1. Ab Firmware Version R_00.07.06.5

Die Forwarding-Regeln werden seit Version 7.06.5 automatisch mit der erforderlichen source zone hinzugefügt, die bereits in der Regel dmz_fw eingestellt ist. So kann es auch bei einer mdex fixed.IP+/public via OpenVPN nicht mehr passieren, durch nachträgliches Aktivieren von DMZ den Fernzugriff zum Router zu verlieren. Zusätzliche "Workaround"-Scripte sind seit Version 7.06.5 nicht mehr erforderlich.

2. Ab Firmware Version R_00.07.05

2.1 Fernzugriff zur Router Weboberfläche

Bei Verwendung einer mdex fixed.IP+/public via OpenVPN mit aktiven DMZ sind einige Dinge zu beachten:

• Bei von mdex vorkonfigurierten Routern für eine mdex fixed.IP+/public via OpenVPN ist die richtige Source Zone "openvpn" bereits bei allen relevanten Regeln eingestellt.
• Sollte "DMZ" aber nachträglich deaktiviert werden, werden alle o.g. Port Forwarding Regeln automatisch gelöscht, weil diese nicht mehr erforderlich sind.
• Wenn "DMZ" nun wieder aktiviert wird, werden die o.G. Regeln automatisch neu angelegt, jedoch alle mit der "falschen" source zone wan!
• Damit der Zugriff über eine mdex fixed.IP/public.IP via OpenVPN wieder funktioniert, müssen die source zones dieser Regeln manuell von wan openvpn umgestellt werden. Hierbei ist richtige Reihenfolge zu beachten, damit der Fernzugriff zum Router nicht verloren wird:
  
  1. Zunächst die source zone der Port Forwarding Regeln dmz_http, dmz_https, dmz_ssh und dmz_snmp auf von wan openvpn umstellen.
  2. Anschließend kann die source zone der letzen Regel dmz_fw von wan openvpn umgestellt werden, ohne dass der Fernzugriff verlorengeht. ¹

¹ Unter System -> Maintenance -> Custom Scripts ist zur Absicherung ein Script implementiert, welches die "source zone" der Regeln dmz_http, dmz_https, dmz_ssh und dmz_snmp automatisch beim Reboot des Routers von wan openvpn anpasst, sollte nur die source zone der Regel dmz_fw auf "openvpn" geändert worden sein. Somit ist der Fernzugriff zum Router spätestens nach dem nächsten Router-Reboot wieder möglich, wenn versehentlich zuerst die Regel dmz_fw auf "openvpn" geändert wurde. Dieses Script ist bei allen Routern ab Firmware 7.05 enthalten, die als mdex fixed.IP+ / public.IP via OpenVPN vorkonfiguriert wurden.

System -> Maintenance -> Custom ScriptsSystem -> Maintenance -> Custom Scripts

System ->#!/bin/sh
# mdex workaround: If the rule "dmz_fwd" is enabled and set to openvpn, the other fw rules "dmz_http", "dmz_https", "dmz_ssh" and "dmz_snmp" are also set to openvpn after the next router reboot. 

. /lib/functions.sh
dmz_src=""
src_updated=0
find_dmz_src() {
   local section="$1"
   local name="$(uci_get firewall "$section" "name")"
   if [ "$name" = "dmz_fw" ]; then
      dmz_src="$(uci_get firewall "$section" "src")"
   fi
}

update_dmz_fwds() {
   local section="$1"
   local name="$(uci_get firewall "$section" "name")"
   if [ "$name" = "dmz_http" ] || [ "$name" = "dmz_https" ] || [ "$name" = "dmz_snmp" ] || [ "$name" = "dmz_ssh" ]; then
      local src="$(uci_get firewall "$section" "src")"
      if [ "$src" != "$dmz_src" ]; then
         uci_set "firewall" "$section" "src" "$dmz_src"
         src_updated=1
      fi
   fi
}
config_load "firewall"
config_foreach find_dmz_src "redirect"
[ -z "$dmz_src" ] && exit 0
config_foreach update_dmz_fwds "redirect"
[ "$src_updated" -eq 0 ] && exit 0
uci_commit "firewall"
/etc/init.d/firewall reload

exit 0

2.2 DMZ und Port Forwarding

3. Ab Firmware Version R_00.07.03

3.1 Fernzugriff zur Router Weboberfläche

Network -> Firewall -> Custom RulesNetwork -> Firewall -> Custom Rules

#!/bin/ash
###################################################################################################
# mdex workaround for router remote access, if dmz_fw is enabled:

## Check HTTP remote acccess:
HTTP_PORT="$(/sbin/uci get uhttpd.main.listen_http)"
HTTP_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpWanAccess)"
if [ "${HTTP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTP_PORT} -j REDIRECT --to-port ${HTTP_PORT}
fi

## Check HTTPS remote acccess:
HTTPS_PORT="$(/sbin/uci get uhttpd.main.listen_https)"
HTTPS_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpsWanAccess)"
if [ "${HTTPS_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTPS_PORT} -j REDIRECT --to-port ${HTTPS_PORT}
fi

## Check SSH remote access
SSH_PORT="$(/sbin/uci get dropbear.@dropbear[0].Port)"
SSH_REMOTE_STATUS="$(/sbin/uci get dropbear.@dropbear[0]._sshWanAccess)"
if [ "${SSH_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${SSH_PORT} -j REDIRECT --to-port ${SSH_PORT}
fi
 
