Vorwort
Mittels dieser Anleitung kann der Tunnel-Zugang mit fester IP-Adresse auf einem DD-WRT Betriebssystem eingerichtet werden. Die feste IPv4-Adresse liegt auf dem Gerät an und kann von dort aus mittels Port-Weiterleitungen (“DNAT”) in Ihrem LAN weiter transportiert werden.
Es gibt zwei Konfigurationsvarianten:
Konfiguration als IP-Client
Diese Konfigurationsvariante eignet sich besonders für die Integration in ein bestehendes Netzwerk. Der Linksys WRT3200ACM befindet sich dabei nur im bestehenden LAN und öffnet selbst kein neues Netzwerk. Es wird nur die ETHERNET-Buchse verwendet, die INTERNET-Buchse (“WAN”) bleibt ungenutzt.
Beispiele für die Verwendung dieser Variante:
- IP-Kameras, Webcams, Datenlogger, die sich bereits im LAN befinden
Konfiguration als DMZ-Router / kaskadierter Router
Mit dieser Konfigurationsvariante eröffnet der Linksys WRT3200ACM neben dem bestehenden LAN ein neues LAN, fortan “DMZ” genannt. Alle Geräte, die über die feste IP-Adresse kommunizieren und / oder mittels Port-Weiterleitungen (DNAT) über die feste IP-Adresse des IP-Tunnels aus dem Internet erreichbar gemacht werden sollen, befinden sich in einem neuen, abgetrennten Netzwerk. Die Nutzung dieser Variante ist auch erforderlich, wenn Sie dem Linksys WRT3200ACM einen Firewall-Router (cisco ASA, Fortigate usw.) nachschalten möchten. Der Router ist mit der INTERNET-Buche mit dem bestehenden Router verbunden, die Buchsen ETHERNET 1 - ETHERNET 4 können für den Anschluss von DMZ-Geräten oder einem Switch genutzt werden.
- Aufbau eines neuen Server-Netzwerks
- DSL-Backup-Leitung (z.B. mit einem dem Linksys WRT3200ACM vorgeschalteten LTE-Router und einem dem Linksys WRT3200ACM nachgeschalteten Firewall-Router mit mehreren WAN-Ports)
Anforderungen
- Linksys WRT3200ACM
- Test-Zugang oder permanenter Zugang auf dem Einwahlserver OVPNIP7 (ovpnip7.internet-xs.de / 212.58.69.22 / Benutzernamen mit ixs022-xxxx)
- Funktionierender, stabiler, bestehender Internet-Zugang
- Freier Switch-Port am Internet-Router oder Switch
Konfigurations-PC vorbereiten
Suchen und laden Sie hier eine DD-WRT-Version größer oder gleich 44715, Image-Typ factory-to-ddwrt.bin herunter:
https://dd-wrt.com/support/router-database/
(Suchbegriff = WRT3200ACM)
Geben Sie Ihrem Konfigurations-PC eine statische IP-Konfiguration, z.B.
- IP-Adresse: 192.168.1.50
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.1.1
- DNS 1: 192.168.1.1
(https://support.microsoft.com/de-de/windows/%C3%A4ndern-der-tcp-ip-einstellungen-bd0a07af-15f5-cd6a-363f-ca2b6f391ace)
Erste Anmeldung am Standard Web-Interface
Öffnen Sie die Web-Oberfläche des Linksys WRT3200ACM. Die Standard-Zugangsdaten lauten:
- URL: http://192.168.1.1/
- Ich habe die Lizenzvereinbarung gelesen und akzeptiere sie.: Aktiviert
- Ich möchte dazu beitragen, zukünftige Verbesserungen zu ermöglichen, indem ich Linksys über Router-Fehler und Diagnosen informiere.: Deaktiviert
- Klicken Sie auf Manuelle Konfiguration
- Nach wenigen Sekunden erscheint eine Meldung Internetverbindung ist inaktiv.
