[Fli4l_dev] WireGuard VPN

Harvey hw234 at gmx.de
Do Nov 25 18:34:05 CET 2021


Für alle, die es interessiert:

> OAC_BLOCK_UNKNOWN_IF='IP_NET_2' (entspricht dem NetzIF des fli4l zum 
> Provider-Router)
> 
> um dem DHCP-Range erst mal den Zugriff auf den Provider-Router und damit 
> das Internet zu kappen, dann ist auch der Zugriff von wireguard gesperrt.
> 
> Kommentiere ich das aus, dann klappt es so wie es soll.
> 
> Allerdings kommt jetzt auch jeder, der sich in mein Hausnetz einklinkt, 
> direkt ins Internet. Nicht schön, nicht gewollt :(

das kann man auch ohne Hacks umschiffen. OPT_OAC blockt mit 
OAC_BLOCK_UNKNOWN_IF alle Clients, die nicht in dns_dhcp.txt genannt 
sind. Also wenn man dann die wireguard clients in dns_dhcp einpflegt, zB.

HOST[]
{
NAME='wg-oneplus'          # Wireguard Oneplus
IP4='{wg-RoadWarriors}+0.0.0.2'
}

dann werden diese erkannt und sind nicht mehr über

OAC_BLOCK_UNKNOWN_IF='IP_NET_2'

geblockt.

Man muss nur aufpassen, wenn man arping eingeschaltet hat, da das 
wg-Interface nicht arpable ist. Daher muss man dann über

HTTPD_ARPING_IGNORE_1='wg-oneplus' den wireguard client vom arping 
ausschließen.

Dann klappts auch mit OPT_OAC.

BTW, im 'vorbei gehen' habe ich auch die Lösung eines alten Problemes 
gefunden:
Wenn man seinen DHCP-Range in dns_dhcp.txt mit aufnimmt, zB:

HOST[]
{
NAME='DHCP-Range1'	         # DHCP-RANGE
IP4='192.168.3.141'
}

usw...

dann kann man auch über OPT_OAC beliebig den Internet-Zugang an- und 
ausknipsen, den Range beim Boot erst einmal blocken über

OAC_GROUP_3_NAME='DHCP-Range'
OAC_GROUP_3_BOOTBLOCK='yes'
OAC_GROUP_3_INVISIBLE='no'
OAC_GROUP_3_CLIENT_N='10'
OAC_GROUP_3_CLIENT_1='DHCP-Range1'  ....

alles, was OPT_OAC so schick macht... ;)

Gruß
Harvey


Mehr Informationen über die Mailingliste Fli4l_dev