[Eisfair_dev] [e1] openVPN 1.0.0 erfolgreich getestet

Hans-Georg Kiefer HansGeorg at edv-einsteiger.de
Mo Aug 15 16:41:11 CEST 2016


Am 14.08.2016 um 19:37 schrieb Olaf Jaehrling:
> Moin Tanne,
>
> Hans-Georg Kiefer schrieb am 12.08.2016 um 14:28:
>
>> Tests bzgl. Route und IPv6 bei mehreren Clients:
>> Update 0.0.9 -> 1.0.2         [x] OK
>> und    1.0.0 -> 1.0.2        [x] OK
>>
>> sowie Neuinstallation 'from the scratch'
>> 1.0.2                [x] OK
>>
>> Sehr fein!
>
> Das sieht doch schonmal super aus.
>
Gelle !
>>
>> Bleibt nur die Frage nach dem OPENVPN2_MASQ.
>>
>> Wenn ich mich über den VPN-Zugang der Fritzbox verbinde:
>> root     pts/0        192.168.10.1   Wed Aug 11 23:19 - 23:35  (00:15)
>>
>
> Verstehe ich jetzt nicht was du mir sagen willst?
> Ich vermute mal, dass das VPN dann nur auf der Fritte eingerichtet ist.
> Dann ist das natürlich die Fritte, mit der du auf dem EIS ankommst, also
> siehst du bei last auch die IP der Fritte.

Naja, eben drum. Ich werde nicht die IP-Adresse des VPN-Netzes 
identifiziert, was bei der Fritte irgendwas mit 20.x.x.x ist. Das ist 
nach meinem Verständnis der Sinn von Masquerading. Da wollte ich mal 
fragen, ob ich das falsch verstehe.

Kommst du mit openvpn direkt
> auf dem EIS rauf, steht dann dort die Gegenstelle des Servers (der
> Client), also die 10.10.11.6.
>
Laut Beschreibung der Funktion sollte bei Aktivierung von MASQ 
stattdessen die IP des Servers in dem Netz verwendet werden, um in 
lokalen Firewalls keine extra Konfiguration für _jeden_ einzelnen 
VPN-User anlegen zu müssen.

Das wäre so, als würde man im Interbet mit seiner lokalen IP agieren, 
statt mit der maskierten etxternen Adresse des Routers.
>>
>> Und was passiert, wenn in der Base 2 Netzwerke/Schnittstellen
>> konfiguriert sind und das zu routende LAn auf eth1 liegt?
>>
>
> Jupp, ist noch so von Torsten. Bisher hat es ja auch niemanden gestört
> ... und es soll ja auch easy bleiben. Das bleibt es aber nur, wenn das
> Setup nicht zu aufgebläht ist.

Dafür wären keine extra Parameter in der Konfig nötig. Mit der Base 
2.7.x kann man prima anhand des Parameters OPENVPN2_ROUTE_1_NET und der 
BASE-onfig ermitteln, welche Schnittstelle das ist (und sogar deren MAC).
Holger zaubert den Einzeler sicher aus der Hüfte an Brett :-)

Wenn der Admin von dem Standard abweichen
> will kann er das tun und z.B. eth1 nehmen. Aber ehrlich.. meisstens ist
> nur eine NIC im eisfair drin und deshalb eth0

Das kann ich absolut nicht behaupten. In einigen Firmen bedient der EIS 
zwei Netze. Ich habe dort schlicht und ergreifend in der Base dafür 
gesorgt, dass das Netzt für oVPN an eth0 liegt.

Übrigens war das wohl mit ein Grund, warum die Update-Test fehlschlugen.
Auf dem Testrechner waren zwei Schnittstellen eingerichtet, aber eth0 
inaktiv und unkonfiguriert.

>>
>> Und als Ordnungsfanatiker muss ich das fragen:
>> Könnte die openvpn2.iptables.delete nicht in $piddir abgelegt werden?
>
> Das ist ein script und keine PID. Deshalb bestimmt nicht in $piddir.
>
Das ist ein Argument, mit dem auch ein Ordungsfanatiker gut leben kann. :-)

> Ich möchte das Paket nicht komplett umkrempeln sondern sicherheitsmäßig
> auf dem Laufenden halten und nach und nach an die eisspezifischen Sachen
> anpassen. Aber selbst die ändern sich ja alle Nase nach.
>
Echt? Wie kommt das denn? Ich dachte immer Eisfair braucht noch ein 
wenig, um im 21. Jahrhundert anzukommen. ;-)

Ich danke dir für deine Arbeit.
>
> Gruß
>
> Olaf
>
Gruß, Tanne


-- 
--------------------------
Es grüsst hochachtungsvoll
******* T A N N E ********

---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus



Mehr Informationen über die Mailingliste Eisfair_dev