Blokkeer verkeer poort 53 uitgaand op WAN vanaf alles behalve pihole?
Draai je inmiddels weer naar tevredenheid OpenWRT op je ERX ? Ik heb een ERX SFP en overweeg het ook wel eens. Al is er net vandaag weer een nieuwe firmware hotfix uitgebracht vanuit Ubiquiti, dus helemaal EOL is hij ook weer niet.Miki schreef op zondag 4 september 2022 @ 09:58:
[...]
https://github.com/openwrt/openwrt/pull/10238
Het lijkt erop dat op het allerlaatste moment bovenstaande patch in de upstream release is meegenomen
★ Gas besparen door CV-tuning | Elektriciteit besparen ★
Geen vragen via privébericht die ook via het forum kunnen a.u.b.
Ik heb helaas mijn ERX in de kast liggen nadat ik een interessant aanbod had gehad van KPN voor een 1Gbit/s lijn.ThinkPad schreef op donderdag 22 december 2022 @ 08:20:
[...]
Draai je inmiddels weer naar tevredenheid OpenWRT op je ERX ? Ik heb een ERX SFP en overweeg het ook wel eens. Al is er net vandaag weer een nieuwe firmware hotfix uitgebracht vanuit Ubiquiti, dus helemaal EOL is hij ook weer niet.
Ondanks dat ik erg tevreden ben geweest over OpenWRT had ik het gevoel dat de IPv6 implementatie en dan met name de hardware offloading echt te wensen over liet en voorzover ik nu bij ben met recente ontwikkelingen is het nog steeds niet optimaal en ben je beter af met EdgeOS.
Samsung TV QE55Q9F 2018 | Sonos Beam gen1 | Sonos Sub gen3 | Sonos One 2x | APsystems 14x315Wp - ZW | MacBook Pro 13" 2017 | MacBook Air 13" 2017 I iPad 2018 | iPhone 12 | TV 2021 4K | AirPods Pro gen2
Draadje op forum openWRT: https://forum.openwrt.org...to-port-53-locally/141161sweetdude schreef op zondag 11 december 2022 @ 13:08:
Ik maak al een tijd gebruik van PiHole om advertenties te blocken. Hiervoor had ik ook al een tijd de volgende regel in OpenWRT staan om alle apparaten die hardcoded DNS servers aan boord hebben via PiHole te laten lopen
code:
1 2 3 4 5 6 7 #keep network on pi-hole iptables -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53 iptables -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53 #punch DNS hole for pi-hole iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.0.9 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i lan -p udp -s 192.168.0.9 --dport 53 -j ACCEPT
Echter met de overstap van IPtables naar NFTtables in de laatste versie zijn deze komen te vervallen.
Zelf ben ik te weinig wegwijs in deze materie om dit te converteren.
Of is er nu een andere/ betere oplossing om dit te doen?
Ik had zelf deze guide gevonden. Echter ga ik nat [phun intended] op de NAT rule omdat ik daar geen destination port kan opgeven. Ik draai momenteel versie 22.3.
Heb je hier wellicht wat aan, OneMarcFifty (sowieso een OpenWRT aanrader) beschrijft hier het een en ander qua adblocking en routering...HvanL schreef op donderdag 22 december 2022 @ 10:00:
[...]
Draadje op forum openWRT: https://forum.openwrt.org...to-port-53-locally/141161
YouTube: DNS Filtering with AdGuard Home or Pi-hole - with or without OpenWrt
Als je Android vertelt 'private DNS' te gebruiken, dan gebruikt het fijntjes de Google DNS (8.8.8.8, 8.8.4.4) - dus dat is nog altijd welkom.supayoshi schreef op maandag 12 december 2022 @ 13:11:
Waarom doe je dit op die manier, je kan toch gewoon bij je DHCP server instellingen van de interface de DNS server daar instellen, al je apparaten krijgen dan automatisch dat IP als DNS server.
Je kan dan altijd nog DNS requests over poort 53 uitgaand blokkeren vanaf alle andere IPs dan je Pihole, maar dat is misschien wat overdreven.
[...]
Odhcpd vertelt DHCP clients hier ook waar ze de DNS-server kunnen vinden via DHCP option 6 (AdGuard draait op een Odroid XU4) en toch zie ik in AdGuard nog requests via mijn router gaan - ik heb een nftables rule om die paar verzoeken die toch op de router eindigen naar de XU4 door te sturen. Dat lijkt tot nader order alleen mijn 'smart' TV met Android TV te 'overkomen'


Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje
Die "Private DNS" van Android kan trouwens nog aardig de performance hinderen. Ik had met vlagen regelmatig last van niet al te snel internet, met name YouTube liet vaak lang op zich wachten of kwam helemaal niet op mijn Android toestel. Sinds ik die Private DNS vorige week uitschakelde vliegt het.
