Forum Debian Users Gang

Jergen · 2015-03-21 13:37:39

czesc,

skonfigurowalem hostapd. Po podaniu hasla lacze sie z moja siecia wifi, trzymuje adres IP i dns z dhcpd, ale niestety nie mam dostepu do internetu.
Po kablu wszystko dziala. Prosze o wskazowki w czym moze byc problem.
Z gory dziekuje.

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -o wlan0 -s 192.168.10.0/24 -j MASQUERADE
iptables -A FORWARD -i wlan0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT

Kod:

eth0      Link encap:Ethernet  HWaddr 00:11:00:54:bc:02
          inet addr:192.168.1.14  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::211:aff:fe54:bb02/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1198 errors:0 dropped:0 overruns:0 frame:0
          TX packets:127 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:82065 (80.1 KiB)  TX bytes:12000 (11.7 KiB)

eth2      Link encap:Ethernet  HWaddr 00:12:0a:64:bb:03
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::211:aff:fe54:bb03/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:468 (468.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

mon.wlan0 Link encap:UNSPEC  HWaddr 14-CC-20-1F-B5-4D-00-00-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:47202 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:8804507 (8.3 MiB)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr 14:dc:40:2f:b6:4d
          inet addr:192.168.10.21  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::16cc:20ff:fe1f:b54d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:576 (576.0 B)

pasqdnik · 2015-03-21 14:19:25

Skąd wy bierzecie takie bezsensowne konfiguracje firewalla ? Zamiast Kopiuj/Wklej lepiej poczytać co, jak i dlaczego ma działać... Jeśli manual do iptables to dla Ciebie za dużo do ogarnięcia, to zleć to komuś po prostu ...

A problem wynika pewnie z tego, że masz taką samą adresację na interfejsach eth2 i wlan0.

EDIT:
Jeszcze konfiguracja hostapd, ew. dhcp i dns by się przydała.

Ostatnio edytowany przez pasqdnik (2015-03-21 14:33:08)

Jergen · 2015-03-21 15:52:48

Zmienilem adresacje i teraz wifi ma osobna, ale nadal mam problem z dhcp.
Co zrobic, aby komp laczacy sie przez wifi dostawal adres z puli wifi? U mnie niestety dostaje adres w puli LAN.

Kod:

subnet 192.168.10.0 netmask 255.255.255.0 {
range  192.168.10.2  192.168.10.20;
default-lease-time 3600;
option domain-name "home.pl";
option domain-name-servers 208.67.222.222, 208.67.220.220;
option netbios-name-servers  192.168.10.1;
option routers  192.168.10.1; #LAN
option subnet-mask 255.255.255.0;
option broadcast-address  192.168.10.255;
}

subnet 192.168.11.0 netmask 255.255.255.0 {
range  192.168.11.3  192.168.11.20;
default-lease-time 3600;
option domain-name "home2.pl";
option domain-name-servers 208.67.222.222, 208.67.220.220;
option netbios-name-servers  192.168.11.1;
option routers  192.168.11.2; #WIFI
option subnet-mask 255.255.255.0;
option broadcast-address  192.168.11.255;
}

Jaka brama musi byc ustawiona dla wlan0: lan=192.168.10.1 ???

Ostatnio edytowany przez Jergen (2015-03-21 16:06:55)

Jergen · 2015-03-21 16:17:53

Z dhcpd poradzilem sobie, ale netu brak?
Jaka brama musi byc ustawiona w dhcpd.conf dla wlan0? ip eth1, czy ip wlan0?

Jacekalex · 2015-03-21 17:20:36

Kod:

iptables -A FORWARD -i wlan0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT

To masz spartolone, w obu regułkach zamień interfejsy miejscami, powinno radykalnie pomóc.

Kod:

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

Jeżeli ta reguła realizuje maskaradę:

Kod:

iptables -t nat -A POSTROUTING -o wlan0 -s 192.168.10.0/24 -j MASQUERADE

to po cholerę Ci ta reguła, i co ona właściwie robi?

Jeżeli net masz przez eth0, a udostępnia go hostapd przez wlan0, to właściwie powinno być:

Kod:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Krotko pisząc, FW, to musi być spójna i logiczna konstrukcja reguł, a nie jakieś rękodzieło artystyczne.

Ostatnio edytowany przez Jacekalex (2015-03-21 17:27:03)

pasqdnik · 2015-03-21 17:58:02

1. Polityki masz ACCEPT to po kiego jeszcze później jakieś kombinacje ???
2. Musisz określić, który interfejs ma podłączenie do internetu.
3. DHCP jest tak prosty w konfiguracji, że mi się nie chce pisać...

jak sobie na czysto wklepiesz :

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -a POSTROUTING -o INTERFEJS_Z_INTERNETEM -j MASQUERADE

to prawidłowo skonfigurowany klient będzie również miał łączność z internetem

prawidłowa kofiguracja to adres IP, maska,brama i dnsy

Stwierdzenie "brak neta" to za mało informacji.

EDIT: Adres bramy to jest adres interfejsu do którego podłączasz klienta....

