Nina: Unterschied zwischen den Versionen

Aus Hacksaar Wiki
Zur Navigation springen Zur Suche springen
(keine DMZ mehr)
 
(14 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
[[Kategorie:Name]]
 
[[Kategorie:Name]]
Nina Netzwächter ist unser Router, ein Gerät von MikroTik mit [http://www.mikrotik.com/software.html RouterOS]. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf. Gemeinsam mit [[Vera]] kann sie virtuelle LAN-Kabel anlegen.
+
Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.
  
Hier sammeln wir ein paar Tutorials zur Konfiguration - RouterOS ist extrem mächtig, man geht in der Oberfläche schnell verloren.
+
Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.
  
 
= How-Tos =
 
= How-Tos =
Zeile 8: Zeile 8:
 
== Konfigurations-Zugriff ==
 
== Konfigurations-Zugriff ==
  
Via Web unter http://nina.hacksaar/webfig, oder via SSH/telnet auf nina.hacksaar. Dateien können via Web sowie sftp geladen werden.
+
Via Web unter http://nina/, oder via SSH auf root@nina.
  
== Firmware-Update ==
+
== OpenWrt-Update ==
  
* Gehen zu http://www.mikrotik.com/download
+
Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:
* Wähle "mipsbe"
+
* Via SSH: opkg install luci-app-unbound
* "*.npk"-Datei runterladen
+
* In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS-Teil von dnsmasq)
* Datei per hochladen, per SFTP oder Web-Frontend
+
* In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"
* via ssh "system reboot"
+
* In den Web-Einstellungen unter "Services - Recursive DNS", ganz oben "Files" auswählen und dann unter "Edit: Server" diese Zeile hinzufügen: <tt>private-domain: hacksaar.de</tt>
* wenn er wieder da ist "system routerboard print", Firmware-Version vergleichen
 
** Falls ungleich, "system routerboard upgrade" und dann nochmal "system reboot"
 
  
 
= Netzstruktur =
 
= Netzstruktur =
  
Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in 3 Segmente:  
+
Eine Übersicht über unser Netz gibt die [[Statische_IP-Adressen|Liste der statischen IP-Adressen]]. Unser Netz unterteilt sich in zwei Segmente:  
  
== Transitznetz ==
+
== DMZ ==
  
Das Transitnetz hängt zwischen Nina und der FritzBox. Hier hängen momentan auch alle 5GHz-WLAN-Clients, auf Dauer soll hier aber sonst nur gähnende Leere herrschen. Die FritzBox vergibt IPv4-Adressen via DHCP und weist dem Netz per Router Announcements einen IPv6-Präfix zu. Nina routet über dieses Netz den Rest vom Space ins Internet. Clients sind hier nur durch die FritzBox geschützt, was auch immer das heißt.
+
Das Transitnetz ist ein separates VLAN auf Nina und auf Port 1 geschaltet.
  
Hier hängen auch die aus dem Netz erreichbaren Server (quasi als DMZ). Der Grund hierfür ist die FritzBox, die uns für andere Subnetze nicht erlaubt, Ausnahmen in der IPv6-Firewall zu definieren.
+
Hier hängen auch die aus dem Internet erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot.
  
 
== Mitgliedernetz ==
 
== Mitgliedernetz ==
  
In diesem Netz hängen (fast) alle LAN-Ports wie das 2.4GHz-Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).
+
In diesem Netz sind die LAN-Ports 3-4 sowie das Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).
  
== Gastznetz ==
+
[[Kategorie:Netzwerk]]
 
 
In diesem Netz hängt das Gast-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).
 

Aktuelle Version vom 17. Oktober 2020, 19:53 Uhr

Nina Netzwächter ist unser Router, ein TP-Link Archer C7 mit OpenWrt. Sie trennt die Netze, verbindet sie mit dem Internet und spannt WLANs auf.

Hier sammeln wir ein paar Tutorials zur Konfiguration - OpenWrt ist extrem mächtig, man geht in der Oberfläche schnell verloren.

How-Tos

Konfigurations-Zugriff

Via Web unter http://nina/, oder via SSH auf root@nina.

OpenWrt-Update

Nach einem OpenWrt-Update muss unter Umständen unbound erneut konfiguriert werden. Das geht wie folgt:

  • Via SSH: opkg install luci-app-unbound
  • In den Web-Einstellungen unter "Network - DHCP and DNS", "Advanced Settings", setze "DNS server port" auf 0 (das deaktiviert den DNS-Teil von dnsmasq)
  • In den Web-Einstellungen unter "Services - Recursive DNS": Aktiviere "Enable Unbound" und "Enable DNSSEC"
  • In den Web-Einstellungen unter "Services - Recursive DNS", ganz oben "Files" auswählen und dann unter "Edit: Server" diese Zeile hinzufügen: private-domain: hacksaar.de

Netzstruktur

Eine Übersicht über unser Netz gibt die Liste der statischen IP-Adressen. Unser Netz unterteilt sich in zwei Segmente:

DMZ

Das Transitnetz ist ein separates VLAN auf Nina und auf Port 1 geschaltet.

Hier hängen auch die aus dem Internet erreichbaren Server (quasi als DMZ), sowie der Freifunk-Hotspot.

Mitgliedernetz

In diesem Netz sind die LAN-Ports 3-4 sowie das Mitglieder-WLAN. Nina vergibt IPv4-Adressen via DHCP und IPv6-Adressen per RA. Außerdem schützt Nina per Firewall das Netz vor ungefragten Zugriffen von außen ("außen" beinhaltet hier unsere anderen Netze).