[fli4l] Input-chain: VPN-c?==?utf-8?Q?lient-IP explizit Zugriff au?==?utf-8?Q?f httpd erlauben

[K. Dreier]

Hallo,

fli4l 4.0 testing. Meine PF_INPUT-Regeln sind so gestaltet, daß nur
bestimmte clients meines internen LANs auf die Weboberfläche des fli4l
zugreifen dürfen (immer _ACCEPT_DEF='yes'):

[...]
PF_INPUT_5='prot:tcp @client1 8080 ACCEPT' # NET_2 client1
PF_INPUT_6='prot:tcp @client2 8080 ACCEPT' # NET_2 client2
PF_INPUT_7='prot:tcp 10.0.8.3 8080 ACCEPT' # client1, der von extern via
VPN im Netz ist
PF_INPUT_8='prot:tcp IP_NET_2 8080 REJECT' # NET_2 ist das LAN der
clients 1+2

Ich habe einen (Open)VPN-Server im NET_2 laufen. Wenn sich ein externer
client mit diesem VPN verbindet, dann bekommt er die IP im Stile von
10.0.8.x. Das VPN ist so aufgesetzt, daß die clients via VPN (über den
fli4l) ins Internet können. Zusätzlich kann ich auf einem solchen
client, der mit dem VPN verbunden ist, auf einen NET_2 client zugreifen,
indem ich etwa http://192.168.0.10:5001 aufrufe. Warum das so ist,
verstehe ich allerdings nicht. :o Aber da ich das ja so will, passt das
schon... ;-)

Das klappt auch mit dem fli4l-Webinterface - sofern nicht die obige
Regel 8 gesetzt ist. Logisch eigentlich. Allerdings gibt es ja noch
Regel 7. Und die VPN-IP des clients ist via static DHCP vom VPN-Server
immer die gleiche. Der VPN-client hat definitiv die obige IP wie in
Regel 7 eingetragen (überprüft via ifconfig). Zum testen nutze ich
übrigens die Datenverbindung eines Smartphones, das Gerät ist also
nicht im NET_2 eingebucht.

fl4il kennt natürlich diese VPN-IP nicht, da der Adressbereich nirgends
in der fli4l-Konfig definiert ist. Wie erreiche ich nun, daß trotz der
Regel 8 solch ein VPN-client (also die IP 10.0.8.3) doch auf die
fli4l-Weboberfläche zugreifen kann? Bis jetzt geht alles, sofern Regel
8 nicht aktiv ist, und all das ohne irgendwelche forwards oder
postrouting Regeln, die in Verbindung mit dem VPN-Netz stünden.

Kann jemand helfen? Ich bin jedenfalls gespannt.

Gruß
Klaus