- Klicken Sie auf Anmelden
- Routerpasswort: admin
Upgrade auf DD-WRT
- Navigieren Sie zu Konnektivität
- Im Bereich Update der Router-Firmware im Abschnitt Manuell klicken Sie auf Datei auswählen und wählen die zuvor heruntergeladene DD-WRT Firmware (factory-to-ddwrt.bin) auf dem Computer aus.
- Klicken Sie auf Start
- Bestätigen Sie die Meldung Nicht erkannter Dateiname mit Ja
- Bestätigen Sie die Meldung Firmware aktualisieren mit Ja
- Nach einigen Sekunden erscheint die Meldung Ihr Router wird neu gestartet. Bestätigen Sie mit OK.
- Warten Sie 5 Minuten.
Anmelden am DD-WRT Web-Interface
- Schließen Sie das Browser-Fenster, mit dem Sie mit dem Standard-Web-Interface verbunden waren.
- Öffnen Sie das DD-WRT-Web-Interface unter http://192.168.1.1
- Vergeben Sie einen Router Username und ein Router Passwort. Bitte wählen Sie ein sicheres Passwort.
- Klicken Sie auf Change Password
Basis-Netzwerkkonfiguration
Navigieren Sie zu Setup (Sie werden jetzt zur Eingabe des zuvor festgelegten Benutzernamens und Passworts aufgefordert)
Abschnitt WAN Connection Type
Falls Sie den Linksys WRT3200ACM als IP-Client konfigurieren möchten, wählen Sie hier Disabled. Diese Variante eignet sich für die Integration des Routers in ein bestehendes Netzwerk.
Falls Sie den WRT3200ACM als DMZ-Router bzw. kaskadierten Router konfigurieren möchten, wählen Sie entweder Automatic Configuration - DHCP oder Static IP und vergeben Sie eine IP-Konfiguration, die zum vorgeschalteten Router passt. Diese Variante eignet sich, wenn Sie Server, Datenlogger, Webcams usw. in einem vom vorgeschalteten Router getrennten Netzwerk betreiben möchten.
Beispiel:
- WAN IP Address: 192.168.178.254
- Subnet Mask: 255.255.255.0
- Gateway: 192.168.178.1
- Static DNS 1: 192.168.178.1
Wobei 192.168.178.254 eine beliebige freie IP-Adresse außerhalb des DHCP-Bereichs aus dem Netzwerk des vorgeschalteten Routers ist und 192.168.178.1 der LAN-IP-Adresse des vorgeschalteten Routers entsprechen muss.
Abschnitt Optional Settings
- Router Name: Vergeben Sie einen Namen oder behalten Sie den Standard-Wert (DD-WRT) bei.
- Hostname: Vergeben Sie einen Namen oder behalten Sie den Standard-Wert (leer) bei.
Abschnitt Network Setup > Router IP
Falls Sie den Router als IP-Client konfigurieren
- Local IP Address: Eine beliebige freie IP-Adresse außerhalb des DHCP-Bereichs Ihres bestehenden Internet-Routers (bspw. 192.168.178.254)
- Subnet Mak: I.d.R. 255.255.255.0
- Gateway: LAN-IP-Adresse des bestehenden Internet-Routers (z.B. 192.168.178.1)
- Local DNS: LAN-IP-Adresse des bestehenden Internet-Routers (z.B. 192.168.178.1)
Falls Sie den Router als DMZ-Router / kaskadierten Router konfigurieren
- Local IP Address: Eine beliebige IP-Adresse aus einem Netz, das nicht der vorgeschaltete Router verwendet (bspw. 192.168.179.1)
- Subnet Mask: I.d.R. 255.255.255.0
- Gateway: 0.0.0.0
- Local DNS: 0.0.0.0
Abschnitt Network Address Server Settings (DHCP)
Der DHCP-Server sollte in jedem Fall deaktiviert werden.
- DHCP Server: Disable
Abschnitt Time Settings
- NTP Client: Enable
- Time Zone: I.d.R. Europe/Berlin
- Server IP/Name: de.pool.ntp.org
Zwischenspeichern
- Klicken Sie auf Save
- Klicken Sie auf Apply Settings.
