Nina: Unterschied zwischen den Versionen
Ralf (Diskussion | Beiträge) |
Ralf (Diskussion | Beiträge) K (→OpenWrt-Update) |
||
Zeile 14: | Zeile 14: | ||
Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt: | Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt: | ||
* Via SSH: opkg install luci-app-unbound | * Via SSH: opkg install luci-app-unbound | ||
− | * In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS Teil von dnsmasq) | + | * In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS-Teil von dnsmasq) |
* In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC" | * In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC" | ||
Version vom 11. Juli 2020, 14:57 Uhr
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.
Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.
How-Tos
Konfigurations-Zugriff
Via Web unter http://nina/, oder via SSH auf root@nina.
OpenWrt-Update
Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
- Via SSH: opkg install luci-app-unbound
- In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS-Teil von dnsmasq)
- In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"
Netzstruktur
Eine Übersicht über unser Netz gibt die Liste der statischen IP-Adressen. Unser Netz unterteilt sich in zwei Segmente:
Transitznetz / DMZ
Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer sollen die aber ins Mitgliedernetz. Nina vergibt IPv4-Adressen via DHCP, die FritzBox weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Geräte sind hier nur durch die FritzBox geschützt, was auch immer das heißt.
Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot. Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.
Mitgliedernetz
In diesem Netz hängen (fast) alle LAN-Ports sowie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).