Göra en klient tillgänglig på två nät

Permalänk
Medlem

Göra en klient tillgänglig på två nät

Hej!
Har en Asus router (AC2900) med två nätverk, dvs lan + gäst

Lan ligger på 192.168.4.xx och gäst på 192.168.100.xx, gästnätverket har inte tillgång till lan.

Jag kör pihole på en raspberry pi som är ansluten via kabel till lan på 192.168.4.xx. Hur ska jag göra för att klienter på gästnätverket ska komma åt pihole.
Mvh

Permalänk
Rekordmedlem
Skrivet av KeWm90:

Hej!
Har en Asus router (AC2900) med två nätverk, dvs lan + gäst

Lan ligger på 192.168.4.xx och gäst på 192.168.100.xx, gästnätverket har inte tillgång till lan.

Jag kör pihole på en raspberry pi som är ansluten via kabel till lan på 192.168.4.xx. Hur ska jag göra för att klienter på gästnätverket ska komma åt pihole.
Mvh

Jag känner inte till din router i detalj men funkar det inte om du anger pi hålet som önskad dns server i routern ? Alla klienter som använder dhcp får ju uppgifterna från routern, ev kan routern kanske ha separata inställningar för gästnätet men då får du ange pihålet som dnsserver där också.

Permalänk
Medlem
Skrivet av mrqaffe:

Jag känner inte till din router i detalj men funkar det inte om du anger pi hålet som önskad dns server i routern ? Alla klienter som använder dhcp får ju uppgifterna från routern, ev kan routern kanske ha separata inställningar för gästnätet men då får du ange pihålet som dnsserver där också.

Jag har Pihole ip under Lan/dns redan, tyvärr så blockeras anslutningen till Piholen pga gästnätverket inte har tillgång till "intranätet".

Tänkte om det fanns någon möjlighet att tillåta trafik till en specifik klient över nätverken.

Permalänk
Rekordmedlem
Skrivet av KeWm90:

Jag har Pihole ip under Lan/dns redan, tyvärr så blockeras anslutningen till Piholen pga gästnätverket inte har tillgång till "intranätet".

Tänkte om det fanns någon möjlighet att tillåta trafik till en specifik klient över nätverken.

Förstår inte hur den dns man anger i routern kan blockeras, då kommer ju inte dns att fungera för någon enhet på gästnätet som använder dhcp ?

Permalänk
Medlem
Skrivet av mrqaffe:

Förstår inte hur den dns man anger i routern kan blockeras, då kommer ju inte dns att fungera för någon enhet på gästnätet som använder dhcp ?

Det fungerar bra på alla enheter som ligger på samma nät som pihole.

Klienterna på gäst får ip nummer från DHCP men får ingen kontakt då vägen till pihole blockeras då gästnätet är blockerat mot lan.

Permalänk
Rekordmedlem
Skrivet av KeWm90:

Det fungerar bra på alla enheter som ligger på samma nät som pihole.

Klienterna på gäst får ip nummer från DHCP men får ingen kontakt då vägen till pihole blockeras då gästnätet är blockerat mot lan.

Jaha, då får du kanske prova att ge pin 2 ipnummer på olika nät och ange det som inte ligger på ditt lan som dns adress i routern.

Permalänk
Medlem

Jag har det så att alla enheter på alla nät hämtar dns från routern, alltså ”som vanligt”. Routern i sin tur slår upp dns från en pihole, men bara för att routern ska kunna svara en enhet som frågar om dns. En klient vet alltså inte att dns-svaret egentligen kommer på en pihole, klienten frågar bara routern.

Permalänk
Medlem

Är gästnätet uppsatt just som ett ”gästnät” i Asus routern? För i så fall får vi väl anta att det finns nå brandväggsregler som sätter stopp för kommunikation på de lokala näten, annat än till gateway, dhcp och dns.

Går det att lägga in manuella brandvägg/NAT-regler? För i så fall bör du nog göra om gästnätet till ett vanligt nät, som du sen konfigurerar regler för i enlighet med hur du vill att det ska fungera.

Permalänk
Medlem

Eftersom att Pihole (DNS i frågan) befinner sig utanför gästnätverket kommer gästklienternas DNS-queries aldrig nå fram. Detta är vad TS vill ordna (om jag förstått det rätt).

Du behöver se till att rPi har två interface och IP-adress, ett i vardera nätverk (fast bara en primär GW). Om den har Wifi kan du konfa den till gäst-nätet, så kommer den vara nåbar till dina gäster.

En fråga: Hur ser dina nätmasker ut för vardera nätverk?

Permalänk
Medlem

Jag har ingen aning om vad du kan göra för inställningar i AC2900. Men det som måste göras är att öppna port 53 på UDP i brandväggen som är mellan VLAN:en.

Jag har typ exakt så du vill ha det, en pihole i mitt huvud LAN sen använder mitt jobb och IoT nät den piholen

Permalänk
Medlem
Skrivet av mrqaffe:

Jaha, då får du kanske prova att ge pin 2 ipnummer på olika nät och ange det som inte ligger på ditt lan som dns adress i routern.