- Stellen Sie die LAN-IP-Konfiguration des Konfigurations-PCs wieder auf “Automatisch” (Konfiguration als IP-Client) oder geben Sie dem Konfigurations-PC eine LAN-IP-Adresse aus dem DMZ-Netzwerk (bspw. 192.168.179.50)
- Der Router ist nach wenigen Sekunden unter seiner neuen LAN-IP-Adresse erreichbar.
- Konfiguration als IP-Client: z.B. http://192.168.178.254
- Konfiguration als DMZ-Router / kaskadierter Router: z.B. http://192.168.179.1
Verkabelung
Konfiguration als IP-Client
- Die Buche INTERNET ist nicht verbunden
- Die Buchse ETHERNET 1 ist mit dem bestehenden Internet-Router verbunden
- Der Konfigurations-PC ist mit dem bestehenden Internet-Router verbunden
- Die Buchse ETHERNET 2 bis ETHERNET 3 sind nicht verbunden
Konfiguration als DMZ-Router / kaskadierter Router
- Die Buchse INTERNET ist mit dem bestehenden Internet-Router verbunden
- Die Buchsen ETHERNET 1 bis ETHERNET 4 ist mit dem Konfigurations-PC und / oder einem Switch verbunden, an dem die Geräte der DMZ angeschlossen sind. Alternativ können die DMZ-Geräte auch direkt am Linksys WRT3200 ACM angeschlossen werden.
Uhrzeit prüfen
Oben rechts sollte bei Time: eine aktuelle Uhrzeit angezeigt werden:
Firmware: DD-WRT v3.0-r44715 std (11/03/20) Time: 12:31:16 up 6 min, load average: 0.00, 0.01, 0.00
So lange dies nicht der Fall ist, hat der Router keine Internet-Verbindung. Bitte prüfen Sie in dem Fall die zuvor vorgenommenen Einstellungen.
Internet-Verbindung prüfen
Navigieren Sie zu Administration > Commands. Kopieren Sie diesen Befehl in das Textfeld Commands:
ping -c 5 ovpnip7.internet-xs.de
Klicken Sie anschließend auf Run Commands. Nach einigen Sekunden sollte eine Ausgabe ähnlich dieser angezeigt werden:
PING ovpnip7.internet-xs.de (212.58.69.22): 56 data bytes
64 bytes from 212.58.69.22: seq=0 ttl=63 time=0.604 ms
64 bytes from 212.58.69.22: seq=1 ttl=63 time=0.575 ms
64 bytes from 212.58.69.22: seq=2 ttl=63 time=0.602 ms
64 bytes from 212.58.69.22: seq=3 ttl=63 time=0.623 ms
64 bytes from 212.58.69.22: seq=4 ttl=63 time=0.685 ms
--- ovpnip7.internet-xs.de ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.575/0.617/0.685 ms
0% packet loss ist erforderlich, um mit der Konfiguration fortzufahren. Falls eine andere Ausgabe erscheint wie z.B. ping: bad address 'ovpnip7.internet-xs.de'
oder 100% packet loss
, prüfen Sie die Basis-Netzwerkkonfiguration und die Verkabelung.
Wireless deaktivieren
I.d.R. benötigt das IP-Gateway kein WLAN. Deshalb sollte WLAN / Wifi deaktiviert werden.
- Navigieren Sie zu Wireless > Basic Settings
- Stellen Sie bei allen Interfaces den Wireless Mode auf Client und Wireless Network Mode auf Disabled.
- Klicken Sie auf Save und dann auf Apply Settings
- Prüfen Sie z.B. mit einem Smartphone, ob die Wireless-Funktion des Routers wirklich deaktiviert wurde.
Status-Seite deaktivieren
Damit die Status-Seite nicht öffentlich eingesehen werden kann, sollte die Passwort-Abfrage für die Status-Seite aktiviert und die Status-Seite deaktiviert werden.
- Navigieren Sie zu Administration > Management
- Info Site Password Protection: Enabled
- Enable Info Site: Disable
- Klicken Sie auf Save
- Klicken Sie auf Apply Settings
nvram Einstellungen vornehmen
Zur deaktivierung von Telnet, Aktivierung von SSH mit Passwort-Authentifizierung und zur Änderung des Web-Interface Ports können diese nvram-Befehle verwendet werden. Die Eignabe ist alternativ über telnet möglich.
