gehts einfacher, wenn man sich die befehle in einem editor zusammenschreibt (kopiert und dann nur die ports eintraegt) und dann auf einmal reinpastet. syntax:

nat create protocol = <{<supported IP protocol name>|<number>}>
inside_addr = <ip-address>
[inside_port = <{<supported TCP/UDP port name>|<number>}>]
outside_addr = <ip-address>
[outside_port = <{<supported TCP/UDP port name>|<number>}>]
[foreign_addr = <ip-address>]
[foreign_port = <{<supported TCP/UDP port name>|<number>}>]

einfache alternative waere, die fb als "standardserver" (aka "dmz") einzutragen.

...also scheint es NICHT zu gehen. Man muss wohl oder übel sämtliche hundert Ports so eintragen. Wie geht das nomml mit der DMZ auf dem 510?

[tomster]

..nomml nachgefragt...
Das näxte Mal überleg ich mir besser VORHER, was ich alles wissen will

Könnte man nicht mittels DHCP-Spoofing die Thematik komplett umgehen? Das 510 "reicht" die externe IP einfach direkt an die FBF weiter und kümmert sich (dann wohl) gar nimma um evtl. Ports...

[jutta]

ob dhcp-spoofing funktioniert, haengt von der software-version ab. aber die meisten router koennen damit nicht umgehen und kriegen nicht mit, wenn sich die wan-ip aendert. besser: fritzbox als "dmz" aka "standardserver". dafuer gibts im web-interface einen eigenen reiter. screenshot unter: http://ju-linux.no-ip.info/kramuri/st510_2.png

so nebenbei: es ist wohl nur eine frage von zeit, bis es fuer dein fb-modell einen annex a patch gibt. dann kannst du sie als modem verwenden.

[tomster]

Servus Jutta,

Wirkliches DHCP Spoofing wär's bei mir ja eigentlich gar nicht, da ich eine feste IP habe. Es muss halt nur sichergestellt sein, dass das 510 die Anfragen an die externe IP auch wirklich, eben wie bei DHCPSpoofing, an die FBF weitergibt. Drum Quasi-IP-Spoofing. Weisst du, ob es schon jemand analog http://www.petri.co.il/configure_alcate ... oofing.htm hinbekommen hat? Wie oben geschrieben fahr ich derzeit die 4.2.X auf dem 510. Haut's mit der hin?

Das mit der DMZ wär eher meine 2. Wahl (Dennoch Danke für den Link).

Von der ge-Annex-A-ten 7170 hab ich auch schon gelesen. So groß werden die FW-Unterschiede ja nicht sein zwischen 7140 und 7170. Drum hoffen & warten.

Dennoch muss ich in der Zwischenzeit mit beschriebenem Weg eine 7170 an's Laufen bekommen. Wenn's dann den Patch gibt - umso besser. Dann leg ich das 510 zu den Akten.

[jutta]

was immer du unter "wirklichem dhcp-spoofing" verstehst ...

probiers halt. vorher ein backup von der funktionierenden user.ini machen.

jftr: um die fritzbox zum laufen zu bringen, sind weder dmz noch dhcp-spoofing noetig, sondern nur das forwarden jener paar ports, die tatsaechlich gebraucht werden.

[tomster]

Also:
DCHP-IP-Spoofing verstehe ich so, dass zum einem das 510 die WAN-IP an die FBF durchreichen muss. Diese Funktion muss im 510 konfiguriert werden. Ich hatte dich so verstanden, dass für diese Funktionalität der entsprechende FW-Stand des 510 passen muss. Daher meine Frage, ob es mit 4.2.X geht, bzw. wie es geht. <- Soll meinen: würd ich ja probieren, wenn ich wüsste wie.

Der 2. Teil vom funktionierenden IP-Spoofing wäre, dass der dahinter liegende, um's Modem "kastrierte" Router, also in meinem Fall die FBF, die vom 510 durchgereichte WAN-IP-Adresse (bzw. eine eventuelle Änderung bei Neueinwahl) auch versteht, oder wie du geschrieben hast: mitkriegt.
Drum ja DCHP-IP-Spoofing, weil das 510 die sich ändernde WAN-IP per DHCP an die FBF weitergeben soll.

Diese 2 Teile sind meinem Verständnis nach notwendig, um ein funzendes (DHCP)-IP-Spoofing zu haben. In meinem Fall erleichtert sich der 2. Teil erheblich, da sich die WAN-IP gar ned ändert. Drum wär es "nur" notwendig, dass das 510 eben die WAN-IP 1:1 durchreicht. In der FBF steht dann nämlich nur die fixe WAN-IP und feddich.

Just to complete the records:

Recht hast, dass es eigentlich langen würd, wenn das 510 die paar Ports forwardet, die gebraucht werden. In meinem Fall habe ich aber IP-Telefone hinter der FBF, die sich an einem externen Asterisk-Server anmelden. Dieser hat auf Grund seiner "Größe" leider knapp 120 RTP-Ports auf die er hören muss, bzw. die er für die einzelnen Gespräche verteilt. Und eben diese 120 RTP-Ports müsste ich dann einzeln vom 510 forwarden/öffnen. Eine Fleißaufgabe, die ich mir gerne sparen wollte...

Es geht also ein bissl über den "normalen" FBF-Nutzer hinaus.

Aus diesem Grund wär mir (bis 7170 Annex A) die Spoofing-Variante das Liebste, DMZ nur 2.Wahl.

Ich hoffe, ich hab es verständlich genug geschrieben. Is a bisserl komplex des Thema, ich weiß