[fli4l] WLAN absichern mittels VPN

Sebastian Klein fli4l at wysiwyng.de
Mi Feb 26 19:28:10 CET 2014 

Hi Boris,

Am 26.02.14 18:45, schrieb Boris Sicking:

> In der Base hatte ich PF_INPUT für das zweite Netz nicht gesetzt. 
> On Thu, 06 Feb 2014 18:36:08 +0100, Sebastian Klein wrote:
>> base.txt:
>> Bei mir ist das gerade IP_NET_4 geworden
>>
>>     PF_INPUT_3='tmpl:dhcp IP_NET_4 IP_NET_4_IPADDR ACCEPT' #drop SAMBA
>>     PF_INPUT_3_COMMENT='DHCP für WLAN-VPN-Netz'
>>
> Ich habe daher nun PF_INPUT_N='2' gesetzt, das vorgegebene 
>      PF_INPUT_2='tmpl:samba DROP NOLOG'
>      PF_INPUT_2_COMMENT='no samba traffic allowed'
> auskommentiert, und dafür das hier gesetzt:
>     PF_INPUT_2_='tmpl:dhcp IP_NET_2 IP_NET_2_IPADDR ACCEPT' #drop SAMBA

             ^^^^^^ guck dir das mal genau an im Vergleich zu meinem
Beispiel. :-)

> Wenn ich dann ./mkfli4l.sh anwerfe bekomme ich folgende Fehlermeldung: 
> 
> Error: missing variable 'PF_INPUT_2' in config file of package 'base'
> Error in configuration, aborting...

siehe oben...

> Hier noch der Rest meiner Konfiguration im Vergleich zu deiner: 
> 
>> dns_dhcp.txt:

> Hier habe ich wie in der Doku steht auch noch DNS_Server und NTP_Server 
> auf "none" gesetzt.
...

sieht gut aus

>> advanced_networking.txt:
...
> Das ist bei mir 
>   BRIDGE_DEV_BOOTDELAY='yes'
>   BRIDGE_DEV_N='1'
>   BRIDGE_DEV_1_NAME='br'
>   BRIDGE_DEV_1_DEVNAME='br0'
>   BRIDGE_DEV_1_DEV_N='1'
>   BRIDGE_DEV_1_DEV_1_DEV='eth0'

auch das, wenn eth0 das "interne" Netz ist, hab ich gerade nicht mehr im
Kopf.

>> openvpn.txt:

...
> OPENVPN_1_CREATE_SECRET='no'

braucht es nicht unbedingt, da es default aus ist. Stört aber auch nicht.

Was aber fehlt ist die Angabe von Cipher und Digest.
Wenn du es nicht setzt ist OPENVPN_DEFAULT_CIPHER='BF-CBC'
und OPENVPN_DEFAULT_DIGEST='SHA1'

>> und die Config auf dem Client:

>> remote 10.140.10.1
>> port 10098
>> proto udp
>> secret sebastian.secret
>> dev tap
>> cipher AES-128-CBC
>> comp-lzo
>> persist-key
>> ping-timer-rem
>> ping-restart 60
>> tun-mtu 1500
>> fragment 1300
>> mssfix
> Hier habe ich natürlich remote 192.168.77.1, port 20001 oder 20002, je 
> nach Client, und cipher hab ich so nicht. Das dürfte also auch das 
> gleiche sein.

Ja den Cipher habe ich bei mir global gesetzt.
und er passt in deinem Fall nicht zu dem Obigen.

-- 
viele Grüße,
Sebastian
[fli4l-team]

Mehr Informationen über die Mailingliste Fli4L