- Navigieren Sie zu Administration > Commands
- Kopieren Sie diese Befehle inkl. der Leerzeile am Ende in das Textfeld Commands:
nvram set syslogd_enable=1;
nvram set http_wanport=10580;
nvram set http_lanport=10580;
nvram set sshd_port=10522;
nvram set sshd_passwd_auth=1;
nvram set sshd_enable=1;
nvram set sshd_wanport=10522;
nvram set telnetd_enable=0;
nvram commit;
reboot;
- Klicken Sie auf Run Commands
- Der Befehlsblock beinhaltet einen
reboot
, der einige Sekunden dauert. - Danach ist das Web-Interface unter http://192.168.178.254:10580 (Konfiguration als IP-Client) bzw. http://192.168.179.1:10580 (Konfiguration als DMZ-Router / kaskadierter Router) erreichbar. Die Kommandozeile ist per SSH unter 192.168.178.254:10522 (Konfiguration als IP-Client) bzw. 192.168.179.1:10522 (Konfiguration als DMZ-Router / kaskadierter Router) erreichbar.
Konfiguration OpenVPN Client
Navigieren Sie zu Services > VPN. Suchen Sie den Abschnitt OpenVPN Client. Nehmen Sie die folgenden Einstellungen vor:
- Start OpenVPN Client: Enable
- CVE-2019-14899 Mitigation: Enable
- Server IP/Name: 212.58.69.22 (setzen Sie hier nicht die Ihrem IP-Tunnel-Zugang zugeteilte feste IP-Adresse ein!)
- Port: 1194
- Tunnel Device: TUN
- Tunnel Protocol: UDP
- Encryption Cipher: None
- Hash Algorithm: SHA1
- First Data Cipher: Not set
- Second Data Cipher: Not set
- Third Data Cipher: Not set
- User Pass Authentication: Enable
- Username: Benutzername / Zugangskennung Ihres IP-Tunnel-Zugangs (bspw. ixs022-1234-a1b2c3d4)
- Passwort: Das dem IP-Tunnel-Zugang zugeteilte Passwort
- Advanced Options: Enable
- TLS Cipher: None
- Compression: Disabled
- NAT: Enable
- Inbound Firewall on TUN: Deaktiviert
- IP Address: leer
- Subnet Mask: leer
- Tunnel MTU setting: 1500
- Tunnel UDP Fragment: leer Tunnel UDP MSS-Fix: Disable
- Verify Server Cert.: Aktiviert
- TLS Key choice: TLS Auth
- TLS Key: leer
- Additional Config:
reneg-bytes 0
reneg-sec 0
explicit-exit-notify
txqueuelen 1000
float
keepalive 20 120
fast-io
data-ciphers-fallback none
- Policy based Routing: leer
- PKCS12 Key: leer
- Static Key: leer
- CA Cert:
-----BEGIN CERTIFICATE-----
MIIFWDCCA0CgAwIBAgIJAMSns1kbQ6z1MA0GCSqGSIb3DQEBCwUAMCExHzAdBgNV
BAMMFm92cG5pcDcuaW50ZXJuZXQteHMuZGUwIBcNMjMwODA4MTMzMDU2WhgPMjEw
MDA0MDYxMzMwNTZaMCExHzAdBgNVBAMMFm92cG5pcDcuaW50ZXJuZXQteHMuZGUw
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQDRQcThD8Lwt2Jb8XMcKaoG
