[fli4l] OpenVPN per Expert-Mode und Firewallregeln

Peter Maler Peter.Maler at gmx.de
Mi Apr 12 13:22:52 CEST 2023


da lief wohl beim erten Post was schief... auf ein Neues:

Hallo,

ich habe ein Problem bei der Umsetzung einer OpenVPN Verbindung per vpn.cfg
Datei mit enthaltenen Keys per Expert-Mode, wo ich die Firewallregeln ja selber
konfigurieren muss.

Aufgabenstellung:
fli4l (eth0:192.168.100.250) als VPN Gateway (tun:DHCP) ueber Firewall (192.168.100.254) 
eth0->Firewall x.x.x.x:4430 (VPN Server) 
Tunnel per NAT und PAT (tun:443-> 192.168.100.249) 
eth0->tun (kein Verbindungen) 

Da ich keine Beispiele oder Beschreibungen fuer den Expert-Mode finde, scheitert 
es schon daran, dass ich fuer die Regeln nicht weiss, wie die VPN Schnittstelle 
heisst um es ueberhaupt mal testen zu koennen. Ich habe es u.a. mit tun, tun0, 
vpndev und dynamic getestet, was aber schon beim Erstellen der ISO in einen 
Fehler laeuft. Vermutlich habe ich aber auch noch Denkfehler in der Konfiguration.

Auszug der aktuellen Base.txt:
IP_NET_N='1'
IP_NET_1='192.168.100.250/24'
IP_NET_1_DEV='eth0'
IP_ROUTE_N='1'
IP_ROUTE_1='x.x.x.x/32 192.168.100.254'
PF_INPUT_POLICY='REJECT'        
PF_INPUT_ACCEPT_DEF='yes'       
PF_INPUT_N='1'                  
PF_INPUT_1='IP_NET_1 ACCEPT'    
PF_FORWARD_POLICY='REJECT'      
PF_FORWARD_ACCEPT_DEF='yes'     
PF_FORWARD_N='1'
PF_FORWARD_1='if:VPNDEV:IP_NET_1 prot:tcp 443 ACCEPT'
PF_OUTPUT_POLICY='REJECT'      
PF_OUTPUT_ACCEPT_DEF='yes'     
PF_OUTPUT_N='1'                
PF_OUTPUT_1='prot:tcp IP_NET_1:4430 ACCEPT'
PF_POSTROUTING_N='1'           
PF_POSTROUTING_1='dynamic MASQUERADE'
PF_PREROUTING_N='1'             
PF_PREROUTING_1='prot:tcp dynamic:443 DNAT:192.168.100.249'
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_OUTPUT_CT_ACCEPT_DEF='yes'   

Wuerde mich freuen, wenn ich Tips zur Umsetzung erhalten koennte:)

Gruss, 
Pete




Mehr Informationen über die Mailingliste Fli4L