[Fli4l_dev] OpenVPN: Doku-Beispiel "WLAN Verbindung absichern" ohne tap?
Bernd Kuhls
berndkuhls at hotmail.com
So Mär 10 18:19:52 CET 2013
Hi,
Sebastian Klein <admin at nettforum.webnmail.de> wrote in
news:khid01$f0p$1 at vm-news.spline.inf.fu-berlin.de:
> Klar geht das, man muß es nur anders Konfigurieren.
Ich fange gerade an, mich mit dem Paketfilter auseinanderzusetzen ;)
Mal schauen...
> - der Androide bekommt ne IP vom dhcp
Das funktioniert schon seit längerem problemlos:
HOST_N='11'
HOST_10_NAME='android-bernd1' # bernd1
HOST_10_IP4='192.168.y.zz'
HOST_10_DHCPTYP='mac'
HOST_10_MAC='aa:bb:cc:dd:ee:ff'
HOST_11_NAME='android-bernd2' # bernd2
[...]
OPT_DHCP='yes'
DHCP_TYPE='isc-dhcpd'
> - der fli4l leitet aber Anfragen dieser IP nicht weiter
Soeben nach Deiner Idee eingebaut und getestet:
PF_INPUT_POLICY='REJECT'
PF_INPUT_ACCEPT_DEF='yes'
PF_INPUT_N='7'
PF_INPUT_1='IP_NET_1 ACCEPT' # LAN eth0
PF_INPUT_2='@android-bernd1 1234 ACCEPT'
PF_INPUT_3='@android-bernd2 1234 ACCEPT'
PF_INPUT_4='IP_NET_2 DROP' # WLAN wlan0
[...]
OPENVPN_1_LOCAL_PORT='1234'
Sehe ich richtig, dass mit den o.g. Einstellungen beiden Telefonen
Zugang nur zum OpenVPN daemon gestattet wird und die Weiterleitung von
Daten außerhalb des Tunnels blockiert wird? Die Android-app Fing findet
so zumindest auf dem Server keine bekannten services mehr und eine
OpenVPN-Einwahl ist weiterhin möglich. Das syslog zeigt viele fw-input-
drop-Einträge vom Telefon an :)
Es war bislang aufgrund meiner Unkenntnis nicht möglich, vom Telefon
aus Geräte in IP_NET_1 anzusprechen, das ist auch weiterhin so.
> - dann verbindet der Androide sich mit dem fli4l per OVPN
OK, das funktioniert weiterhin:
Mar 10 19:13:04 fli4l daemon.notice openvpn-android[2540]: Peer
Connection Initiated with [AF_INET]192.168.y.zz:1194
Mar 10 19:13:04 fli4l daemon.notice openvpn-android[2540]:
Initialization Sequence Completed
> - und der Netzverkehr wird weiter geleitet.
Wie ist das zu bewerkstelligen? Muss ich die Einstellungen bei
PF_POSTROUTING oder OPENVPN_1_PF_POSTROUTING vornehmen?
Mich verwirrt, dass es mit den o.g. Einstellungen im base-Bereich
geklappt hat, ist das so richtig?
Muss ich im OpenVPN-Bereich noch Änderungen vornehmen?
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='1'
OPENVPN_1_PF_FORWARD_1='ACCEPT'
Das hier ist wahrscheinlich Blödsinn:
OPENVPN_1_PF_POSTROUTING_N='3'
OPENVPN_1_PF_POSTROUTING_1='if:any:VPNDEV any REMOTE-NET MASQUERADE'
OPENVPN_1_PF_POSTROUTING_2='if:any:VPNDEV any IP_NET_2 MASQUERADE'
OPENVPN_1_PF_POSTROUTING_3='if:any:VPNDEV any IP_NET_1 MASQUERADE'
Ein wenig bin ich schon weitergekommen, danke!
Viele Grüße, Bernd
Mehr Informationen über die Mailingliste Fli4l_dev