[Eisfair_dev] [e1] openVPN 1.0.0 erfolgreich getestet

[Olaf Jaehrling]

Moin Tanne,


Hans-Georg Kiefer schrieb am 15.08.2016 um 16:41:

>>
>> Verstehe ich jetzt nicht was du mir sagen willst?
>> Ich vermute mal, dass das VPN dann nur auf der Fritte eingerichtet ist.
>> Dann ist das natürlich die Fritte, mit der du auf dem EIS ankommst, also
>> siehst du bei last auch die IP der Fritte.
> 
> Naja, eben drum. Ich werde nicht die IP-Adresse des VPN-Netzes
> identifiziert, was bei der Fritte irgendwas mit 20.x.x.x ist. Das ist
> nach meinem Verständnis der Sinn von Masquerading. Da wollte ich mal
> fragen, ob ich das falsch verstehe.

Ich müsste das nachstellen. Damit habe ich mich überhaupt noch nicht
befasst, da von mir nicht benötigt. Ich passe immer meine
FW-Einstellungen den entsprechenden Netzen an. Ausserdem kann ich so
jederzeit nachvollziehen, wer welchen Blödsinn gemacht hat. Die
vpn-Adressen der clients sind ja immer gleich und demzufolge auch
nachvollziehbar wer was gemacht hat.

> 
> Dafür wären keine extra Parameter in der Konfig nötig. Mit der Base
> 2.7.x kann man prima anhand des Parameters OPENVPN2_ROUTE_1_NET und der
> BASE-onfig ermitteln, welche Schnittstelle das ist (und sogar deren MAC).
> Holger zaubert den Einzeler sicher aus der Hüfte an Brett :-)

Das wäre nicht das Problem, aber was ist, wenn ich das garnicht will?
Ich möchte ein Netz 192.168.5.0/24 routen, da gibt es aber nicht in der
base.
z.B.
route add -net 192.168.5.0/24 gw 192.168.10.3

Das geroutetet Netz würde in der base nicht zu finden sein.


Man kann vieles machen, aber man muss es nicht. Wenn ich nur an das
samba-Paket denke, wie viel eigene Codeschnipsel ich da in der smb.conf
drin habe. Wenn das Jürgen alles im setup abfangen wollte wäre die
Konfig bestimmt 1/3 größer. Aufwand und Nutzen :)

> 
> Wenn der Admin von dem Standard abweichen
>> will kann er das tun und z.B. eth1 nehmen. Aber ehrlich.. meisstens ist
>> nur eine NIC im eisfair drin und deshalb eth0
> 
> Das kann ich absolut nicht behaupten. In einigen Firmen bedient der EIS
> zwei Netze. Ich habe dort schlicht und ergreifend in der Base dafür
> gesorgt, dass das Netzt für oVPN an eth0 liegt.

Hmm, vllt. baue ich es in einer der nächsten Versionen ein. Dann wird
das aber garantiert ein Punkt im openvpn-setup, der bei der
Erstinstallation mit eth0 gefüllt ist. Automation macht nicht überall
Sinn. Bei den ToDo's von Torsten steht ja auch nich der
Verschlüsselungsalgorythmus drin. Das werde ich auch noch mit einbauen.
Den Rest davon werde ich nicht umsetzen. Gerade bei der
Firewallproblematik lass ich die Finger von. Damit kann man ganz böse
auf die Schn.. fallen.




Dann werde ich das Paket jetzt mal regulär veröffentlichen.

Danke und Gruß

Olaf