Probleme mit hostapd und NAT

[xXLupoXx]

Hi,

ich versuche momentan mit hostapd und dnsmasq einen Aceess Point für meinen Nintendo DS aufzubauen, da dieser leider nur WEP als Verschlüsselung akzeptiert.
Dies funktioniert auch soweit eigentlich ganz gut bis auf die Tatsache das sich der DS nicht richtig ins Internet zu kommen scheint (er kommt entweder gar nicht zu den Nintendo Server durch oder irgendwan erscheint einfach eine Fehler meldung die Besagt das es Probleme beim Datentransver gab).
Ich vermute jetzt einfach mal das es mit meinen NAT einstellungen zusammen hängt das die ganze Sache nicht anständig läuft...

Ich werde jetzt einfach mal meine Einstellungen posten und vielleicht fällt ja jemendem der Fehler auf weil ich komme hier definitiv nicht mehr weiter...

hostapd.conf

Code: Alles auswählen

interface=wlan0
driver=nl80211
ssid=NDS_Access
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=2
ignore_broadcast_ssid=0
wep_default_key=0
wep_key0=**********

dnsmasq.conf

Code: Alles auswählen

interface=wlan0
dhcp-range=192.168.66.2,192.168.66.254,infinite
server=8.8.8.8
server=8.8.4.4

das Script das ich verwende um hostapd zu starten und die NAT zu aktivieren

Code: Alles auswählen

#!/bin/bash
#Initial wifi interface configuration
ifconfig wlan0 up 192.168.66.1 netmask 255.255.255.0 broadcast 192.168.66.255
sleep 2
  
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
 
sysctl -w net.ipv4.ip_forward=1
 
#start hostapd
hostapd /etc/hostapd/hostapd.conf

Wenn mir jemand weiter helfen könnte wäre das echt super

Gruß

[uname]

Helfen kann ich leider nicht. Vielleicht man den Nameserver auf 192.168.66.1 umstellen statt Google direkt zu verwenden. Falls Du den "Server" jedoch nur für diesen Zweck einsetzt solltest du dir vielleicht mal aus Stromkosten den TP-Link TL-MR3020 anschauen. Ich denke er kann im Client-Modus bzw. viel cooler über WPA-WLAN im WISP-Client-Modus ein WEP-WLAN geroutet, nicht gebridgt aufbauen. Könnte es bei Bedarf mal mit WEP ausprobieren, da ich nur WPA nutze. Ok eigentlich ist es mehr ein 3G-Modem-Accesspoint für unterwegs. Dafür sehe ich aber nun wirklich gar keinen Grund. Habe es nur für den WISP-Client-Modus angeschafft falls man mal in einem Hotel ist und das Bridging über LAN bzw. WLAN nicht geht.

[xXLupoXx]

Das mit dem Name Server hab ich versucht funktioniert auch nicht....
Das interessante ist das ich mit dem Handy über den AP ganz normal ins Internet komme habe ich eben festgestellt.
Habe außerdem noch versucht mittels

Code: Alles auswählen

iptables -A FORWARD -p tcp --dport 1:65535-j ACCEPT 
iptables -A FORWARD -p udp --dport 1:65535 -j ACCEPT 

einfach mal alle Ports weiter zu leiten was leider auch keine Besserung gebracht hat....

Update: Via Bridge das selbe Spiel....

[wanne]

Kannn man bei dem DS sehen, ob er sich verbindet oder ob er eine Adresse bekommt.
Sonst könnte ich mir vorstellen, das der DS den Key vielleicht in Hex haben will und due ihm einen String gegeben hast. Oder umgekehrt. Dzu kommen dass sonderzeichen und WEP so ne sache sind. (Verwende sie besser nicht, oder gibt den Key in Hex an.)

[xXLupoXx]

Der DS ist verbunden und im Netzwerk (Verbindungs Tests Ok bei keiner Verbindung kommt man nicht so weit) das Problem ist das durch einen mir völlig unklaren Grund die Daten nicht bzw. nur unvollständig anzukommen scheinen was sich durch die Fehler Codes 61010 und 61020 sowie den Versuch die Daten zu senden/empfangen der nach kurzer Zeit mit der Meldung beendet wird das es einen Fehler bei der Datenübertragung gäbe und diese nun beendet wird...

Edit:
Ich habe mal versucht den DS direkt ins Wlan einzubinden indem ich temporär die FritzBox auf WEP geschaltet habe.... und es funktioniert.
Der Fehler muss also irgendwo in der Weiterleitung/dem AP stecken....

[wanne]

Hast du da noch andere Fileter oder so in iptables?
Ansonsten würde ich trotzdem ein Problem mit WEP nicht ausschließen. Bist du dir da Wirklich sicher, dass der wirklich connectet, und nicht einfach meint das er drin ist, sobald er die richtige ESSID gefunden hat?

