[Eisfair_dev] [e1] openVPN 1.0.0 erfolgreich getestet

Olaf Jaehrling eisfair at ojaehrling.de
So Aug 14 19:37:29 CEST 2016 

Moin Tanne,

Hans-Georg Kiefer schrieb am 12.08.2016 um 14:28:

> Tests bzgl. Route und IPv6 bei mehreren Clients:
> Update 0.0.9 -> 1.0.2         [x] OK
> und    1.0.0 -> 1.0.2        [x] OK
> 
> sowie Neuinstallation 'from the scratch'
> 1.0.2                [x] OK
> 
> Sehr fein!

Das sieht doch schonmal super aus.

> 
> Bleibt nur die Frage nach dem OPENVPN2_MASQ. Wo ich das Posting
> hingeschickt habe, weiß ich auch nicht so genau. Ich fasse zusammen:
> 
> OPENVPN2_MASQ='yes'
> 
> erzeugt in 'iptables -t nat -L'
> ---------------------------------
> target     prot opt source               destination
> MASQUERADE  all  --  10.10.11.0/24        anywhere
> ---------------------------------
> 
> Aber last -n 1 zeigt:
> root     pts/1        10.10.11.6       Thu Aug 12 13:56 -  still running
> 
> Müsste hier nicht die Serveradresse stehen?

Jein. Wenn interface=tun dann wird immer ein /30 Netz genutzt.
In deinem Fall hat der Server 10.10.11.0/30 der 1. Client die
10.10.11.4/30 also hat der Client die 10.10.11.6 und der Server die
10.10.11.5.


> 
> Wenn ich mich über den VPN-Zugang der Fritzbox verbinde:
> root     pts/0        192.168.10.1   Wed Aug 11 23:19 - 23:35  (00:15)
> 
> oder direkt aus dem LAN:
> root     pts/0        acer.fritz.box   Wed Aug 11 19:15 - 22:04  (02:49)

Verstehe ich jetzt nicht was du mir sagen willst?
Ich vermute mal, dass das VPN dann nur auf der Fritte eingerichtet ist.
Dann ist das natürlich die Fritte, mit der du auf dem EIS ankommst, also
siehst du bei last auch die IP der Fritte. Kommst du mit openvpn direkt
auf dem EIS rauf, steht dann dort die Gegenstelle des Servers (der
Client), also die 10.10.11.6.

> 
> Und was passiert, wenn in der Base 2 Netzwerke/Schnittstellen
> konfiguriert sind und das zu routende LAn auf eth1 liegt?
> 
> Aus /etc/init.d/openvpn2:
> ---------------------------------
>     # active masquerating
>     if [ "$OPENVPN2_MASQ" = "yes" ]
>     then
>         mecho -info "activating OpenVPN masquerading..."
>         modprobe ip_tables # >/dev/nul 2>&1
>         modprobe iptable_nat # >/dev/nul 2>&1
>         modprobe ipt_MASQUERADE # >/dev/nul 2>&1
>         iptables -t nat -A POSTROUTING -s $OPENVPN2_NET/$OPENVPN2_SUBNET
> -o eth0 -j MASQUERADE  >/dev/nul 2>&1
>         echo "iptables -t nat -D POSTROUTING -s
> $OPENVPN2_NET/$OPENVPN2_SUBNET -o eth0 -j MASQUERADE" >
> /run/openvpn2.iptables.delete
>     fi
> ---------------------------------
> 
> Hier ist 'eth0' statisch.

Jupp, ist noch so von Torsten. Bisher hat es ja auch niemanden gestört
... und es soll ja auch easy bleiben. Das bleibt es aber nur, wenn das
Setup nicht zu aufgebläht ist. Wenn der Admin von dem Standard abweichen
will kann er das tun und z.B. eth1 nehmen. Aber ehrlich.. meisstens ist
nur eine NIC im eisfair drin und deshalb eth0
> 
> Und als Ordnungsfanatiker muss ich das fragen:
> Könnte die openvpn2.iptables.delete nicht in $piddir abgelegt werden?

Das ist ein script und keine PID. Deshalb bestimmt nicht in $piddir.

Ich möchte das Paket nicht komplett umkrempeln sondern sicherheitsmäßig
auf dem Laufenden halten und nach und nach an die eisspezifischen Sachen
anpassen. Aber selbst die ändern sich ja alle Nase nach.


Gruß

Olaf

> 
> Gruß, Tanne

Mehr Informationen über die Mailingliste Eisfair_dev