[fli4l] WLAN absichern mittels VPN

Sebastian Klein fli4l at wysiwyng.de
Mi Jan 29 22:09:04 CET 2014 

Am 29.01.14 21:46, schrieb Boris Sicking:
> Danke schonmal für deine Geduld - das gibt mir Mut, muss doch zu schaffen 
> sein ;)

klar bekommen wir das hin...

> Das mit den Schlüsseln sollten passen, der ist in config/etc/openvpn/ 
> gespeichert und CREATE_SECRET auf 'no' gesetzt. 

gut

>>> was muss ich also nun bei der vpn-Einstellung (Netzwerk-Mamanger) auf 
>>> meinem Notebook wählen? 
>>> - Gateway  Hier habe ich 192.168.77.1 eingetragen
>> den brauchst du eigendlich nicht an zu geben, da diese Infos ja per DHCP
>> kommen sollten (aus dem Adressbereich des internen LAN)
> Hier habe ich allerdings den 192.168.77.xx-Adressbereich gewählt, das 
> interne LAN ist bei mir 192.168.44.xx, ich dachte das "Gateway" wäre dann 
> die Adresse des VPN-Servers. Das könnte dann also schon mal einer meiner 
> Fehler sein.

ja kann gut sein.

>> fli4l-config ist die lokale Adresse in deinem Fall auf die 192.168.77.1
>> zu setzen und im Client die remote Adresse ebenfalls auf die "1". 
> Ist die remote-Adresse dann die "entfernte" Adresse im Network-Manager? 
> Das werde ich morgen dann gleich mal ausprobieren, aber ich glaube, auch 
> diese Einstellung hatte ich schon durch ;) 

genau remote = entfernt

>> Die jeweils andere Adresse bleibt leer bzw. wird gar nicht erwähnt, da 
>> die ja nicht bekannt ist und sich auch ändern kann.
> Werte leer zu lassen geht allerdings bei diesem Network-Manager auf dem 
> Notebook nicht, da man dann die eingerichtete VPN-Verbindung nicht 
> abspeichern kann. 
> 
> Hier ist einer der Punkte die mir absolut unschlüssig war. Entfernte IP 
> ist aus .77.xx, lokale auch aus .77.xx oder eins der beiden aus .44.xx
> (lan)? 

nein die sind beide aus dem "77" Netz, denn zu dem Zeitpunkt des
Verbindungsaufbaus "kennt" dein Client ja nur das Netz.

> Ich habe die Clientadresse per dhcp und der hinterlegten MAC-Adresse des 
> WLan-Adapters auf 192.168.44.33 gesetzt. Vielleicht sollte ich das .77.xx-
> Netz komplett aus dem dhcp rausnehmen, dann müsste ich dem Accesspoint 
> auf seiner Konfigurtationsseite eine statische Adresse aus 192.168.77.xx 
> zuteilen, oder? Momentan bezieht dieser seine Adresse auch per dhcp die 
> per MAC angebunden wird. Es wäre aber fein, wenn ich auch die Notebooks, 
> so wie alle anderen Rechner im Netzwerk, per MAC an immer die gleiche IP 
> binden könnte.

ah das könnte jenachdem wie dein Firewall-Regeln aussehen ein Problem
sein. Nimm die WLAN-Rechner mal aus den HOST_X Einträgen raus oder gib
ihnen eine Adresse aus dem "77"er Netz.

>> ich hoffe dir mit dem obigen schon mal weiter geholfen zu haben. 
> Auf jeden Fall, allerdings sehe ich selbst, dass ich momentan nur wild 
> rumprobiere, ich gelobe Besserung ;)  
> Ich muss da auf jeden Fall Struktur reinbringen. Ich werde es mir morgen 
> mal aufzeichnen und mit Netzwerkadressen beschriften, vielleicht wird mir 
> dann einiges klarer.

hehe gut :-)

> Eine Frage stellt sich mir gerade noch: Auf einer Webseite habe ich ein 
> Mini-Howto zum Thema gefunden, dort steht in der advanced_networking.txt 
> folgendes: 
> BRIDGE_DEV_1_NAME='br' # Name ist frei wählbar
> BRIDGE_DEV_1_DEVNAME='br0'
> BRIDGE_DEV_1_DEV_N='1'
> BRDIGE_DEV_1_DEV_1_DEV='eth0'  # das Device welches in's Internet geht
> 
> Ist hier das WAN-Device gemeint, muss hier nicht das LAN-Device 
> eingetragen werden?

Ja da ist das WAN Device gemeint, aber in dem Zusammenhang hier nicht
richtig, es muß natürlich (bei dir) das LAN Dev sein.

> Weiterhin einen schönen Abend und nochmal vielen Dank für deine Geduld

danke, bitte, gerne...

-- 
viele Grüße,
Sebastian
[fli4l-team]

Mehr Informationen über die Mailingliste Fli4L