[xXLupoXx]

Sind die einzigen Einträge...
Bin mir schon ziemlich sicher das der drin ist und IP und alles bezieht weil hostapd auch anzeigt das ein Verbindung mit dem DS erfolgt ist

[wanne]

OK, das klingt eindeutig. Ich kenne das halt nur sonst das der WEP standard ziemlich kaputt ist (Die haben da wohl schon zu lebzeiten ein paar mal dran rumgedoktort um andere Schwachstellen zu entfernen, bevor er ganz kaputt gegangen ist.) und oft probleme verursacht.
Wie sieht's mit anderen IPtables Regeln aus?
Würde mal alles bis auf /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE rauswerfen und auf ACCEPT setzen.

[xXLupoXx]

Tut sich auch nix...
Hab wegen den Error Codes mal bei Nintendo nachgefragt und die meinten das das Timeout Fehler sind falls das weiterhilft...

[wanne]

Du kannst mal mit wireshark auf wlan0 mitschneiden, und gucken was so die letzten pakete nach drausen waren.
Timeout kann alles heißen, solange man nicht weiß, auf was der alles mit nem Timeout wartet...

[xXLupoXx]

Jetzt hab ich mal einen Verbindungsversuch aufgenommen der in einem Fehler in der Dateiübertragung endet nur leider kann ich persönlich relativ wenig damit anfangen hab so gut wie keine Erfahrung mit Wireshark...
Aufgenommenes Interface ist meine bridge br0
Hab den Capture mal gesichert und hochgeladen:
-Link wieder entfernt-

[wanne]

OK also zuerstmal musst du dir wohl keine Sorgen bezüglich wifi machen. Das Nintendo spricht printipell SSL. (ssl3.rsa_rc4_128_md5 und könnte sogar ssl3.rsa_rc4_128_sha das stufter FF beides als sicher ein.)
Das ding ruft zuerst das auf:
http://conntest.nintendowifi.net/
Das tut auch einwandfrei dnach macht er ein paar SSL-Verbindungen die wohl auch noch tun.
Auffällig ist folgendes:
Er macht einen DNS-Request auf Pokemon-gl.com verbindet sich da aber nie hin.
der router (192.168.178.1 versucht regelmäßig verbindungen zum DS aufzunehmen die der aber nicht entgegennimmt.

Am ende setzt der DS eine logout Nachricht ab. Daraufhin will der Server die Verbindung beenden. Das scheint der DS aber irgend wie nicht zu verstehen und versucht erneut die logat message zu senden. so geht das ein paar mal hin und her.

PS: schmeis den capture bessr raus User-ID und sowas scheint er im Klartext zu übertragen. Prinzipell würde er das wohl auch mit Wohnort und ähnlichem zu machen, wenn man den angibt.

[xXLupoXx]

Vielen Dank erstmal fürs analysieren!
Jetzt nur noch rausfinden wieso und wie man es beheben kann

[wanne]

Du kannst mal versuchen mitnem Drittgerät das wlan mitschndeien und dann mit airdecap entschlüsseln. und gucken ob die Anworten auch wirklich im wlan ankommn.
Würde Glaube aber eher nicht vermuten das die von br0 nach luft verloren gehen.
Was ich eher vermuten würde, ist, dass der irgend wann mal keine Pakete mehr bekommt. (Vielleicht hilft es, wennd du den AP näher positionierst.)
Oder stell mal wep_rekey_period=0 vielleicht geht das mit dem rekeying nicht. Wobei er dann nach 5min und nicht schon nach 15Sekunden ein Problem bekommen sollte.
Ansonsten kannst du vielleicht mal mit ettercap rein und die Verindung von Hand zu machen. Im prinzip scheint der alles übertragen zu baben und dann nur nicht die Verbindung zu zu bekommen.

[xXLupoXx]

Also an der Entfernung kanns schonmal nicht liegen ich sitz keinen Meter von Access Point/Laptop weg....
wep_rekey_period hat auch nix gebracht... so langsam spiel ich mit dem Gedanken es sein zu lassen und mir für 20€ nen tragbaren mini router zu kaufen....

[habakug]

Hallo!

Vielleicht will es ja keiner hören, aber der Hersteller sagt dazu [1]:

TCP:
Allow traffic to all destinations on ports: 28910, 29900, 29901, 29920, 80, and 443

UDP:
Allow all traffic to all destinations. (Necessary for peer-to-peer connections and game play). The Network Test tool can be used from a computer behind your firewall to test if outbound UDP is allowed.

Mal ehrlich, ist das denn so schwierig?