Als je stil blijft staan, komt de hoek wel naar jou toe.
Ik had precies de opzet werkend die hier wordt besproken rond 18:00 minuten.Falco schreef op donderdag 22 december 2022 @ 10:14:
[...]
Heb je hier wellicht wat aan, OneMarcFifty (sowieso een OpenWRT aanrader) beschrijft hier het een en ander qua adblocking en routering...
YouTube: DNS Filtering with AdGuard Home or Pi-hole - with or without OpenWrt
Echter hij gaat nog uit van IPtables en niet FW tables. en dat instellen via de commandprompt is mij een brug te ver.
Ik dank dat ik even geduld moet hebben tot de volgende OpenWRT / Luci update waarbij ik dit via de GUI ingesteld kan krijgen.
deze optie:
https://jeff.vtkellers.co...ough-pihole-with-openwrt/
Zou voor mij werken alleen de optie om een destination port in te stellen bij de NAT settings zoals in zijn screenshots ontbreekt bij mij. (of deze zijn nog op basis van een oude pre 22.0x versie gemaakt.
Je bedoelt waarschijnlijk nftables...sweetdude schreef op vrijdag 23 december 2022 @ 11:13:
[...]
Ik had precies de opzet werkend die hier wordt besproken rond 18:00 minuten.
Echter hij gaat nog uit van IPtables en niet FW tables.
Het lukt niet met de huidige opties onder Network - Firewall - Traffic Rules / Port Forwards ?Ik dank dat ik even geduld moet hebben tot de volgende OpenWRT / Luci update waarbij ik dit via de GUI ingesteld kan krijgen.
deze optie:
https://jeff.vtkellers.co...ough-pihole-with-openwrt/
Zou voor mij werken alleen de optie om een destination port in te stellen bij de NAT settings zoals in zijn screenshots ontbreekt bij mij. (of deze zijn nog op basis van een oude pre 22.0x versie gemaakt.
Correct, nftables inderdaad.Muis666 schreef op vrijdag 23 december 2022 @ 11:48:
[...]
Je bedoelt waarschijnlijk nftables...
[...]
Het lukt niet met de huidige opties onder Network - Firewall - Traffic Rules / Port Forwards ?
En nee dat lukt niet. Probeer zelf maar eens. het eerste gedeelte om de portforward in te stellen (alle verkeer op poort 53 naar pihole sturen is geen probleem.
Het tweede gedeelte onder de NAT rule lukt niet, het destination adres kan ik wel instellen, maar de velden source port en destination port heb ik helemaal niet in de Luci GUI staan. Waarbij destinationport de belangrijkste is die ingesteld moet worden. Anders gaat hij alle verkeer op alle poorten NATten naar de PiHole
Op 22.03 HEAD heb ik wel het volgende?
Configuratiebestand:
Configuratiebestand:
code:
1
2
3
4
5
6
7
8
| config nat 'dnsfilter' option name 'Dnsfilter masquerade DNS' option src 'dnsfilter' option dest_ip '10.0.30.7' option dest_port '53' list proto 'tcp' list proto 'udp' option target 'MASQUERADE' |
Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje
vreemd, die opties mis ik dus en draai deze
Model Linksys WRT32X
Architecture ARMv7 Processor rev 1 (v7l)
Target Platform mvebu/cortexa9
Firmware Version OpenWrt 22.03.2 r19803-9a599fee93 / LuCI openwrt-22.03 branch git-22.347.45418-f382616
Model Linksys WRT32X
Architecture ARMv7 Processor rev 1 (v7l)
Target Platform mvebu/cortexa9
Firmware Version OpenWrt 22.03.2 r19803-9a599fee93 / LuCI openwrt-22.03 branch git-22.347.45418-f382616
Nou de kerstborrels hebben ervoor gezorgd dat de half dode hersencellen definitief zijn afgestorven.Borromini schreef op vrijdag 23 december 2022 @ 17:48:
En wat als je die code gewoon in /etc/config/firewall toevoegt (aangepast naar jouw instellingen etc.?) Krijg je dan na het herladen van de firewall die NAT rule wel te zien?
Ik zag dat je dus bij "protocol" zowel TCP en UDP moet aanvinken (in plaats van any) en dan komen die opties er wel bij

Daarbij nog zo'n dingetje gevonden waar ik dan 4x overheen lees.
Bij het instellen van de "port forwards" dient op het advanced tabje bij "Source IP adress" een "!"voor het IP van de PiHole te staan.
Dus uiteindelijk werkte deze guide perfect (zonder in de CLI te lopen hannessen):
https://jeff.vtkellers.co...ough-pihole-with-openwrt/
Enige voorwaarde is dus gebruik de goed werkende actieve hersencellen en RTFM

Maar @iedereen bedankt voor alle advies (en geduld)
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Bedankt voor de info, hoe zie je dit toch altijd?Tom Paris schreef op donderdag 5 januari 2023 @ 14:10:
Komt weer een point release aan, 22.03.3 release notes, changelog en downloads.
