[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing

Alexander Dahl lespocky at web.de
Fr Nov 20 22:08:27 CET 2015 

Moin,

Peter Schiefer <newsgroup at lan4me.de> schrieb:
>> Jetzt aber eine weitere Frage:
>> Ich habe inzwischen aufgrund der Warnungen den Zugriff auf den 
>> DNS-Server des Fli eingeschränkt:
>> 
>>> DNS_LISTEN_N='2'
>>> DNS_LISTEN_1='IP_NET_1_IPADDR'
>>> DNS_LISTEN_2='IP_NET_2_IPADDR'
>> 
>> Was muss ich denn hier ergänzen, um einen Zugriff von außen über den 
>> VPN-Tunnel auf den DNS-Server zu erlauben?
>
> OPENVPN_x_PF_INPUT='if:VPNDEV:any ACCEPT' um auf dns, ssh usw.
> OPENVPN_x_PF_INPUT='tmpl:dns if:VPNDEV:any ACCEPT' um nur dns für das vpn
> auf zu machen

Die Frage war nicht nach den Paketfilterregeln sondern nach den
passenden listen Adressen. Ich hab heute beispielsweise folgendes
gemacht (was nicht funktioniert):

DNS_LISTEN_N='3'                # if 0 then listen on all interfaces       
DNS_LISTEN_1='IP_NET_1_IPADDR'  # first IP to listen on                    
DNS_LISTEN_2='IPV6_NET_1_IPADDR'                                           
DNS_LISTEN_3='10.131.205.1'                                                

Also DNS_LISTEN_1='IP_NET_1_IPADDR' funktioniert, das hätte ich auch
erwartet. Die anderen beiden werden von mkfli4l nicht beanstandet, im
webgui (wird vermutlich auch im log stehen) bekomme ich dann aber:

[rc370.dns_dhcp] ERR: translate_ip6_net: cannot translate network DNS_LISTEN_2='IPV6_NET_1_IPADDR'
[rc370.dns_dhcp] ERR: DNS_LISTEN_3='10.131.205.1' (10.131.205.1) is not a local IP
[rc390.dns_dhcp] ERR: translate_ipv4_to_dev: cannot translate address '10.131.205.1'
[rc390.dns_dhcp] ERR: translate_net_if: missing variable name
[rc390.dns_dhcp] ERR: translate_net_if: missing variable name

Dazu muss ich sagen, dass IPV6_NET_1_IPADDR natürlich noch extra im
Paketfilter abgesichert werden muss, wenn das eine global erreichbare
IPv6-Adresse ist. (Und eine andere bekomme ich am Client ja nicht in die
resolv.conf rein.) Nichtsdestotrotz lauscht der dnsmasq nicht auf der
IP.

Die dritte ist aber genau die interessante Frage für diesen Thread. Was
muss ich da eintragen, damit ich über OpenVPN Zugriff auf den DNS auf
dem fli4l habe? Auf der OPENVPN_1_LOCAL_VPN_IP lauscht der dnsmasq ja
offensichtlich nicht.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: 02C8 A590 7FE5 CA5F 3601  D1D5 8FBA 7744 CC87 10D0

Mehr Informationen über die Mailingliste Fli4l_dev