OpenWrt: von WLAN auf LAN

Hallo zusammen,

vielleicht wurde mein Vorhaben schon mal behandelt, leider konnte ich es aber nicht finden.

Ich nutze die gleiche Konfiguration wie von Mike OpenWrt Teil 1 - 4.3
LAN : 192.168.200.1
WLAN: 192.168.150.1

Ich habe mir ein Gerät (Lüftungsanlage) in mein Haus eingebaut und es in mein LAN-Netzwerk eingebunden. Der Zugriff vom stationären Rechner ist möglich.
Jetzt möchte ich mit einem alten Handy und der App im Netzwerk von WLAN auf das LAN-Gerät zugreifen.
Die App sucht jedoch nur im WLAN (x.x.150.x) nach dem Gerät. Dies konnte ich über RethinkDNS einsehen. Eine Browserverbindung vom Notebook vom WLAN auf das LAN ist auch nicht möglich.

Mit welchen Schritten komme ich in das andere Netzwerk?

Danke und Grüße
Stephan

Hört sich nach einem Firewall-Problem an.
Wäre gut, wenn du folgendes bereitstellst (sensible Daten vorher entfernen!):

ubus call system board
cat /etc/config/network
cat /etc/config/firewall
cat /etc/config/wireless

Alle vier in ihrem eigenen Code-Block bereitstellen.

Alternativ kannst du es zunächst mit einem Screenshot der Interfaces, Devices und Firewall-Seite probieren.

Hi, hier die gewünschten Daten:

"kernel": "5.15.150",
	"hostname": "OpenWrt",
	"system": "ARMv7 Processor rev 5 (v7l)",
	"model": "AVM FRITZ!Box 4040",
	"board_name": "avm,fritzbox-4040",
	"rootfs_type": "squashfs",
	"release": {
		"distribution": "OpenWrt",
		"version": "23.05.3",
		"revision": "r23809-234f1a2efa",
		"target": "ipq40xx/generic",
		"description": "OpenWrt 23.05.3 r23809-234f1a2efa"
config interface 'loopback'
	option device 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fd61:6a08:174a::/48'

config interface 'lan'
	option device 'lan1'
	option proto 'static'
	option ipaddr '192.168.200.1'
	option netmask '255.255.255.0'
	option gateway '192.168.178.200'
	list dns '192.168.178.200'
	option type 'bridge'

config interface 'WIFI'
	option proto 'static'
	option ipaddr '192.168.150.1'
	option netmask '255.255.255.0'
	option gateway '192.168.178.200'
	option device 'phy1-ap0'

config device
	option name 'phy1-ap0'
	option ipv6 '0'

config device
	option name 'eth0'
	option ipv6 '0'

config device
	option name 'wan'
	option ipv6 '0'

config interface 'Internet'
	option proto 'static'
	option device 'wan'
	option ipaddr '192.168.178.200'
	option netmask '255.255.255.0'
	option gateway '192.168.178.1'
	list dns '5.1.66.255'
	list dns '80.241.218.68'
	list dns '159.69.114.157'
config defaults
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option synflood_protect '1'

config zone
	option name 'lan'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	option family 'ipv4'
	list network 'lan'

config zone
	option name 'wifi'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	option family 'ipv4'
	list network 'WIFI'

config zone
	option name 'wan'
	option input 'REJECT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option mtu_fix '1'
	option family 'ipv4'
	list network 'Internet'

config forwarding
	option src 'lan'
	option dest 'wan'

config rule
	option name 'HTTP,HTTPS'
	list proto 'tcp'
	option src 'lan'
	option dest 'wan'
	option target 'ACCEPT'
	option dest_port '53 80 443 853'

config rule
	option name 'WLAN - HTTP, HTTPS'
	list proto 'tcp'
	option src 'wifi'
	option dest 'wan'
	option target 'ACCEPT'
	option dest_port '53 80 443 853'

config rule
	option name 'domain, ntp'
	list proto 'udp'
	option src 'lan'
	option dest 'wan'
	option dest_port '53 123'
	option target 'ACCEPT'

config rule
	option name 'WLAN - domain, ntp'
	list proto 'udp'
	option src 'wifi'
	option dest 'wan'
	option dest_port '53 123'
	option target 'ACCEPT'

config rule
	option name 'E-Mail'
	list proto 'tcp'
	option src 'lan'
	option dest 'wan'
	option dest_port '465 993 587'
	option target 'ACCEPT'

config rule
	option name 'WLAN - E-Mail'
	list proto 'tcp'
	option src 'wifi'
	option dest 'wan'
	option dest_port '465 993 587'
	option target 'ACCEPT'