Het jeukt wel weer om de update te doen, maar ik wacht toch even tot het officieel uit is....
offtopic:
Hij zal wel iets als changedetection.io hebben draaien om bepaalde pagina's in de gaten te houden op wijzigingen. Die gebruik ik zelf ook wel om firmware updates en aanbiedingen etc. in de gaten te houden.
Hij zal wel iets als changedetection.io hebben draaien om bepaalde pagina's in de gaten te houden op wijzigingen. Die gebruik ik zelf ook wel om firmware updates en aanbiedingen etc. in de gaten te houden.
★ Gas besparen door CV-tuning | Elektriciteit besparen ★
Geen vragen via privébericht die ook via het forum kunnen a.u.b.
Wat zijn hier de ervaringen met OpenWRT als printserver? p910nd lijkt daarvoor de standaard oplossing te zijn? (Maar) in dit topic zie ik alleen 2 posts uit 2015 daarover.
Use case: bij familie staat een antieke Netgear WNDR3700 dienst te doen als switch en AP met OpenWRT, 19.7
(in wat verder een Ubiquiti netwerk is met een EdgeRouter en UniFi switches & APs). Zo goed als naast de Netgear staat een HP printer (laser, zwart/wit, model weet ik niet uit mijn hoofd). Alleen zit daar alleen USB op en wordt nu nog wel eens gewisseld tussen PC (staat er naast) en laptop. Niet echt ideaal dus. Vooral als ik de printer ook aan USB poort van de Netgear router kan hangen en dan vanaf zowel de PC als laptop kan printen zonder steeds de kabel om te moeten steken.
Use case: bij familie staat een antieke Netgear WNDR3700 dienst te doen als switch en AP met OpenWRT, 19.7

Ik heb daar in het verleden een HP JetDirect 175x voor gebruikt om een USB-printer via LAN aan te sluiten. Maar daar wordt nog best wel wat voor gevraagd zie ik (€25-30).
Als je zelf iets gaat knutselen zou ik kijken of je ook 'AirPrint' functionaliteit kan toevoegen, dat vind ik toch wel erg makkelijk om vanaf m'n iPhone snel even iets te kunnen printen naar m'n netwerkprinter (heeft dat zelf aan boord).
Heeft de WNDR3700 genoeg ruimte om dat soort packages er nog bij te draaien trouwens? Hij heeft niet heel veel flashgeheugen lees ik.
Als je zelf iets gaat knutselen zou ik kijken of je ook 'AirPrint' functionaliteit kan toevoegen, dat vind ik toch wel erg makkelijk om vanaf m'n iPhone snel even iets te kunnen printen naar m'n netwerkprinter (heeft dat zelf aan boord).
Heeft de WNDR3700 genoeg ruimte om dat soort packages er nog bij te draaien trouwens? Hij heeft niet heel veel flashgeheugen lees ik.
[Voor 19% gewijzigd door ThinkPad op 08-01-2023 17:43]
★ Gas besparen door CV-tuning | Elektriciteit besparen ★
Geen vragen via privébericht die ook via het forum kunnen a.u.b.
Mocht het met de router niet lukken dan zou ik er persoonlijk nog eerder een RPi voor gebruikenThinkPad schreef op zondag 8 januari 2023 @ 17:37:
Ik heb daar in het verleden een HP JetDirect 175x voor gebruikt om een USB-printer via LAN aan te sluiten. Maar daar wordt nog best wel wat voor gevraagd zie ik (€25-30).

Maar het is sowieso een "nice to have" en gebaseerd op een voorstel van mijzelf en geen vraag van het familielid uit. (Waarvan de eerste reactie was "ik moet het papier toch nog steeds uit de printer pakken"

True, kan ik zlf ook van op Android met de Canon app. Even snel een retour labeltje printen of zo van op telefoon.Als je zelf iets gaat knutselen zou ik kijken of je ook 'AirPrint' functionaliteit kan toevoegen, dat vind ik toch wel erg makkelijk om vanaf m'n iPhone snel even iets te kunnen printen naar m'n netwerkprinter (heeft dat zelf aan boord).
10 - 11 kB wat ik zo snel zie. Gok dat dat wel moet lukken. Qua gebruik zou het ook niet veel moeten gebruiken hoe ik het lees. p910nd zou namelijk geen spooler of niks bevatten. Mijn interpretatie is dat het meer een soort van "TCP naar USB / LP" bridge is dan iets anders. Dus er zit geen logica, drivers, of wat dan ook in (zoals bij CUPS wel het geval is).Heeft de WNDR3700 genoeg ruimte om dat soort packages er nog bij te draaien trouwens? Hij heeft niet heel veel flashgeheugen lees ik.