aNqXMQP3xyJmKGmD/Z1nL+XsOieInn23d537+6bK2jDJ4XmFiL+XskmaoZJlPE72
qcbORuEw1iQwTsGCfv8J7lzZ2vWyuNN0J5/+S3u7MJJSteUqtcixUctuOfzqxFMK
7Q/4+9jObnVUrxrv1LDAkx0jx6vfZzdNQh1xgiYsf3JKoZeDPavD/UQq6I4LFL6t
SY5W9pB8dTfjbZfdyv3WPiZLqpID7Eg6dYt6L/xHC5KVm2yv7vAv7vpLdLpxTk2W
H+y3s++15AWvltxIEP1BoHTbaYf39/6WfYE/xGwUankDpMTVaHQpPTqko5qTM0kV
0IlZnEp+CZSKPmPiIxeKyfeKtowVfelOHuYQo8OhGO1rKtgQlYAU6HLkEiDDpUEE
0n9WMK2NYkTZkGMw0GdGZw+bb3MBoxr4oZ0EXPJJ33mMeNIHuId9bKfBWb7g8S6W
iE91MUdR5RS3OZIG1KLvWXzoSzUeaA3VIrGZSWit3lbOHdK8Ia0Aj5AJOY0ilFru
ol66JLUi6zVL2r/8sjMsgW42+2J6qfFq99sh6TN/Dx6N1ay8hTxzd+V3L5nE3/Cg
yQ8y88leWsav7ldHbkrq1tyPe/R9Ywua053UJb3hGo2yYjdoMU2IlyuueYmhyDkm
nAmtDtja4Qu4YgwDffT5+wIDAQABo4GQMIGNMB0GA1UdDgQWBBRbgZKYbOUkJ2qD
3rfNNLh/xAIh/DBRBgNVHSMESjBIgBRbgZKYbOUkJ2qD3rfNNLh/xAIh/KElpCMw
ITEfMB0GA1UEAwwWb3ZwbmlwNy5pbnRlcm5ldC14cy5kZYIJAMSns1kbQ6z1MAwG
A1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4ICAQBraeZX
1bLtxDw33v5PDnR78TCHVTGQbkVXNavezyamwK5ABaMRm8Eu3qWZOBiTh1PSAZVC
eP4UkF7B2hsngUcMjLa3j1SH17rEWIRI+FENKiyeMkFY3q0ZseBvJ6a8XxtYrDpr
A0dBkSFQQ9uOVucGRUFoyW1AMrFq3EhDnjgXc5qU8jCO791KJDwUNBiSqh7sNaCw
gwVguQ6Vi4iE0Xp0vog4jD+Kr7KEHz6XBpGvl3CUkxrRBN3nyp96SS4Dq4StYetN
PltZfCgn3YKQIDCmDHgzFG0D4JFwiuV2FAgczPoTFqeB8ey/tD7zvupKU6xYj+ws
v/u339+FZwaKqKdSXCpP0Bowtwxi2NdeoyuTyi4BKZC1QcysJbq+8oW/CD4gIo/4
F3jCyfLnLbJ33HW3+1OpxeOvsbYQdCcd7vRJerWxYyaASG07gNTYnf+2Ang8+332
r/vAjWJLlpCixzL8Dp3RBh/PIzHm+YPZvZORPWv0Hdi64p32wUhQNBrm6etEzAOM
GqDgzJQkxA9hut/nkoPAhqJ+HsBubLH5+qMmUGRWwMQ1VXuHWUiuOVS4vGfnf5fA
94IFtGZRmhZO5HMZLLkOqsQkot4hGSgpubbblhR942oMC+xsMcPEOUhyaGRQjWUx
O4P9aRBu1FqZ6JpNtzWyUU3xPF9RGLG9g1iEgw==
-----END CERTIFICATE-----
- Public Client Cert: leer
- Private Client Key: leer
- Klicken Sie auf Save
- Klicken Sie auf Apply Settings
Ausführung des OpenVPN Clients prüfen
Navigieren Sie zu Status > OpenVPN. Im Bereich State sollte in der Zeile Client: CONNECTED SUCCESS stehen. Bei Local Address sollte die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse angezeigt werden.
Konnektivität prüfen
Öffnen Sie das Web-Interface des Routers über die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse von einem Gerät aus, das sich nicht im lokalen Netzwerk befindet (z.B. mit einem Smartphone, das nur im mobilen Datennetz / LTE / 4G / 5G angemeldet ist):
http://Ihre feste IP-Adresse:10580
Es sollte eine Anmeldeabfrage (Nutzername / Passwort) erscheinen.
