[Fli4l_dev] OpenVPN: Doku-Beispiel "WLAN Verbindung absichern" ohne tap?

Matthias Prill m.prill at gmx.de
So Mär 10 19:15:32 CET 2013


Am 10.03.2013 18:19, schrieb Bernd Kuhls:
> Hi,
> 
> Sebastian Klein <admin at nettforum.webnmail.de> wrote in
> news:khid01$f0p$1 at vm-news.spline.inf.fu-berlin.de: 
> 
>> Klar geht das, man muß es nur anders Konfigurieren.
> 
> Ich fange gerade an, mich mit dem Paketfilter auseinanderzusetzen ;)
> Mal schauen...
> 
>> - der Androide bekommt ne IP vom dhcp
> 
> Das funktioniert schon seit längerem problemlos:
> 
> HOST_N='11'
> HOST_10_NAME='android-bernd1' # bernd1
> HOST_10_IP4='192.168.y.zz'
> HOST_10_DHCPTYP='mac'
> HOST_10_MAC='aa:bb:cc:dd:ee:ff'
> HOST_11_NAME='android-bernd2' # bernd2
> [...]
> OPT_DHCP='yes'
> DHCP_TYPE='isc-dhcpd'
> 
>> - der fli4l leitet aber Anfragen dieser IP nicht weiter
> 
> Soeben nach Deiner Idee eingebaut und getestet:
> 
> PF_INPUT_POLICY='REJECT'
> PF_INPUT_ACCEPT_DEF='yes'
> PF_INPUT_N='7'
> PF_INPUT_1='IP_NET_1 ACCEPT' # LAN eth0
> PF_INPUT_2='@android-bernd1 1234 ACCEPT'
> PF_INPUT_3='@android-bernd2 1234 ACCEPT'
> PF_INPUT_4='IP_NET_2 DROP' # WLAN wlan0
> [...]
> OPENVPN_1_LOCAL_PORT='1234'
> 
> Sehe ich richtig, dass mit den o.g. Einstellungen beiden Telefonen 
> Zugang nur zum OpenVPN daemon gestattet wird und die Weiterleitung von 
> Daten außerhalb des Tunnels blockiert wird? Die Android-app Fing findet 
> so zumindest auf dem Server keine bekannten services mehr und eine 
> OpenVPN-Einwahl ist weiterhin möglich. Das syslog zeigt viele fw-input-
> drop-Einträge vom Telefon an :)
> Es war bislang aufgrund meiner Unkenntnis nicht möglich, vom Telefon 
> aus Geräte in IP_NET_1 anzusprechen, das ist auch weiterhin so.
> 
>> - dann verbindet der Androide sich mit dem fli4l per OVPN
> 
> OK, das funktioniert weiterhin:
> 
> Mar 10 19:13:04 fli4l daemon.notice openvpn-android[2540]: Peer 
> Connection Initiated with [AF_INET]192.168.y.zz:1194
> Mar 10 19:13:04 fli4l daemon.notice openvpn-android[2540]: 
> Initialization Sequence Completed
> 
>> - und der Netzverkehr wird weiter geleitet.
> 
> Wie ist das zu bewerkstelligen? Muss ich die Einstellungen bei 
> PF_POSTROUTING oder OPENVPN_1_PF_POSTROUTING vornehmen?
> Mich verwirrt, dass es mit den o.g. Einstellungen im base-Bereich 
> geklappt hat, ist das so richtig?
> 
> Muss ich im OpenVPN-Bereich noch Änderungen vornehmen?
> 
> OPENVPN_1_PF_INPUT_N='1'
> OPENVPN_1_PF_INPUT_1='ACCEPT'
> OPENVPN_1_PF_FORWARD_N='1'
> OPENVPN_1_PF_FORWARD_1='ACCEPT'
> 
> Das hier ist wahrscheinlich Blödsinn:
> 
> OPENVPN_1_PF_POSTROUTING_N='3'
> OPENVPN_1_PF_POSTROUTING_1='if:any:VPNDEV any REMOTE-NET MASQUERADE'
> OPENVPN_1_PF_POSTROUTING_2='if:any:VPNDEV any IP_NET_2 MASQUERADE'
> OPENVPN_1_PF_POSTROUTING_3='if:any:VPNDEV any IP_NET_1 MASQUERADE'
> 
> Ein wenig bin ich schon weitergekommen, danke!
> 
> Viele Grüße, Bernd
> 

Also ich habe folgende Einträge:

OPENVPN_1_TYPE='tunnel'
OPENVPN_1_REMOTE_VPN_IP='192.168.255.193'
OPENVPN_1_LOCAL_VPN_IP='192.168.255.202'
OPENVPN_1_ROUTE_N='2'
OPENVPN_1_ROUTE_1='192.168.23.0/24'
OPENVPN_1_ROUTE_2='10.1.43.0/8'

OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='1'
OPENVPN_1_PF_FORWARD_1='ACCEPT BIDIRECTIONAL'

Damit kann ich durch den Tunnel auf die dahinterliegenden Netze zugreifen.

Gruß
Matthias



Mehr Informationen über die Mailingliste Fli4l_dev