Als je daar dan toch bezig gaat, dan gelijk even een Openwrt upgrade doen, 22.03.3 is inmiddels uit....RobertMe schreef op zondag 8 januari 2023 @ 18:16:
[...]
Mocht het met de router niet lukken dan zou ik er persoonlijk nog eerder een RPi voor gebruikenOok daarvan heb ik er nog wat liggen (waaronder een originele Model B. Een CUPS servertje daarop draaien zak vast kunnen, aangezien ook die toentertijd al Kodi kon draaien).
Maar het is sowieso een "nice to have" en gebaseerd op een voorstel van mijzelf en geen vraag van het familielid uit. (Waarvan de eerste reactie was "ik moet het papier toch nog steeds uit de printer pakken". Maarja, nu dus ook eerst USB kabel om steken).
[...]
True, kan ik zlf ook van op Android met de Canon app. Even snel een retour labeltje printen of zo van op telefoon.
[...]
10 - 11 kB wat ik zo snel zie. Gok dat dat wel moet lukken. Qua gebruik zou het ook niet veel moeten gebruiken hoe ik het lees. p910nd zou namelijk geen spooler of niks bevatten. Mijn interpretatie is dat het meer een soort van "TCP naar USB / LP" bridge is dan iets anders. Dus er zit geen logica, drivers, of wat dan ook in (zoals bij CUPS wel het geval is).

https://openwrt.org/#current_stable_seriesopenwrt_2203
Qua beschikbare ruimte maakt het overigens nogal uit welke WNDR3700 versie er staat. Ik had ooit de v4 en dat ging wel, maar vooral v1 en v3 zijn wat beperkter.
https://openwrt.org/toh/n...ear_wndr3700_and_wndr37av
[Voor 8% gewijzigd door Falco op 09-01-2023 14:16]
Draai al jaren p910nd op mijn openwrt accespoint met een oude Dell 1250c die geen linux drivers heeft. Werkt prima ook met de laatste release van OpenWRT.RobertMe schreef op zondag 8 januari 2023 @ 15:46:
Wat zijn hier de ervaringen met OpenWRT als printserver? p910nd lijkt daarvoor de standaard oplossing te zijn? (Maar) in dit topic zie ik alleen 2 posts uit 2015 daarover.
Use case: bij familie staat een antieke Netgear WNDR3700 dienst te doen als switch en AP met OpenWRT, 19.7(in wat verder een Ubiquiti netwerk is met een EdgeRouter en UniFi switches & APs). Zo goed als naast de Netgear staat een HP printer (laser, zwart/wit, model weet ik niet uit mijn hoofd). Alleen zit daar alleen USB op en wordt nu nog wel eens gewisseld tussen PC (staat er naast) en laptop. Niet echt ideaal dus. Vooral als ik de printer ook aan USB poort van de Netgear router kan hangen en dan vanaf zowel de PC als laptop kan printen zonder steeds de kabel om te moeten steken.
Het is even pielen met de printer toevoegen in windows maar dan werkt alles vlekkeloos.
https://openwrt.org/docs/...rint_server/p910nd.server
Upgraden was inderdaad het plan, als ik dan toch daar ben en er mee bezig ben. Model / uitvoering is een v2 wat ik via VPN zag. Upgrade ga ik "uiteraard" niet via VPN doen.Falco schreef op maandag 9 januari 2023 @ 14:12:
[...]
Als je daar dan toch bezig gaat, dan gelijk even een Openwrt upgrade doen, 22.03.3 is inmiddels uit....![]()
https://openwrt.org/#current_stable_seriesopenwrt_2203
Qua beschikbare ruimte maakt het overigens nogal uit welke WNDR3700 versie er staat. Ik had ooit de v4 en dat ging wel, maar vooral v1 en v3 zijn wat beperkter.
https://openwrt.org/toh/n...ear_wndr3700_and_wndr37av
Vanmiddag ingericht. Nog een beetje pielen omdat, blijkbaar, de printer een firmware verwacht na inschakelen. Firmware heb ik hier weten op te toveren. En vervolgens nog een hotplug scriptje van hier. Nu nog even deze bestanden veilig stellen zodat ik ze in ieder geval na upgrades weer kan terug zetten. En als ik het ergens gezien heb is er een config file(?) waarmee je kunt aangeven welke bestanden bij een upgrade behouden moeten blijven?RobertMe schreef op zondag 8 januari 2023 @ 15:46:
Wat zijn hier de ervaringen met OpenWRT als printserver? p910nd lijkt daarvoor de standaard oplossing te zijn? (Maar) in dit topic zie ik alleen 2 posts uit 2015 daarover.