Jag testade det, fungerar att ansluta till routern med kabel och wifi men i Pihole kan jag bara välja ethernet under Network Information.

Skrivet av Cloudstone:

Eftersom att Pihole (DNS i frågan) befinner sig utanför gästnätverket kommer gästklienternas DNS-queries aldrig nå fram. Detta är vad TS vill ordna (om jag förstått det rätt).

Du behöver se till att rPi har två interface och IP-adress, ett i vardera nätverk (fast bara en primär GW). Om den har Wifi kan du konfa den till gäst-nätet, så kommer den vara nåbar till dina gäster.

En fråga: Hur ser dina nätmasker ut för vardera nätverk?

Hur fixar jag detta, ansluten med Wifi och kabel till RPi men lyckas inte lägga till wifi inställningarna i pihole.

Tror det är 255.255.255.0

Skrivet av mobe06:

Jag har ingen aning om vad du kan göra för inställningar i AC2900. Men det som måste göras är att öppna port 53 på UDP i brandväggen som är mellan VLAN:en.

Jag har typ exakt så du vill ha det, en pihole i mitt huvud LAN sen använder mitt jobb och IoT nät den piholen

Tror inte asus stock fixar det, eller har jag fel.

Permalänk
Medlem
Skrivet av KeWm90:

Hej!
Har en Asus router (AC2900) med två nätverk, dvs lan + gäst

Lan ligger på 192.168.4.xx och gäst på 192.168.100.xx, gästnätverket har inte tillgång till lan.

Jag kör pihole på en raspberry pi som är ansluten via kabel till lan på 192.168.4.xx. Hur ska jag göra för att klienter på gästnätverket ska komma åt pihole.
Mvh

Har du testat static route?

https://www.asus.com/us/support/FAQ/1011706/
https://superuser.com/questions/1335353/how-to-create-a-stati...

Permalänk
Medlem

Det är fortfarande en brandvägg mellan de 2 näten som kommer blockera trafiken.

Permalänk
Medlem

Som det är sagt så måste Pi-Hole vara synligt på bägge näten.
Det finns i huvudsak två sätt att göra detta:
1. Ansluta PI-Hole till både LAN och Guest. T.ex. genom Ethernet till LAN och Wifi till guest.
2. Fixa i routern så att den finns på bägge.

Tror inte att 2 går att göra i interfacet för ASUS. Man får nog i så fall krypa under det skalet.
Kanske finns nån hint här:
https://www.snbforums.com/threads/allow-guest-network-access-...

Permalänk
Medlem
Skrivet av Prelatur:

Som det är sagt så måste Pi-Hole vara synligt på bägge näten.
Det finns i huvudsak två sätt att göra detta:
1. Ansluta PI-Hole till både LAN och Guest. T.ex. genom Ethernet till LAN och Wifi till guest.
2. Fixa i routern så att den finns på bägge.

Tror inte att 2 går att göra i interfacet för ASUS. Man får nog i så fall krypa under det skalet.
Kanske finns nån hint här:
https://www.snbforums.com/threads/allow-guest-network-access-...

Har testat med alternativ 1, går bra att ansluta till båda men hur förklarar jag för Pi att den skall ta emot från både wifi och ethernet.

Permalänk
Medlem
Skrivet av fimfim:

Jag har det så att alla enheter på alla nät hämtar dns från routern, alltså ”som vanligt”. Routern i sin tur slår upp dns från en pihole, men bara för att routern ska kunna svara en enhet som frågar om dns. En klient vet alltså inte att dns-svaret egentligen kommer på en pihole, klienten frågar bara routern.

Det fungerar tyvärr inte för mig, jag har Pins IP i DNS fältet under LAN. Kör du själv med asus stock?

Permalänk
Medlem
Skrivet av fimfim:

Jag har det så att alla enheter på alla nät hämtar dns från routern, alltså ”som vanligt”. Routern i sin tur slår upp dns från en pihole, men bara för att routern ska kunna svara en enhet som frågar om dns. En klient vet alltså inte att dns-svaret egentligen kommer på en pihole, klienten frågar bara routern.

Är det uppsatt som just ett gästnät kommer det inte fungera eftersom det då finns en brandvägg som inte tillåter att något i gästnätet har åtkomst till vanliga nätet.

Permalänk
Medlem
Skrivet av KeWm90:

Det fungerar tyvärr inte för mig, jag har Pins IP i DNS fältet under LAN. Kör du själv med asus stock?

Då har du inte gjort som @fimfim. Routerns DHCP-server ska dela ut routerns egna IP-adress som DNS-server. Detta ställer du in under LAN\DHCP Server. Sedan ska du konfigurera routern att använda pihole som DNS-server för sina uppslagningar. Detta ställer du in under WAN\Internet connection. Om den inte redan har det behöver pihole ha något annat än routern som upstream DNS, förslagsvis din ISP:s DNS-servrar.