Falls dies nicht der Fall ist, prüfen Sie alle Einstellungen aus dem Abschnitt Konfiguration OpenVPN Client sorgfältig. Jede kleinste Abweichung von den hier genannten Einstellungen führt dazu, dass die Verbindung fehlschlägt oder nicht nutzbar ist.
Keep-Alive und Auto-Reboot (optional, empfohlen)
Falls das Gerät an einem entlegenen Ort betrieben wird, an dem ein manueller Neustart nur schwer möglich ist empfiehlt es sich, einen regelmäßigen, geplanten Neustart zu aktivieren.
Navigieren Sie zu Administration > Keep Alive.
Abschnitt Schedule Reboot
- Schedule Reboot: Enable
- Interval (in seconds): Deaktiviert
- At a set Time: Aktiviert
- Wählen Sie eine Uhrzeit, zu der der Anschluss i.d.R. nicht genutzt wird, bspw. 05:18
- Wählen Sie als Wochentage Everyday
Abschnitt WDS/Connection Watchdog
- Enable Watchdog: Enable
- Interval (in seconds): Eine Zahl zwischen 90 und 110 (z.B. 99)
- IP Adresses:
8.8.8.8 212.58.82.1
Klicken Sie auf Save, danach auf Apply Settings.
Firewall und Port-Weiterleitungen
Die Firewall und Port-Weiterleitungen können für die per IP-Tunnel bereitgestellte feste IP leider nicht direkt über die Eingabefelder der Web-Oberfläche konfiguriert werden, da die dafür vorgesehenen Eingabefelder für die Anwendung nicht flexibel genug sind.
- Navigieren Sie zu Administration > Commands
- Geben Sie im Textfeld Commands Firewall-Regeln und Port-Weiterleitungen ein (siehe unten)
- Klicken Sie auf Save Firewall
- Zum Bearbeiten der Firewall klicken Sie im Abschnitt Firewall unten auf den Button Edit. Die derzeit aktive Firewall wird dann wieder in das Textfeld Commands kopiert, kann dort bearbeitet und mit Save Firewall wieder gespeichert werden.
Falls Sie Hilfe bei der Erstellung von passenden Firewall-Regeln haben, kontaktieren Sie uns bitte.
In der PDF-Version dieser Anleitung können Zeilen an anderen Stellen umgebrochen sein. Bitte prüfen Sie nach dem einfügen, ob unerwünschte Zeilenumbrüche mit kopiert / eingefügt wurden. Sie können dafür das Textfeld “Commands” im Browser etwas größer ziehen.
Passen Sie das Beispiel unten gemäß Ihren Anforderungen an:
iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 443 -j DNAT --to 192.168.178.60:443
--- --- -------------- ---
A B C D
- A = Protokoll =
tcp
oderudp
- B = Eingehender Port, d.h. 212.58.82.X:8443; 8443 = Eingehender Port
- C = Ziel-LAN-IP-Adresse
- D = Ziel-Port
Der Eingehende Port (B) kann vom Ziel-Port (D) abweichen, falls benötigt. Somit lassen sich z.B. 5 Webcams, die alle den Port 443 erfordern, konfigurieren:
iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 8443 -j DNAT --to 192.168.178.60:443
iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 8444 -j DNAT --to 192.168.178.61:443
iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 8445 -j DNAT --to 192.168.178.62:443
iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 8446 -j DNAT --to 192.168.178.63:443
iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 8447 -j DNAT --to 192.168.178.64:443
Sie können diesen Abschnitt als Vorlage verwenden. Abgesehen von den Beispielen sind dort folgende Einstellungen vorgenommen:
- SSH (Port 10522) und Web-Interface (Port 10580) sind nur vo Internet XS aus erreichbar, d.h. aus dem öffentlichen Internet kann nicht auf SSH bzw. Web-Interface des Routers zugegriffen werden. Sie können die Regel weiter einschränken (z.B. auf einen eigenen IP-Bereich) oder entfernen (nicht empfohlen).