Use case: bij familie staat een antieke Netgear WNDR3700 dienst te doen als switch en AP met OpenWRT, 19.7(in wat verder een Ubiquiti netwerk is met een EdgeRouter en UniFi switches & APs). Zo goed als naast de Netgear staat een HP printer (laser, zwart/wit, model weet ik niet uit mijn hoofd). Alleen zit daar alleen USB op en wordt nu nog wel eens gewisseld tussen PC (staat er naast) en laptop. Niet echt ideaal dus. Vooral als ik de printer ook aan USB poort van de Netgear router kan hangen en dan vanaf zowel de PC als laptop kan printen zonder steeds de kabel om te moeten steken.
Edit:
Overigens intussen ook al de feedback gekregen "printer is veel sneller"

Edit2:
Printer is niet sneller

[Voor 14% gewijzigd door RobertMe op 14-01-2023 22:14]
Na wat inlezen heb ik een NanoPi R4S gekocht en um voorzien van OpenWRT. 't Draait als een zonnetje op 2,35watt.
Ik was erg tevreden met EdgeOS icm de ER-X maar ik moet zeggen dat OpenWRT me ook prima bevalt. 'k Heb alles naar m'n hand kunnen zetten qua settings, luci-app-statistics is een aardige toevoeging, verder nog veel te leren en ontdekken.
OpenWRT heeft er een fan bij.
Ik was erg tevreden met EdgeOS icm de ER-X maar ik moet zeggen dat OpenWRT me ook prima bevalt. 'k Heb alles naar m'n hand kunnen zetten qua settings, luci-app-statistics is een aardige toevoeging, verder nog veel te leren en ontdekken.
OpenWRT heeft er een fan bij.
Ik kom zomaar dit tegen en dacht, ik zal het eens aan chatgpt vragen. Zelf geen evaring met de rules, maar misschien heb je er wat aan!sweetdude schreef op zondag 11 december 2022 @ 13:08:
Ik maak al een tijd gebruik van PiHole om advertenties te blocken. Hiervoor had ik ook al een tijd de volgende regel in OpenWRT staan om alle apparaten die hardcoded DNS servers aan boord hebben via PiHole te laten lopen
code:
1 2 3 4 5 6 7 #keep network on pi-hole iptables -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53 iptables -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53 #punch DNS hole for pi-hole iptables -t nat -I PREROUTING -i lan -p tcp -s 192.168.0.9 --dport 53 -j ACCEPT iptables -t nat -I PREROUTING -i lan -p udp -s 192.168.0.9 --dport 53 -j ACCEPT
Echter met de overstap van IPtables naar NFTtables in de laatste versie zijn deze komen te vervallen.
Zelf ben ik te weinig wegwijs in deze materie om dit te converteren.
Of is er nu een andere/ betere oplossing om dit te doen?
Ik had zelf deze guide gevonden. Echter ga ik nat [phun intended] op de NAT rule omdat ik daar geen destination port kan opgeven. Ik draai momenteel versie 22.3.
Converte these two iptable rules to nfttble rules. iptables -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53
iptables -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53
code:
1
2
| nft add rule nat PREROUTING iifname "lan" tcp dport 53 dnat to 192.168.0.9:53 nft add rule nat PREROUTING iifname "lan" udp dport 53 dnat to 192.168.0.9:53 |
These rules will match incoming packets on the "lan" interface (-i lan) that are either TCP or UDP packets with a destination port of 53 (--dport 53), and then perform destination NAT to the IP address 192.168.0.9 with a port number of 53 (--to 192.168.0.9:53).
[Voor 7% gewijzigd door Dacuuu op 18-02-2023 07:34]
Omdat ik de ER-X graag heel én als backup wilde houden. Dat ding flashen is iets omslachtiger dan een SD kaartje swappen. Ik zag al voor me dat ik um ging 'bricken' en klooien met een serial adapter op de pins e.d. is niet m'n kwaliteit zeg maar.Borromini schreef op zaterdag 18 februari 2023 @ 06:03:
Waarom geen OpenWrt op de ER-X?
En draai je de officiële OpenWrt of de fork van FriendlyELEC?
Ik wist ook niet hoe snel ik OpenWRT onder de knie zou krijgen en hoe dat zou bevallen, voor hetzelfde geld zou de NanoPi weken op m'n bureau liggen. Misschien was ik uiteindelijk bij Opnsence uitgekomen (heb ik niet getest, maar Opnsence/FreeBSD zou wel minder energiezuinig moeten zijn).
Ik draai de officiële OpenWRT, als de NanoPi R4S geen supported device was had ik hem niet gehaald.
Dit kun je overigens ook aan iptables-translate vragen. Zou beschikbaar moeten zijn op elk systeem waarop de compatibility iptables geïnstalleerd is (dus de iptables CLI met nftables backend). Bij iets als ChatGPT is het immers maar de vraag of die het correct geleerd heeft en niet random zaken aan elkaar correleert en daardoor het verkeerde antwoord geeft.Dacuuu schreef op zaterdag 18 februari 2023 @ 07:33:
[...]
