[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing

[Peter Schiefer]

Hi Alex,

Am Sat, 21 Nov 2015 10:02:00 +0100 schrieb Alexander Dahl:

>> Bei VPN-Tunneln stehen die Schnittstellen nicht a priori fest. Insofern 
>> kannst du in diesem Falle nur DNS_LISTEN_N='0' nutzen und dann alle 
>> benötigten Verbindungswege zum DNS-Server via Firewall freischalten (bzw. 
>> alle anderen sperren).
> 
> Und das funktioniert bei 4.0 nicht. :-/
> 
> Folgende Kombination:
> 
> OPENVPN_1_PF_INPUT_1='if:VPNDEV:any tmpl:dns ACCEPT'
> DNS_BIND_INTERFACES='no'

und DNS_LISTEN_N ist nicht 0? oder?
> 
> Der Router lauscht für DNS zwar auf allen Interfaces, DNS-Anfragen auf
> die OPENVPN_1_LOCAL_VPN_IP werden aber nicht beantwortet. :-/

wenn DNS_LISTN_N != 0 ist werden alle DNS-Anfragen in INPUT-head nach
in-dns-ubp bzw in-dns-tcp geschoben und dort am ende der Kette gedropped
falls nich vorher eines der Interfaces das via DNS_LISTEN_x referenziert
wurde das Paket zulässt.

> Vergleichbare input-Regeln für http und ssh funktionieren problemlos.
> Kann das damit zusammenhängen, dass ssh/http über TCP laufen und DNS
> über UDP?

nein - das liegt an der Stelle wo der VPNVerkehr in der
INPUT(-head/-midle/-tail) in die für ovpn-Zuständigen chains geleitet wird.

in 3.10 ist dies übrigens vor der "umleitung" der dns-Pakete

zeig mal die Ausgaben von
iptables -nvL INPUT-head
iptables -nvL INPUT-middle
iptables -nvL INPUT-tail

Gruß Peter