Permalänk
Medlem

Gästnät eller ej så har alla klienter hos mig routern som dns server. Det behöver jag inte ställa in utan det görs automagiskt om routern får sköta dhcp och jag inte ställer in något annat i klienten.

Sen var routern slår upp dns-frågorna någonstans (pihole), det vet klienterna inget om. Klienterna behöver inte tillgång till pihålet.

Permalänk
Medlem
Skrivet av KeWm90:

Har testat med alternativ 1, går bra att ansluta till båda men hur förklarar jag för Pi att den skall ta emot från både wifi och ethernet.

Kollade upp DHCP servern i Pi-Hole och den klarar inte flera nät.
Har inte själv använt den i min men trodde att det gick.

Permalänk
Medlem
Skrivet av fimfim:

Gästnät eller ej så har alla klienter hos mig routern som dns server. Det behöver jag inte ställa in utan det görs automagiskt om routern får sköta dhcp och jag inte ställer in något annat i klienten.

Sen var routern slår upp dns-frågorna någonstans (pihole), det vet klienterna inget om. Klienterna behöver inte tillgång till pihålet.

Ska testa skriva in Pins IP under WAN/DNS och lämna fältet DNS under LAN blankt.

Samtliga guider säger dock att det är viktigt att skriva in Pins IP under lan/dns.

Permalänk
Medlem

Förlåt om jag missat något nu, (Har inte läst igenom alla svaren)
Men som jag förstår det är det du vill åstadkomma att gästnätet ska kunna prata DNS mot din Pihole som ligger på annat subnät.

Utan att ha större koll på "Gästnäts funktionen" i Asus så det som behövs är en FW regel som tillåter DNS trafik från gästnätet till nätet som Pihole ligger på.

Permalänk
Medlem
Skrivet av Hansar:

Förlåt om jag missat något nu, (Har inte läst igenom alla svaren)
Men som jag förstår det är det du vill åstadkomma att gästnätet ska kunna prata DNS mot din Pihole som ligger på annat subnät.

Utan att ha större koll på "Gästnäts funktionen" i Asus så det som behövs är en FW regel som tillåter DNS trafik från gästnätet till nätet som Pihole ligger på.

Frågan är hur jag fixar det. Har nu bytt så kör med Asus merlin. Finns mer möjligheter i Merlin.

Permalänk
Medlem
Skrivet av KeWm90:

Frågan är hur jag fixar det. Har nu bytt så kör med Asus merlin. Finns mer möjligheter i Merlin.

Hej,

Asus routrar skiljer på sitt vanliga lan och gästlanet på lager 2 nivå Data link lagret i OSI modellen. Många andra håller isär nätverken på lager 3 alltså på Nätverkslagret. Hade man haft all begränsning på lager 3 hade det bara varit att sätta upp brandväggsregeler i Iptables som tillåter trafik på port 53 UDP. Nu är det inte riktigt så enkelt i Asus routrar då de som sagt använder sig av begränsning på lager 2. För att tillåta trafik mellan nätverken måste du ta bort de automatiskt skapade reglerna som i detta fall använder sig av Ebtables (linux inplementation av brandvägg för lager 2). Alternativt att du lägger in regler i toppen av kedjan i ebtables som tillåter trafik på just UDP-protokollet port 53. Det andra alternativet är bättre då du behåller övrig begränsning mellan näten.

För att kunna göra inställningarna permanenta måste du lägga in dessa i ett script som körs varje gång routern startar.

Ett tips är att lista redan skapade regler i ebtables med kommandot: ebtables -L
Där ser du vilka begränsningar som gjorts.
/mvh csoM

Permalänk
Medlem
Skrivet av csom:

Hej,

Asus routrar skiljer på sitt vanliga lan och gästlanet på lager 2 nivå Data link lagret i OSI modellen. Många andra håller isär nätverken på lager 3 alltså på Nätverkslagret. Hade man haft all begränsning på lager 3 hade det bara varit att sätta upp brandväggsregeler i Iptables som tillåter trafik på port 53 UDP. Nu är det inte riktigt så enkelt i Asus routrar då de som sagt använder sig av begränsning på lager 2. För att tillåta trafik mellan nätverken måste du ta bort de automatiskt skapade reglerna som i detta fall använder sig av Ebtables (linux inplementation av brandvägg för lager 2). Alternativt att du lägger in regler i toppen av kedjan i ebtables som tillåter trafik på just UDP-protokollet port 53. Det andra alternativet är bättre då du behåller övrig begränsning mellan näten.

För att kunna göra inställningarna permanenta måste du lägga in dessa i ett script som körs varje gång routern startar.

Ett tips är att lista redan skapade regler i ebtables med kommandot: ebtables -L
Där ser du vilka begränsningar som gjorts.
/mvh csoM

Tack så mycket, tror det blir lite för avancerat för mig. Får leva med att gästerna får bråka med reklam ist.