Ostatnio edytowany przez pasqdnik (2015-03-21 18:00:49)

Jergen · 2015-03-21 20:59:00

Dziekuje Wam za pomoc.
Mam jeszcze jedno pytanie: co powinno byc w /etc/network/interfaces/ dla wlan0:

Kod:

allow-hotplug wlan0
iface wlan0 inet static
address 192.168.11.1
network 192.168.11.0
netmask 255.255.255.0
broadcast 192.168.11.255

Czy musi byc tam dodany gateway? A jesli tak to czy ma to byc eth2 (LAN) czy ip wlan0?

Kod:

gateway 192.168.11.1 #wlan0

pasqdnik · 2015-03-21 21:03:16

Jeśli interfejs jest używany tylko jako brama to po co ?

Jergen · 2015-03-22 10:36:18

[b]Jeszcze raz dziekuje WAM za pomoc![/b]

Licze, ze jeszcze pomozecie mi swoimi wskazowkami i podpowiedziami.

Potrzebuje, aby tylko jednego kompa w sieci przekierowac na openvpn. Czy ponizsze regulki sa poprawne?

Kod:

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.11.2 -o tun+ -j MASQUERADE
iptables -A OUTPUT -o tun+ -j ACCEPT

Gdzie moge znalesc dobry przyklad firewalla dla malej sieci domowej?
Postawilem router na debiania wykorzystujac jako sprzet terminal na cpu via - dodalem do niego karte sieciowa intela dual lan oraz wifi na usb.
Poczatkowo planowalem zrobic to wszystko na openbsd, jednak linux ma o wiele epsze wsparcie dla sterownikow, poza tym lepiej sie w nim orientuje.

Ostatnio edytowany przez Jergen (2015-03-22 12:20:32)

Piotr3ks · 2015-03-22 10:40:22

Polecam:
https://dug.net.pl/tekst/31/

Jergen · 2015-03-22 12:22:52

Zalezy mi, aby jeden komp laczacy sie poprzez wifi byl zawsze przekierowywany vpn (openvpn).
Gdy wstawilem ponizsza regule do firewalla to tak sie dzieje, ale pozostale kompy nie maja dostepu do neta.
Gdzie robie blad?

Kod:

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.11.2 -o tun+ -j MASQUERADE
iptables -A OUTPUT -o tun+ -j ACCEPT

Jergen · 2015-03-23 18:51:55

Czesc,
Znowu potrzebuje pomocy:
Nie wiem jak zrobic, aby tylko jeden klient mial na przez vpn (tunO na openvpn) a reszta korzystala z internetu bez posrednictwa vpn.

Z gory dziekuje.

Time (s)	Query
0.00013	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00152	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.114.8' WHERE u.id=1
0.00224	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.114.8', 1732364529)
0.00105	SELECT * FROM punbb_online WHERE logged<1732364229
0.00133	SELECT topic_id FROM punbb_posts WHERE id=284913
0.00039	SELECT id FROM punbb_posts WHERE topic_id=27200 ORDER BY posted
0.00098	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27200 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00477	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27200 ORDER BY p.id LIMIT 0,25
0.00321	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27200
Total query time: 0.01571 s

Forum Debian Users Gang

Ogłoszenie

#1 2015-03-21 13:37:39

Jergen - Użytkownik

Brak dostepu do interentu - wlan0, hostapd

Kod:

Kod:

#2 2015-03-21 14:19:25

pasqdnik - Pijak ;-P

Re: Brak dostepu do interentu - wlan0, hostapd

#3 2015-03-21 15:52:48

Jergen - Użytkownik

Re: Brak dostepu do interentu - wlan0, hostapd

Kod:

#4 2015-03-21 16:17:53

Jergen - Użytkownik

Re: Brak dostepu do interentu - wlan0, hostapd

#5 2015-03-21 17:20:36

Jacekalex - Podobno człowiek...;)

Re: Brak dostepu do interentu - wlan0, hostapd

Kod:

Kod:

Kod:

Kod:

#6 2015-03-21 17:58:02

pasqdnik - Pijak ;-P

Re: Brak dostepu do interentu - wlan0, hostapd

Kod:

#7 2015-03-21 20:59:00

Jergen - Użytkownik

Re: Brak dostepu do interentu - wlan0, hostapd

Kod:

Kod:

#8 2015-03-21 21:03:16

pasqdnik - Pijak ;-P

Re: Brak dostepu do interentu - wlan0, hostapd

#9 2015-03-22 10:36:18

Jergen - Użytkownik

Re: Brak dostepu do interentu - wlan0, hostapd

Kod:

#10 2015-03-22 10:40:22

Piotr3ks - Też człowiek :-)

Re: Brak dostepu do interentu - wlan0, hostapd

#11 2015-03-22 12:22:52

Jergen - Użytkownik

Re: Brak dostepu do interentu - wlan0, hostapd

Kod:

#12 2015-03-23 18:51:55

Jergen - Użytkownik

Re: Brak dostepu do interentu - wlan0, hostapd

Stopka forum

Informacje debugowania