Ik kom zomaar dit tegen en dacht, ik zal het eens aan chatgpt vragen. Zelf geen evaring met de rules, maar misschien heb je er wat aan!
[...]
code:
1 2 nft add rule nat PREROUTING iifname "lan" tcp dport 53 dnat to 192.168.0.9:53 nft add rule nat PREROUTING iifname "lan" udp dport 53 dnat to 192.168.0.9:53
[...]
Daarmee kom ik dan uit op:
robert@server:~$ iptables-translate -t nat -I PREROUTING -i lan -p tcp --dport 53 -j DNAT --to 192.168.0.9:53 nft 'insert rule ip nat PREROUTING iifname "lan" tcp dport 53 counter dnat to 192.168.0.9:53' robert@server:~$ iptables-translate -t nat -I PREROUTING -i lan -p udp --dport 53 -j DNAT --to 192.168.0.9:53 nft 'insert rule ip nat PREROUTING iifname "lan" udp dport 53 counter dnat to 192.168.0.9:53' robert@server:~$ iptables-translate -t nat -I PREROUTING -i lan -p tcp -s 192.168.0.9 --dport 53 -j ACCEPT nft 'insert rule ip nat PREROUTING iifname "lan" ip saddr 192.168.0.9 tcp dport 53 counter accept' robert@server:~$ iptables-translate -t nat -I PREROUTING -i lan -p udp -s 192.168.0.9 --dport 53 -j ACCEPT nft 'insert rule ip nat PREROUTING iifname "lan" ip saddr 192.168.0.9 udp dport 53 counter accept'
Iets dat waarschijnlijk in een nftables config file gezet an worden als:
code:
1
2
3
4
5
6
7
8
9
| table ip nat { chain PREROUTING { type nat hook prerouting; iifname "lan" ip saddr 192.168.0.9 udp dport 53 counter accept iifname "lan" ip saddr 192.168.0.9 tcp dport 53 counter accept iifname "lan" udp dport 53 counter dnat to 192.168.0.9:53 iifname "lan" tcp dport 53 counter dnat to 192.168.0.9:53 } } |
En als ik een beetje zoek zou het nog korter kunnen met:
code:
1
2
3
4
5
6
7
| table ip nat { chain PREROUTING { type nat hook prerouting; iifname "lan" ip saddr 192.168.0.9 meta l4proto {tcp, udp} th dport 53 counter accept iifname "lan" meta l4proto {tcp, udp} th dport 53 counter dnat to 192.168.0.9:53 } } |
En waarschijnlijk valt het ook in een regel te gieten dan met:
code:
1
2
3
4
5
6
| table ip nat { chain PREROUTING { type nat hook prerouting; iifname "lan" ip saddr != 192.168.0.9 meta l4proto {tcp, udp} th dport 53 counter dnat to 192.168.0.9:53 } } |
Iets dan dan op de CLI kan denk ik met puur:
nft 'insert rule ip nat PREROUTING iifname "lan" ip saddr != 192.168.0.9 meta l4proto {tcp, udp} th dport 53 counter dnat to 192.168.0.9:53'
Houd er bij CLI verhaal overigens sowieso rekening mee dat je nog steeds de table en chain moet declareren. Uit de config file dus de type nat hook prerouting;. Dit omdat nftables geen vaste tables & chains heeft (zoals iptables de filter table heeft met INPUT/OUTPUT/FORWARD chains, de nat table met de PREROUTING/POSTROUTING/... chains en de mangle table met een X aantal chains). In nftables kun/moet je zelf, zoveel als je wilt, tables en chains aanmaken. De type en hook bepalen daarbij op welk moment de chain wordt toegepast. De namen nat en PREROUTING in de iptables-translate zijn dus gewoon een op een vertalingen. Maar in nftables kun je deze noemen zoals je wilt, zolang de chain maar de juiste type & hook heeft.
Ik ben al een tijdje aan het stoeien met OpenWrt.
Ik was begonnen met een oude Asus AC51U. Wilde deze als dedicated Wireguard client access point gebruiken. Het opzetten ging vrij eenvoudig. Vervolgens policy based routing toegevoegd. Hiermee kan je rules definieren of je het verkeer wel/niet via de wireguard tunnel wil laten routeren. Helaas zijn de mogelijkheden hiervan vrij beperkt.
Ik gebruik voor mijn internetverbinding een 4G modem/router van Huawei. Deze modem is echter beperkt in snelheid, omdat deze carrier aggregation niet ondersteunt.
Op Aliexpress heb ik daarom een cat16 modem gekocht [Fibocom L860]. Deze heb ik aangesloten via usb met een raspberry pi 4. Eerst had ik OpenWrt geinstalleerd met extra packages. Echter met ROOter, een fork van OpenWrt, werkte de modem direct zonder extra zaken te installeren of te configureren. Bovendien is het voorzien van apps zoals modem netwerk status, debugging en een terminal om AT commando's naar de modem te sturen.