- Forwarding von vlan2 <-> tun1 erlauben (erforderlich)
- Forwarding von vlan2 <-> br0 erlauben (erforderlich)
- ICMP immer erlauben (es ist nicht sinnvoll, ICMP zu sperren, da damit z.B. Path MTU Discovery funktionsunfähig wird)
- Alle Pakete an die feste IP-Adresse, die nicht von vorhergehenden Regeln erfasst wurden, werden verworfen.
Um die Beispiele zu aktivieren, entfernen Sie das #
-Symbol am Anfang der Zeile. Jede Zeile muss entweder leer sein, mit einem #
-Symbol (Kommentar) oder dem Wort iptables
beginnen. Umlaute und andere Sonderzeichen sollten vermieden werden.
#######################################
# #
# Port-Weiterleitungen / DNAT #
# #
#######################################
# Beispiel 1: 212.58.82.X Port 443/TCP weiterleiten an 192.168.178.10 Port 443
#iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 443 -j DNAT --to 192.168.178.10:443
# Beispiel 2: 212.58.82.X Port 8443/TCP weiterleiten an 192.168.178.11 Port 443
#iptables -t nat -A PREROUTING -i tun1 -p tcp --dport 8443 -j DNAT --to 192.168.178.11:443
# Beispiel 3: 212.58.82.X Port 554/UDP weiterleiten an 192.168.178.12 Port 554
#iptables -t nat -A PREROUTING -i tun1 -p udp --dport 554 -j DNAT --to 192.168.178.12:554
# Beispiel 4: 192.168.178.13 ist Exposed Host (z.B. nachgeschalteter Firewall-Router)
#iptables -t nat -A PREROUTING -i tun1 -j DNAT --to 192.168.178.13
####################
# #
# Firewall #
# #
####################
# Falls Sie einen OpenVPN SERVER auf dem Router konfigurieren möchten,
# entfernen Sie die "#" Zeichen vor den folgenden Zeilen:
#iptables -I INPUT -i tun1 -p tcp -m tcp --dport 443 -j ACCEPT
#iptables -t nat -A POSTROUTING -s 172.19.154.0/24 -o br0 -j MASQUERADE
# SSH an oeffentliche IP nur von Internet XS erlauben
# Bei Bedarf anpassen, auskommentieren oder loeschen
iptables -t nat -I PREROUTING -i tun1 -p tcp -m tcp --dport 10522 -s 212.58.67.1/24 -j ACCEPT
iptables -I INPUT -i tun1 -p tcp -m tcp --dport 10522 -s 212.58.67.1/24 -j ACCEPT
iptables -A INPUT -i tun1 -p tcp -m tcp --dport 10522 -j DROP
# SSH an oeffentliche IP nur von Internet XS erlauben
# Bei Bedarf anpassen, auskommentieren oder loeschen
iptables -t nat -I PREROUTING -i tun1 -p tcp -m tcp --dport 10580 -s 212.58.67.1/24 -j ACCEPT
iptables -I INPUT -i tun1 -p tcp -m tcp --dport 10580 -s 212.58.67.1/24 -j ACCEPT
iptables -A INPUT -i tun1 -p tcp -m tcp --dport 10580 -j DROP
###############################################
# #
# Forwarding, ICMP und Standard-Regel #
# #
###############################################
# Traffic von vlan2 <--> tun1 erlauben
iptables -I FORWARD -i vlan2 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o vlan2 -j ACCEPT
# Traffic von br0 <--> tun1 erlauben
iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
# ICMP erlauben
iptables -t nat -I PREROUTING -p icmp -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -I FORWARD -p icmp -j ACCEPT
iptables -I OUTPUT -p icmp -j ACCEPT
# Alle anderen an oeffentliche IP verwerfen
iptables -A INPUT -i tun1 -j DROP
Statische LAN-IP-Konfiguration für mittels Port-Weiterleitungen / DNAT angesprochene Geräte
Bei Konfiguration als IP-Client
Auf alle Geräten (Datenlogger, Server, NAS, Alarmanlagen, Webcams etc.), die mittels Port-Weiterleitungen angesprochen werden, muss das Standard-Gateway die LAN-IP-Adresse des Linksys WRT3200 ACM (Beispiel: 192.168.178.254) umgestellt werden. Alle IP-fähigen Geräte haben dafür eine entsprechende Einstellungsmöglichkeit. Häufig ist diese unter TCP/IP Konfiguration oder Static IP Configuration zu finden. Synonyme für Standard-Gateway sind Default Gateway, Next Hop oder Router. Für weitere Informationen ziehen Sie die Bedienungsanleitung des jeweiligen Geräts zu Rate.