config rule
	list src_ip '192.168.200.183'
	option target 'ACCEPT'
	option dest 'wan'
	option name 'Alien'

config rule
	option name 'Block ALL'
	option src 'lan'
	option dest 'wan'
	option target 'REJECT'

config rule
	option name 'Block ALL - WLAN'
	option src 'wifi'
	option dest 'wan'
	option target 'REJECT'

config forwarding
	option src 'wifi'
	option dest 'wan'
config wifi-device 'radio0'
	option type 'mac80211'
	option path 'platform/soc/a000000.wifi'
	option channel '1'
	option band '2g'
	option htmode 'HT20'
	option disabled '1'

config wifi-iface 'default_radio0'
	option device 'radio0'
	option network 'lan'
	option mode 'ap'
	option ssid 'OpenWrt'
	option encryption 'none'

config wifi-device 'radio1'
	option type 'mac80211'
	option path 'platform/soc/a800000.wifi'
	option channel '36'
	option band '5g'
	option htmode 'VHT80'
	option cell_density '0'

config wifi-iface 'default_radio1'
	option device 'radio1'
	option network 'WIFI'
	option mode 'ap'
	option ssid 'NAME'
	option encryption 'sae'
	option hidden '1'
	option key 'nicht_wichtig'

[MOD-Edit: Zitate richtig formatiert]

1 „Gefällt mir“

Die App kann die Lüftungsanlage nicht finden, weil es keine Regeln gibt, die WIFI → LAN Kommunikation erlauben.

Entweder du aktivierst Logging für die WIFI-Zone und erstellst daraus händisch sehr gezielte Regeln, oder du erlaubst dem Smartphone allgemein die Kommunikation zur Lüftungsanlage, bspw so:

config rule
        option name 'Allow Handy Lueftung'
        list proto 'all'
        option src 'wifi'
        list src_ip 'smarthone_IP'
        option dest 'lan'
        list dest_ip 'lueftungs_IP'
        option target 'ACCEPT'

Nach abändern der Datei die Regeln mit /etc/init.d/firewall restart anwenden. Wenn das nicht hilft Router neu starten. Oder du trägst alles über LuCI ein, was deutlich weniger fehleranfällig ist.

Generell würde ich folgendes ändern:

Das sollte REJECT sein.

Ist das nicht widersprüchlich?

Zweiteres ist unnötig, wenn ersteres gilt.

Solltest du - wie ich annehme - die WIFI zone als nicht vertrauenswürdig einstufen, und den Router nur über die lan zone erreichen wollen, bei ‚input‘ und ‚forward‘ ‚REJECT‘ stehen. Dann müsstest du noch Regeln hinzufügen, die DNS und DHCP für WIFI → Router erlauben.

Edit: Zitate neu überarbeitet.

So habe jetzt folgendes über LuCI eingetragen. (das andere werde ich wohl auch korrigieren, wobei ich da ggf. noch Hilfe benötige)

config rule
	option name 'Steuerrung'
	option src 'wifi'
	list src_ip '192.168.150.187'
	option dest 'lan'
	list dest_ip '192.168.200.170'
	option target 'ACCEPT'

Router wurde neu gestartet.
Die App sucht weiterhin nur in 192.168.150.x.
Auch vom Browser komme ich nicht auf 192.168.200.170.

EDIT: Nachdem ich die IP raus genommen habe (war ja für ein bestimmtes Gerät angedacht) komme ich zumindest mit meinem Haupt-Handy per Browser auf das Lüftungsgerät.

Das Release ist übrigens schon ziemlich alt (März 2024). Du solltest dringend Updaten.

Ja, ich weiß. Jedoch ist dies immer mit etwas mehr Aufwand verbunden, da ich noch weitere Addons (Wifi-Scheduler, Adblock und banIP) nutze.
Das einspielen der Sicherungen klappt nicht so wie ich das gerne hätte.

Der Aufwand sollte minimal sein, wenn man es richtig macht. Hier wird dir geholfen: https://openwrt.org/docs/guide-user/installation/attended.sysupgrade

Edit: Lass dich am Besten in die Mailingliste für Updates eintragen, damit du gleich informiert bist, wenn es ein neues gibt.

Naja, es geht dabei um die Zusatzdienste, da diese nicht wirklich mit gesichert werden. Dies war zumindest beim letzten Mal so. Kann aber auch sein, dass es mitlerweile besser klappt.

Bitte zuerst den Link durchlesen

DANKE, hat geklappt.