[fli4l] Wie erlaube ich ei?==?utf-8?Q?nem VPN-client Zugriff auf ?==?utf-8?Q?den httpd?

[Peter Schiefer]

Hallo Klaus,

Am Wed, 13 Feb 2019 20:34:50 +0100 schrieb K. Dreier:

> ich erlaube nur einigen bestimmten clients in meinem Haupt-LAN NET_2 den
> Zugriff auf den fli4l httpd (Port 8081) indem ich z.B. so etwas setze:
> 
> PF_INPUT[]='prot:tcp @client3 8081 ACCEPT'
> 
> und danach ein
> 
> PF_INPUT[]='prot:tcp IP_NET_2 8081 REJECT'

wenn du
PF_INPUT_POLICY='REJECT'        # be nice and use reject as policy
PF_INPUT_ACCEPT_DEF='yes'       # use default rule set

gesetzt hast ist die zweite regel überflüssig aber auch nicht schlimm ;)
 
> Da ich für meine VPN-clients ebenfalls statische IPs konfiguriert habe,
> dachte ich, daß ich mit
> 
> PF_INPUT[]='prot:tcp 10.8.0.3 8081 ACCEPT'
> 
> diesem client3 in Variante seiner VPN-IP ebenfalls den Zugang erlauben
> könnte. Aber das geht so nicht. Da ich nicht wüsste, wie ich so einem
> VPN-client via einem Host-Eintrag ein alias zuweisen könnte (da der
> client ja der gleiche ist und somit die gleiche MAC hat), frage ich mich
> jetzt, wie ich das machen kann? Müsste doch möglich sein, diesen
> Zugang zu erlauben.
> Der Vollständigkeit halber: der VPN-client kommt auf die anderen NET_2
> Geräte sonst "drauf" und routing ins WAN geht auch. Auch komme ich vom
> VPN-client mittels SSH auf den fli4l drauf.
> 
> Danke für eure Ideen.

In OPENVPN kannst Du Regeln hinterlegen die zu dem entsprechenden VPN 
gehören und aktiv werden, wenn das VPN aktiv ist
 
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='if:VPNDEV:any 8081 ACCEPT

sollte bei Dir dann passen wenn der Client exclusiv das VPN 1 nutzt.


Gruß Peter