So lange das Standard-Gateway nicht auf die LAN-IP-Adresse des Linksys WRT3200 ACM eingestellt ist, funktionieren die Port-Weiterleitungen nicht.
Beispiel:
Datenlogger:
- IP-Adresse: 192.168.178.10
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.178.254
- DNS 1: 192.168.178.1
Kamera 1:
- IP-Adresse: 192.168.178.11
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.178.254
- DNS 1: 192.168.178.1
Kamera 2:
- IP-Adresse: 192.168.178.12
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.178.254
- DNS 1: 192.168.178.1
usw.
Bei Konfiguration als DMZ-Router / kaskadierter Router
Geräte, die sich im DMZ-Netz befinden, werden jeweils mit einer statischen LAN-IP aus dem DMZ-Netz konfiguriert. Beispiele:
Server 1:
- IP-Adresse: 192.168.179.10
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.179.1
- DNS 1: 192.168.179.1
Server 2:
- IP-Adresse: 192.168.179.11
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.179.1
- DNS 1: 192.168.179.1
Firewall-Router (“Exposed Host”)
- IP-Adresse: 192.168.179.13
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.179.1
- DNS 1: 192.168.179.1
usw.
Port-Weiterleitungen testen
Testen Sie die eingestellten Port-Weiterleitungen von einem externen Gerät (z.B. einem Smartphone, das nur mit dem mobilen Datennetz verbunden ist).
Beispiel:
https://Ihre feste IP-Adresse:8443
Wobei 8443 dem in der Port-Weiterleitung festgelegten, externen Port (B) entspricht.
Falls Sie Unterstützung bei der Erstellung von Firewall-Regeln / Port-Weiterleitungen benötigen, kontaktieren Sie uns bitte. Uns ist bewusst, dass diese Art der Konfiguration im Vergleich zu Consumer-Routern ungewohnt ist, jedoch ist sie deutlich flexibler und transparenter.
Konfigurationsbackup erstellen
Es ist ratsam, nach erfolgreicher Konfiguration ein Backup zu erstellen.
- Navigieren Sie zu Administration > Backup
- Klicken Sie auf Backup
- Der Browser lädt eine Datei mit einem Dateinamen wie z.B. nvrambak_r44715_DD-WRT_Linksys WRT3200ACM.bin herunter.
- Speichern Sie diese Datei an einem sicheren Ort ab.
Konfigurationsbackup einspielen
Falls eine Fehlkonfiguration vorgenommen oder das Gerät zurückgesetzt wurde, kann ein zuvor erstelltes Konfigurationsbackup so zurückgespielt werden:
- Navigieren Sie zu Administration > Backup
- Im Bereich Restore Settings wählen Sie das zuvor erstellte Konfigurationsbackup aus
- Klicken Sie auf Restore
Fehlerdiagnose
Falls trotz penibler Prüfung aller vorgegebenen Einstellungen - besonders im Bereich OpenVPN-Client - keine Verbindung mit dem Einwahlserver zustande kommt, schicken Sie uns bitte das Syslog für eine weitere Analyse zu:
- Starten Sie den Router neu
- Warten Sie 5 Minuten
- Navigieren Sie bitte zu Status > Syslog
- Kopieren Sie alle Seiten (Navigation mit Next/Prev) in eine E-Mail
- Geben Sie den IP-Tunnel-Zugang Benutzernamen / Zugangskennung und die zugeteilte IP-Adresse an
- Schicken Sie uns das Syslog per E-Mail an info@internet-xs.de.