[Fli4l_dev] OpenVPN: Doku-Beispiel "WLAN Verbindung absichern" ohne tap?

So Mär 10 18:19:52 CET 2013

Hi,

Sebastian Klein <admin at nettforum.webnmail.de> wrote in
news:khid01$f0p$1 at vm-news.spline.inf.fu-berlin.de: 

> Klar geht das, man muß es nur anders Konfigurieren.

Ich fange gerade an, mich mit dem Paketfilter auseinanderzusetzen ;)
Mal schauen...

> - der Androide bekommt ne IP vom dhcp

Das funktioniert schon seit längerem problemlos:

HOST_N='11'
HOST_10_NAME='android-bernd1' # bernd1
HOST_10_IP4='192.168.y.zz'
HOST_10_DHCPTYP='mac'
HOST_10_MAC='aa:bb:cc:dd:ee:ff'
HOST_11_NAME='android-bernd2' # bernd2
[...]
OPT_DHCP='yes'
DHCP_TYPE='isc-dhcpd'

> - der fli4l leitet aber Anfragen dieser IP nicht weiter

Soeben nach Deiner Idee eingebaut und getestet:

PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_N='7'
PF_INPUT_1='IP_NET_1 ACCEPT' # LAN eth0
PF_INPUT_2='@android-bernd1 1234 ACCEPT'
PF_INPUT_3='@android-bernd2 1234 ACCEPT'
PF_INPUT_4='IP_NET_2 DROP' # WLAN wlan0
[...]
OPENVPN_1_LOCAL_PORT='1234'

Sehe ich richtig, dass mit den o.g. Einstellungen beiden Telefonen 
Zugang nur zum OpenVPN daemon gestattet wird und die Weiterleitung von 
Daten außerhalb des Tunnels blockiert wird? Die Android-app Fing findet 
so zumindest auf dem Server keine bekannten services mehr und eine 
OpenVPN-Einwahl ist weiterhin möglich. Das syslog zeigt viele fw-input-
drop-Einträge vom Telefon an :)
Es war bislang aufgrund meiner Unkenntnis nicht möglich, vom Telefon 
aus Geräte in IP_NET_1 anzusprechen, das ist auch weiterhin so.

> - dann verbindet der Androide sich mit dem fli4l per OVPN

OK, das funktioniert weiterhin:

Mar 10 19:13:04 fli4l daemon.notice openvpn-android[2540]: Peer 
Connection Initiated with [AF_INET]192.168.y.zz:1194
Mar 10 19:13:04 fli4l daemon.notice openvpn-android[2540]: 
Initialization Sequence Completed

> - und der Netzverkehr wird weiter geleitet.

Wie ist das zu bewerkstelligen? Muss ich die Einstellungen bei 
PF_POSTROUTING oder OPENVPN_1_PF_POSTROUTING vornehmen?
Mich verwirrt, dass es mit den o.g. Einstellungen im base-Bereich 
geklappt hat, ist das so richtig?

Muss ich im OpenVPN-Bereich noch Änderungen vornehmen?

OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='1'
OPENVPN_1_PF_FORWARD_1='ACCEPT'

Das hier ist wahrscheinlich Blödsinn:

OPENVPN_1_PF_POSTROUTING_N='3'
OPENVPN_1_PF_POSTROUTING_1='if:any:VPNDEV any REMOTE-NET MASQUERADE'
OPENVPN_1_PF_POSTROUTING_2='if:any:VPNDEV any IP_NET_2 MASQUERADE'
OPENVPN_1_PF_POSTROUTING_3='if:any:VPNDEV any IP_NET_1 MASQUERADE'

Ein wenig bin ich schon weitergekommen, danke!

Viele Grüße, Bernd