[fli4l] fli4l (mit DMZ) hinter Fritz Box

Thomas Grunenberg tho_gru at gmx.de
Fr Jul 1 19:29:52 CEST 2016 

Am 01.07.2016 um 18:34 schrieb Peter Schiefer:
 > Hallo Thomas,
 >
 > Am Fri, 1 Jul 2016 18:15:16 +0200 schrieb Thomas Grunenberg:
 >
 >> Sorry für die vielen Tippfehler!
 >
 > passiert mir auch
 >
 >> ...
 >
 > ob geroutet oder genattet wird bestimmst du in den PF_ROUTING_* und
 > PF_POSTROUTING_* Einträgen
 >
 >> Muss ich das NAT noch irgendwie ausschalten? Wie?
 >
 > wenn Du kein NAT (MASQURADE) am fli4l machst, muss Du definitiv 
Routen für
 > das LAN- und DMZ-Netz in der FritzBox eintragen.
 >
 >> Mein Wunsch ist es, die forwarding Regeln nur in einem Router (am
 >> liebsten dem fli4l) einzustellen. Deswegen habe ich das mit dem exposed
 >> host versucht. Mein Bild dazu: Die Fritz Box leitet allen Verkehr der
 >> reinkommt an den fli4l und der macht praktisch das gleiche (als PPPoE
 >> noch ging).
 >
 > = der fli4l muss NAT machen damit es für die FritzBox so aussieht, als ob
 > aller Netzverkehr vom fli4l selber kommt (Source-Adresse der
 > Netzwerkpakete)
 >
 >> Die eigentliche Idee dahinter steckt in der Zukunft: Falls ich mal
 >> meinen Provider wechseln muss, brauche ich nur die Fritz Box
 >> (Anbieter-Router) wieder so einstellen, dass das 192.168.230.*
 >> bereitgestellt wird und alles ungefiltert am den fli4l geht.
 >
 > das würde Dir einen Anbieterwechsel vereinfachen, jedoch handelst Du Dir
 > damit die Probleme des doppelten NAT (am besten mal googeln) ein.
 >
 > Gruß Peter
 >
Hallo Peter,

Danke für die ausführliche Erklärung.

Ich habe den Eindruck, dass ich doppeltes NAT vermeiden sollte!

Wenn ich das richtig verstanden habe müsste es dann so konfiguriert werden:
+ auf dem fli4l schalte ich NAT aus (siehe Deine Beschreibung oben)
+ Die Fritz Box macht NAT
+ Auf der Fritz Box (und nur dort) richte ich das Port-Forwarding ein 
(mit den Adressen hinter dem fli4l aus der DMZ).
+ Der fli4l bekommt *keine* Forwarding-Regeln eingerichtet.
+ Die Netze im fli4l bekommen dir Fritz Box (192.168.230.222) als 
Default-Gateway.

Hab ich etwas vergessen? Sollte ich weitere Details beachten?

Die Lösung ist anders als geplant, sieht aber wartbar aus, weil ich 
nicht in der Fritz Box *und* im fli4l das Port-Forwarding konsistent 
halten muss.

Gruß
Thomas

Mehr Informationen über die Mailingliste Fli4L