Zaken van OpenWrt waar ik minder tevreden over ben:
Mijn wireguard server is nu een raspberry kloon met dietpi armbian en pivpn. Ik heb geprobeerd de wireguard server op OpenWrt te configureren. Ik vind pivpn echter makkelijker te gebruiken.
Ook het configureren van dynamic dns updates voor de wireguard server gaat met dietpi makkelijker.
Ik was begonnen met een oude Asus AC51U. Wilde deze als dedicated Wireguard client access point gebruiken. Het opzetten ging vrij eenvoudig. Vervolgens policy based routing toegevoegd. Hiermee kan je rules definieren of je het verkeer wel/niet via de wireguard tunnel wil laten routeren. Helaas zijn de mogelijkheden hiervan vrij beperkt.
Ik gebruik voor mijn internetverbinding een 4G modem/router van Huawei. Deze modem is echter beperkt in snelheid, omdat deze carrier aggregation niet ondersteunt.
Op Aliexpress heb ik daarom een cat16 modem gekocht [Fibocom L860]. Deze heb ik aangesloten via usb met een raspberry pi 4. Eerst had ik OpenWrt geinstalleerd met extra packages. Echter met ROOter, een fork van OpenWrt, werkte de modem direct zonder extra zaken te installeren of te configureren. Bovendien is het voorzien van apps zoals modem netwerk status, debugging en een terminal om AT commando's naar de modem te sturen.
Zaken van OpenWrt waar ik minder tevreden over ben:
Mijn wireguard server is nu een raspberry kloon met dietpi armbian en pivpn. Ik heb geprobeerd de wireguard server op OpenWrt te configureren. Ik vind pivpn echter makkelijker te gebruiken.
Ook het configureren van dynamic dns updates voor de wireguard server gaat met dietpi makkelijker.
Ik zag bij de v22.03.04 aankondiging op de FP dat enkele linksys modellen waaronder de WRT3200 en gaming versie WRT32x de 22.03.04 versie niet konden krijgen of het image niet bestaat. dit lijkt nu hetzelfde te zijn voor de v22.03.05 versie.
Is bij iemand bekend wat de reden hierachter is? De laatst beschikbare versie is 22.03.2
Ik heb zelf de wrt32x en kan er natuurlijk wel een snapshot overheen gooien. Maar maak ik dan misschien meer kapot dan mij lief is?
Is bij iemand bekend wat de reden hierachter is? De laatst beschikbare versie is 22.03.2
Ik heb zelf de wrt32x en kan er natuurlijk wel een snapshot overheen gooien. Maar maak ik dan misschien meer kapot dan mij lief is?
De Linksys WRTxx00-serie gebruikt een Marvell SoC en switch, en daar zijn problemen mee voor DSA en kernel 5.10. Dat staat ook in de release notes bij de 22.03 point release waarbij images werden geblokkeerd voor die toestellen.
Enige oplossing is master met kernel 5.15 draaien of 21.02. Ik raad het eerste aan, 23.xx loert om de hoek en zodra die vrijgegeven wordt is 21.02 EOL.
Enige oplossing is master met kernel 5.15 draaien of 21.02. Ik raad het eerste aan, 23.xx loert om de hoek en zodra die vrijgegeven wordt is 21.02 EOL.
[Voor 10% gewijzigd door Borromini op 02-05-2023 15:32]
Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje
Ah top, ik was aan het zoeken maar heb dat over het hoofd gezien.Borromini schreef op dinsdag 2 mei 2023 @ 15:25:
De Linksys WRTxx00-serie gebruikt een Marvell SoC en switch, en daar zijn problemen mee voor DSA en kernel 5.10. Dat staat ook in de release notes bij de 22.03 point release waarbij images werden geblokkeerd voor die toestellen.
Enige oplossing is master met kernel 5.15 draaien of 21.02. Ik raad het eerste aan, 23.xx loert om de hoek en zodra die vrijgegeven wordt is 21.02 EOL.
Aangezien ik al op 22.03.02 zit wacht ik gewoon totdat de 23.x.1 uit komt.
weet iemand of het ook mogelijk is om openwrt op de superwifipunten van KPN te flashen?
momenteel heb ik een 3 tal superwifipunten hangen maar mis hierin eingelijk wel veel instellingen
deze superwifi is volgensmij ontwikkeld door arcadyan
momenteel heb ik een 3 tal superwifipunten hangen maar mis hierin eingelijk wel veel instellingen
deze superwifi is volgensmij ontwikkeld door arcadyan
Hoe bedoel je? versie 22.03.02 is de officieel laatste versie zover ik nu kan zien.Borromini schreef op woensdag 3 mei 2023 @ 13:18:
Je router is nu effectief een switch. Dus dat zou ik niet doen.