Gruß, habakug

[1] http://www.nintendo.com/consumer/wfc/en ... rewall.jsp

[xXLupoXx]

Hab ich auch gelesen und entsprechende Weiterleitungen via den iptables gesetzt ohne Erfolg

[The Hit-Man]

bin mir nicht genau sicher, ob die hier das script von der seite weiter helfen kann:

https://wiki.archlinux.org/index.php/So ... cess_Point

unten findest du nen link create_ap. dieses script nutze ich und es rennt echt gut. allerdings nur mit wpa. vielleicht kann man das nen bischen um schreiben ( weiß nicht genau ).

du brauchst dafür hostapd und dnsmasq und eine wlan karte muß eben den mastermode beherschen.

[wanne]

udp macht er gar keins. (Außer DHCP.)
Aber was mir gerade auffällt:
Im Beitrag am Anfang heißt das Interface noch wlan0 (was zu driver=nl80211 passt.)
Später sprichst du dann von br0.
Und es fehlt natürlich immernoch die volle Liste der iptables Regeln. (iptables -S; iptables -t nat -S)

Edit: Da sthet, dass br0 ein Bridge interface ist. Woher kommt das? Was macht das?
Kannst du mal ifconfig posten?

[habakug]

Hallo!

Ich kann nur raten, da ich den inzwischen entfernten Link nicht einsehen kann.

der router (192.168.178.1 versucht regelmäßig verbindungen zum DS aufzunehmen die der aber nicht entgegennimmt.

Die Ports müssen in der Fritzbox an den Rechner mit dem hostapd weitergeleitet werden, von dort per iptables an die IP des Nintendo.
Der Fragesteller hat das Problem ja auch erkannt:

Ich habe mal versucht den DS direkt ins Wlan einzubinden indem ich temporär die FritzBox auf WEP geschaltet habe.... und es funktioniert.
Der Fehler muss also irgendwo in der Weiterleitung/dem AP stecken....

Gruß, habakug

[xXLupoXx]

Ich habe das ganze mal mit einer bridge versucht die halt ins Internet weiterleitet weil ich gelesen habe das das vlt so besser funktioniert...

Ifconfig

Code: Alles auswählen

br0       Link encap:Ethernet  Hardware Adresse 00:03:0d:76:22:e1  
          inet Adresse:192.168.178.220  Bcast:192.168.178.255  Maske:255.255.255.0
          inet6-Adresse: fe80::203:dff:fe76:22e1/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:788 errors:0 dropped:0 overruns:0 frame:0
          TX packets:494 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:450341 (439.7 KiB)  TX bytes:69935 (68.2 KiB)

eth0      Link encap:Ethernet  Hardware Adresse 00:03:0d:76:22:e1  
          inet Adresse:192.168.178.62  Bcast:192.168.178.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:881 errors:0 dropped:5 overruns:0 frame:0
          TX packets:519 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:488248 (476.8 KiB)  TX bytes:74025 (72.2 KiB)
          Interrupt:42 Basisadresse:0xa000 

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:480 (480.0 B)  TX bytes:480 (480.0 B)

mon.wlan0 Link encap:UNSPEC  Hardware Adresse 00-10-60-94-49-BF-00-00-00-00-00-00-00-00-00-00  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:278 (278.0 B)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  Hardware Adresse 00:10:60:94:49:bf  
          inet6-Adresse: fe80::210:60ff:fe94:49bf/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:0 (0.0 B)  TX bytes:3391 (3.3 KiB)

und hier mal meine momentanen iptables

Code: Alles auswählen

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -o eth0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 

# Ports UDP Alle  / TCP 80,443,28910,29900,29901, 29920  an 192.168.178.222 (Nintendo DS)
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,443,28910,29900,29901,29920 -j DNAT --to-destination 192.168.178.222
/sbin/iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dports 1:65535 -j DNAT --to-destination 192.168.178.222
/sbin/iptables -A FORWARD -i eth0 -d 192.168.178.222 -p tcp -m multiport --dports 80,443,28910,29900,29901,29920 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -d 192.168.178.222 -p udp -m multiport --dports 1:65535 -j ACCEPT

[habakug]

Hallo!

Wenn die IP aus dem Netz der Fritzbox ist (192.168.178.222) brauchst du doch kein iptables. Du kannst in der Fritzbox direkt an diese Adresse weiterleiten. Wozu hast du denn dnsmasq?

Gruß, habakug

[xXLupoXx]

Da ich inzwischen auf die bridge umgestiegen bin brauch ich dnsmasq eigentlich nicht mehr ich werds mal versuchen direkt in der fritzbox weiter zu leiten moment

[xXLupoXx]

Leider nein es taucht einfach wieder die meldung auf das ein Fehler bei der Datenübertragung statgefunden hat...

[habakug]

Hallo!

Hast du auch die o.g. Ports für TCP *und* UDP freigegeben?
Wie genau lautet die Fehlermeldung?

Gruß, habakug