[fli4l] WLAN absichern mittels VPN

[Sebastian Klein]

Moin,

Am 29.01.14 18:06, schrieb Boris Sicking:

>> Mich beschleicht ein wenig das Gefühl, dass du nicht so ganz genau weißt
>> was du tust bzw. tun möchtest/mußt. 
> Damit liegst du schon richtig, in der Tat sind mir einige Dinge nicht 
> wirklich klar. Durchgelesen habe ich mir die ganze Doku und auch einige 
> andere Dinge, aber je mehr ich lese, umso verwirrter werde ich. 
> Vielleicht hast du ja einen guten Link zum Thema für mich? Die Frage 
> "welche IP muss wohin" wird bei mir momentan immer undeutlicher. 

Okay dann sollte ich anders an die Hilfe gehen ;-)

> Mein Endziel ist es, mein WLAN nicht nur durch WPA abzusichern, sondern 
> zusätzlich durch ein VPN (genial wäre dann noch, wenn man einzelnen 
> Notebooks nur das Internet, und anderen auch das LAN erlauben könnte)

Okay, das ist auf jeden Fall schon mal eine Aussage ;-)
das mit dem "Internet only" geht, würde ich dann aber nicht mit einer
Bridge lösen sondern mit einem Tunnel machen, dem kannst du dann in
seinen Regeln die Zugriffe unabhängig vom internen Netz regeln.

> Ich habe der Netzwerkkarte an der der Accesspoint hängt die
> 192.168.77.1 zugewiesen, der Accesspoint bezieht per dhcp die 
> 192.168.77.230, die wlankarte im Notebook per dhcp die 192.168.77.33 - 
> soweit gut, oder schon was grundlegend falsch? Muss das Notebook etwa 
> eine Adresse aus 192.168.44.xx (das Lan) bekommen? 

nein das ist schon soweit richtig, aber es gibt ja 2 Netze. Erstmal das
vom WLAN welches in sich abgeschlossen ist und keinen weiteren Zugriff
auf das interne Netz oder auch das Internet hat. Dann gibt es das
interne Netz was "alles" darf, an das sich dann das VPN hängt.

> was muss ich also nun bei der vpn-Einstellung (Netzwerk-Mamanger) auf 
> meinem Notebook wählen? 
> - Gateway  Hier habe ich 192.168.77.1 eingetragen

den brauchst du eigendlich nicht an zu geben, da diese Infos ja per DHCP
kommen sollten (aus dem Adressbereich des internen LAN)

> - statischer Schlüssel und die entsprechende Datei geladen

richtig

> -Schlüsselrichtung steht momentan auf "keine"

die hast du ja entweder schon, oder kannst sie nach der Doku erstellen.
Die Schlüssel müssen dann im fli4l-dir unter config/etc/openvpn/
abgelegt werden. Damit wandern sie automagisch mit auf den fli4l und da
an die richtige Stelle.

> Entfernte IP-Adresse: 192.168.77.33
> Lokale IP-Adresse : 192.168.77.33

Das kann ja so nicht klappen, da die Adressen ja gleich sind.
in der fli4l-config ist die lokale Adresse in deinem Fall auf die
192.168.77.1 zu setzen und im Client die remote Adresse ebenfalls auf
die "1". Die jeweils andere Adresse bleibt leer bzw. wird gar nicht
erwähnt, da die ja nicht bekannt ist und sich auch ändern kann.

>> Bei einer Bridge entfallen die INPUT und FORWARD Regeln im OPT_OPENVPN
> So dachte ich es mir eigentlich auch, da ich mit der Brige ja sozusagen 
> direkt in LAN gehe und nach aussen dann die bereits festgelegten 
> Firewallregeln gelten.

genau so ist es...

> Leider habe ich momentan auch keinen vernüftigen Suchansatz um mein 
> Problem logisch einzukreisen. 

ich hoffe dir mit dem obigen schon mal weiter geholfen zu haben.
Zum Testen kannst du so vorgehen:

1. Client ohne VPN ins WLAN hängen
2. ping 192.168.77.1
3. wenn bei 2 ne Antwort gekommen ist dann VPN starten und Verbindung
aufbauen, steht diese
4. ping 192.168.44.1
5. kommt dann ne Antwort ping www.google.de (oder auch was anderes)
6. kommt da auch ne Antwort funzt deine Konstruktion ;-)

-- 
viele Grüße,
Sebastian
[fli4l-team]