Of zit die bug in de hele 22.xx.xx branche?
Ja. Hij zit in kernel 5.10, en is opgelost in kernel 5.15 (die in 23.xx zit), en het schijnt behoorlijk lastig om de oplossing te backporten.sweetdude schreef op zondag 7 mei 2023 @ 15:59:
[...]
Hoe bedoel je? versie 22.03.02 is de officieel laatste versie zover ik nu kan zien.
Of zit die bug in de hele 22.xx.xx branche?
Nog bedankt voor je (ondertussen al oude) reactie. Ik ben er de afgelopen tijd niet meer mee bezig geweest. Op het moment gebruik ik nog een AC router van Fritzbox. Als ik een router ga kopen voor OpenWRT, stap ik het liefst gelijk over op een AX router.Falco schreef op woensdag 14 september 2022 @ 10:37:
[...]
Ik zeg doen qua overstap naar Openwrt, maar het ligt er mijns inziens wel een beetje aan wat je wilt/verwacht. Op dit moment is de Openwrt ondersteuning voor wifi6/AX nog beperkt, waarbij die Belkin RT3200 zeker een kandidaat is maar nog niet helemaal vlekkeloos. Andere kandidaat is de Linksys E8450 (zelfde hardware), maar die is ook niet goed verkrijgbaar.
https://openwrt.org/toh/linksys/e8450
Zag toevallig dit topic, wellicht handig voor je?
https://www.reddit.com/r/...nwrt_router_for_advanced/
Qua Openwrt ondersteuning zou ik vooralsnog voor wifi 5/AC apparatuur kiezen, want daarvoor is de ondersteuning en verkrijgbaarheid erg goed. Heb zelf een Netgear R7800 als hoofd router, een TP-Link c2600 als AP/switch en een TP-link EAP225 v3 als AP. Dat werkt allemaal als een trein.
Is de OpenWRT ondersteuning voor AX ondertussen verbeterd?
De verkrijgbaarheid van de RT3200 en Linksys variant lijkt er overigens niet beter op geworden.
Hi, ik heb inmiddels zelf twee AX apparaten in mijn netwerk, de wax206 als vervanging voor de C2600 en een wax202 voor de eap225v3.Matthijs8 schreef op zondag 21 mei 2023 @ 10:29:
[...]
Nog bedankt voor je (ondertussen al oude) reactie. Ik ben er de afgelopen tijd niet meer mee bezig geweest. Op het moment gebruik ik nog een AC router van Fritzbox. Als ik een router ga kopen voor OpenWRT, stap ik het liefst gelijk over op een AX router.
Is de OpenWRT ondersteuning voor AX ondertussen verbeterd?
De verkrijgbaarheid van de RT3200 en Linksys variant lijkt er overigens niet beter op geworden.
De wax206 is nog snapshot maar zal waarschijnlijk in stable komen als Openwrt 23.x uitkomt.
Vooralsnog werken beiden uitstekend, voordeel van deze is dat ze heel makkelijk te flashen zijn.
Kijk eens in de table of hardware voor actuele stand van zaken qua ondersteuning. Hou er wel rekening mee dat sommige apparaten heel lastig naar Openwrt te flashen zijn...
https://openwrt.org/toh/views/toh_available_16128_ax-wifi
Zelf hier ook een EAP615-Wall en een WAX202, heel tevreden mee.
@Tom Paris Op zich is het momenteel gewoon master, dus die RC dat zal nog effe afwachten worden vermoed ik. Beste manier om te testen is master te draaien
Niet op productiespul natuurlijk
@Tom Paris Op zich is het momenteel gewoon master, dus die RC dat zal nog effe afwachten worden vermoed ik. Beste manier om te testen is master te draaien

Niet op productiespul natuurlijk

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje
Tom Paris schreef op zondag 21 mei 2023 @ 21:36:
23.05 branch is erSNAPSHOTs rollen binnen, een RC zal snel volgen.
Daar gaan weBorromini schreef op zondag 21 mei 2023 @ 22:16:
@Tom Paris Op zich is het momenteel gewoon master, dus die RC dat zal nog effe afwachten worden vermoed ik. Beste manier om te testen is master te draaien

Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Zit in een RC ook luci?
TrueNAS (Asustor AS6704T (4x16TB MG08)), OPNsense (Protectli FW6B), OpenWrt (2x Belkin RT3200), Logitech Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Ik zit momenteel nog op snapshots met mijn WAX206 en WAX202, upgraden doe ik met attendedsysupgrade. Krijg je dan vanzelf ook de RC en later de stable aangeboden?Borromini schreef op woensdag 7 juni 2023 @ 13:05:
Ja. In alle pre-release snapshots van de toekomstige stabiele branch trouwens, dus je kan eender welk 23.05 snapshot installeren als je LuCI er ineens bij wil.