[fli4l] WLAN absichern mittels VPN

Boris Sicking basyc at gmx.de
Mi Feb 26 18:45:36 CET 2014


So, war nun doch eine längere Pause, jetzt bin ich wieder dran und 
'ärgere' mich weiter mit dem VPN herum 

In der Base hatte ich PF_INPUT für das zweite Netz nicht gesetzt. 
On Thu, 06 Feb 2014 18:36:08 +0100, Sebastian Klein wrote:
> base.txt:
> Bei mir ist das gerade IP_NET_4 geworden
> 
>     PF_INPUT_3='tmpl:dhcp IP_NET_4 IP_NET_4_IPADDR ACCEPT' #drop SAMBA
>     PF_INPUT_3_COMMENT='DHCP für WLAN-VPN-Netz'
> 
Ich habe daher nun PF_INPUT_N='2' gesetzt, das vorgegebene 
     PF_INPUT_2='tmpl:samba DROP NOLOG'
     PF_INPUT_2_COMMENT='no samba traffic allowed'
auskommentiert, und dafür das hier gesetzt:
    PF_INPUT_2_='tmpl:dhcp IP_NET_2 IP_NET_2_IPADDR ACCEPT' #drop SAMBA
    PF_INPUT_2_COMMENT='DHCP für WLAN-VPN-Netz'


Wenn ich dann ./mkfli4l.sh anwerfe bekomme ich folgende Fehlermeldung: 

Error: missing variable 'PF_INPUT_2' in config file of package 'base'
Error in configuration, aborting...



Hier noch der Rest meiner Konfiguration im Vergleich zu deiner: 

> dns_dhcp.txt:
> 
>     DHCP_RANGE_3_NET='IP_NET_4'
>     DHCP_RANGE_3_START='10.140.10.101'
>     DHCP_RANGE_3_END='10.140.10.200'
>     DHCP_RANGE_3_DNS_DOMAIN='VPN'
>     DHCP_RANGE_3_DNS_SERVER1=''
>     DHCP_RANGE_3_DNS_SERVER2=''
>     DHCP_RANGE_3_NTP_SERVER=''
>     DHCP_RANGE_3_GATEWAY='none' # <---- das ist wichtig, damit das
> WLAN-IF keine (default) Route bekommt
Hier habe ich wie in der Doku steht auch noch DNS_Server und NTP_Server 
auf "none" gesetzt.

    DHCP_RANGE_2_NET='IP_NET_2'       
    DHCP_RANGE_2_START='192.168.77.100' 
    DHCP_RANGE_2_END='192.168.77.150'   
    DHCP_RANGE_2_DNS_SERVER1='none'        
    DHCP_RANGE_2_DNS_SERVER2='none'        
    DHCP_RANGE_2_DNS_DOMAIN='VPN'        
    DHCP_RANGE_2_NTP_SERVER='none'        
    DHCP_RANGE_2_GATEWAY='none'            
   

> 
> advanced_networking.txt:
> 
> BRIDGE_DEV_1_DEVNAME='br0'
> BRIDGE_DEV_1_NAME='br0'
Das ist bei mir 
  BRIDGE_DEV_BOOTDELAY='yes'
  BRIDGE_DEV_N='1'
  BRIDGE_DEV_1_NAME='br'
  BRIDGE_DEV_1_DEVNAME='br0'
  BRIDGE_DEV_1_DEV_N='1'
  BRIDGE_DEV_1_DEV_1_DEV='eth0'


> openvpn.txt:
> 
> OPENVPN_15_NAME='WLAN-Bridge'
> OPENVPN_15_DEVNUM='1015'
> OPENVPN_15_LOCAL_PORT='10098'
> OPENVPN_15_SECRET='sebastian.secret'
> OPENVPN_15_TYPE='bridge'
> OPENVPN_15_BRIDGE='br0'
> OPENVPN_15_COMPRESS='yes'
> OPENVPN_15_CIPHER='AES-128-CBC'
> OPENVPN_15_DIGEST='SHA1'

OPENVPN_N='2'            
OPENVPN_1_NAME='wlan1'
OPENVPN_1_LOCAL_HOST='192.168.77.1' 
OPENVPN_1_LOCAL_PORT='20001'
OPENVPN_1_SECRET='wlan1.secret'
OPENVPN_1_TYPE='bridge'
OPENVPN_1_BRIDGE='br'
OPENVPN_1_RESTART='never'
OPENVPN_1_MUTE_REPLAY_WARNINGS='yes'
OPENVPN_1_CREATE_SECRET='no'

OPENVPN_2_NAME='wlan2'
OPENVPN_2_LOCAL_HOST='192.168.77.1' 
OPENVPN_2_LOCAL_PORT='20002'
OPENVPN_2_SECRET='wlan2.secret'
OPENVPN_2_TYPE='bridge'
OPENVPN_2_BRIDGE='br'
OPENVPN_2_RESTART='never'
OPENVPN_2_MUTE_REPLAY_WARNINGS='yes'
OPENVPN_2_CREATE_SECRET='no'


> und die Config auf dem Client:
> 


> remote 10.140.10.1
> port 10098
> proto udp
> secret sebastian.secret
> dev tap
> cipher AES-128-CBC
> comp-lzo
> persist-key
> ping-timer-rem
> ping-restart 60
> tun-mtu 1500
> fragment 1300
> mssfix
Hier habe ich natürlich remote 192.168.77.1, port 20001 oder 20002, je 
nach Client, und cipher hab ich so nicht. Das dürfte also auch das 
gleiche sein. 

Irgendeine Idee? 



Mehr Informationen über die Mailingliste Fli4L