## Check SNMP remote access:
SNMP_PORT="$(/sbin/uci get snmpd.general.port)"
SNMP_REMOTE_STATUS="$(/sbin/uci get snmpd.general.remoteAccess)"
SNMP_PROTOCOL="$(/sbin/uci get snmpd.general.proto)"
if [ "${SNMP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p ${SNMP_PROTOCOL} --dport ${SNMP_PORT} -j REDIRECT --to-port ${SNMP_PORT}
fi
###################################################################################################

Beachten Sie hierzu folgende Hinweise:

• Bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN muss unter Network -> Firewall -> Traffic Rules die die Source Zone der Rule Enable_HTTPS_WAN, bzw. Enable_HTTP_WAN auf openvpn eingestellt sein!
• Nachträgliche Änderungen am Router-Fernzugriff, z.B. Portänderungen, werden erst nach dem nächsten Router-Neustart wirksam. Werden nachträgliche Änderungen per Fernzugriff vorgenommen, besteht die Gefahr, dass der Fernzugriff zum Router bis zum nächsten Router-Neustart verloren geht!
• Bei einem Firmware-Update von einer "Legacy FW" auf die aktuelle "Factory FW" (R_00.07.xx) wird das o.g. Script nicht automatisch ergänzt. Es werden bei Aktivierung der Option "Keep all settings" nur die aktuellen Konfigurationseinstellungen und vorhandene Regeln laut Fernzugriff zur Router Weboberfläche (Legacy Firmware) übernommen.

3.2 DMZ und Port Forwarding

4. Bis Firmware Version R_00.06 (Legacy Firmware)

4.1 Fernzugriff zur Router Weboberfläche

Bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN und DMZ Configuration sind jedoch weitere Dinge zu beachten:

• Die bei aktiver DMZ Configuration (Weiterleitung aller Ports und Protokolle) ist die zusätzliche (automatische) Port Forwarding Regel tlt_allow_remote_https_through_DMZ zum Fernzugriff auf die Router Weboberfläche mit der richtigen Source zone "From any host in vpn" vorkonfiguriert.

• Die Soruce zone dieser Regel tlt_allow_remote_http(s)_through_DMZ wird jedoch vom Router auf wan geändert, wenn nachträglich Konfigurationsanpassungen beim Fernzugriff oder beim Port Forwarding vorgenommen wurden und die Firewall oder durch Klick auf Save aktualisiert wurde, z.B.:
  • Es wird eine zusätzliche Port Forwarding Regel ergänzt, obwohl DMZ Configuration noch aktiviert ist.
  • "DMZ Configuration" wird nachträglich deaktiviert und dann wieder aktiviert.
  • "DMZ Configruation" war bei Auslieferung deaktiviert und wird nun nachträglich aktiviert.
  • Der Router-Fernzugriff war deaktiviert und wird nun nachträglich aktiviert.
    

• Der Fernzugriff zur Weoberfläche des Routers über die mdex fixed.IP+/public.IP via OpenVPN ist nun nicht mehr möglich!
  Damit der Fernzugriff wieder funktioniert, muss unter Network -> Firewall im Tab Port Forwarding die Regel tlt_allow_remote_http(s)_through_DMZ manuell wieder auf Source "From any host in vpn" umgestellt werden!

4.1.1 Änderung der Router LAN IP-Adresse oder des HTTP(S)- Port

4.1.2 Fernzugriff deaktivieren

1. Remote Einstellungen unter System -> Administration im Tab Access Control deaktivieren:

   WebUI
   Enable remote HTTP access:		HTTP-Fernzugriff zur Weboberfläche des Routers deaktivieren
   Enable remote HTTPS access:		HTTPS-Fernzugriff zur Weboberfläche des Routers deaktivieren

   
   1. Unter Network -> Firewall im Tab Port Forwarding die Regel Router Remote Access deaktivieren:
   

4.1.3 Fernzugriff aktivieren

1. Remote Einstellungen unter System -> Administration im Tab Access Control aktivieren:

   WebUI
   Enable remote HTTPS access:		HTTPS Fernzugriff zur Weboberfläche des Routers aktivieren
   Port:	4444	HTTPS Port des Routers

   
   
2. Unter Network -> Firewall im Tab Port Forwarding die Regel Router Remote Access aktivieren (und ggf. mit Edit anpassen).
   
   
   • Sollten die Router LAN IP-Adresse und/oder der HTTPS-Port zwischenzeitlich geändert worden sein, muss diese Regel mit Edit ensprechend angepast werden.
   • Sollte diese Regel fehlen, muss diese manuell mit New Port Forward Rule hinzugefügt werden:

     New Port Forwarding Rule
     Name:	Router Remote Access
     Protocol:	TCP
     Source zone:	vpn
     External Port:	Port für externen Fernzugriff zum Router (z.B. 4444)
     Internal zone:	lan
     Internal IP address:	Router LAN IP-Adresse (z.B. 192.168.1.1)
     Internal Port:	HTTP/S Port des Routers (z.B. 4444)

4.2 DMZ Configuration (Weiterleitung aller Ports & Protokolle)

4.3 Port Forwarding

1. Unter Network -> Firewall die Option DMZ Configuration deaktivieren, damit alle nicht erfassten Ports der Port Forwarding Tabelle nicht mehr zu diesem Endgerät weitergeleitet werden.
   
   
2. Unter Network -> Firewall im Tab Port Forwarding mit Add eine neue Port Forwarding-Regel hinzufügen.
   
3. Bei jeder hinzugefügten Port Forwarding Regel muss nun auf Edit geklickt werden und die Source zone von wan: wan auf vpn: openvpn geändert werden!:
   
   Nur dann ist das Endgerät über die mdex fixed.IP+ / public.IP via OpenVPN erreichbar.