[Fli4l_dev] OpenVPN: Doku-Beispiel "WLAN Verbindung absichern" ohne tap?

Bernd Kuhls berndkuhls at hotmail.com
Sa Mär 30 20:31:39 CET 2013


Bernd Kuhls <berndkuhls at hotmail.com> wrote in news:obfihk.g16.ln at ID-
313208.user.individual.net:

>> - und der Netzverkehr wird weiter geleitet.

Hallo,

mittlerweile funktioniert der Tunnel vom Smartphone ins Internet bei 
gleichzeitiger Sperre des übrigen WLAN-Zugangs.
Dazu habe ich noch eine Frage, erstmal die aktuelle Konfiguration:

IP_NET_N='2'
IP_NET_1='192.168.6.253/24'
IP_NET_1_DEV='eth0'
IP_NET_2='192.168.7.253/24'
IP_NET_2_DEV='wlan0'

PF_INPUT_N='2'
PF_INPUT_1='IP_NET_1 ACCEPT'
PF_INPUT_1_COMMENT='eth0 accept'
PF_INPUT_2='IP_NET_2 REJECT'
PF_INPUT_2_COMMENT='WLAN gesperrt'

PF_FORWARD_N='2'
PF_FORWARD_1='IP_NET_1 ACCEPT'
PF_FORWARD_2='192.168.8.0/24 ACCEPT'

PF_POSTROUTING_N='2'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE'
PF_POSTROUTING_2='192.168.8.0/24 MASQUERADE'

OPENVPN_N='4'
OPENVPN_1_LOCAL_HOST='192.168.7.253'
OPENVPN_1_LOCAL_PORT='5004'
OPENVPN_1_TYPE='tunnel'
OPENVPN_1_REMOTE_VPN_IP='192.168.8.253'
OPENVPN_1_LOCAL_VPN_IP='192.168.8.252'
OPENVPN_1_ROUTE_N='0'
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='1'
OPENVPN_1_PF_FORWARD_1='if:VPNDEV:any ACCEPT BIDIRECTIONAL'
OPENVPN_1_PF_POSTROUTING_N='0'

Damit kommt das Smartphone über den FLI4L ins LAN & WAN und hat dabei die 
interne IP 192.168.8.253.

Ich möchte nun, dass alle Daten, die den o.g. Tunnel auf dem FLI4L 
passieren, eine IP-Adresse aus IP_NET_1 erhalten, damit PF_FORWARD_2 und 
PF_POSTROUTING_2 überflüssig werden.
OPENVPN_1_REMOTE_VPN_IP soll also auf 192.168.6.xx (z.B. xx=53) 
umgeschrieben werden, damit es im LAN wie ein Gerät aus IP_NET_1 aussieht, 
und zwar in beiden Richtungen des Tunnels.
Ist das machbar?

Dazu habe ich heute bereits mehrere Stunden mit SNAT und DNAT rumgespielt, 
ohne es jedoch verstanden zu haben... Auch die im Internet verfügbaren 
Beispiele haben mir nicht weitergeholfen. Oder wäre es besser, mit NETMAP 
zu arbeiten? Leider gibt es dazu in der Doku des Paketfilters keine 
Beispiele.

Viele Grüße, Bernd


Mehr Informationen über die Mailingliste Fli4l_dev