[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing
Peter Schiefer
newsgroup at lan4me.de
Sa Nov 21 12:18:57 CET 2015
Hi Alex,
Am Sat, 21 Nov 2015 10:02:00 +0100 schrieb Alexander Dahl:
>> Bei VPN-Tunneln stehen die Schnittstellen nicht a priori fest. Insofern
>> kannst du in diesem Falle nur DNS_LISTEN_N='0' nutzen und dann alle
>> benötigten Verbindungswege zum DNS-Server via Firewall freischalten (bzw.
>> alle anderen sperren).
>
> Und das funktioniert bei 4.0 nicht. :-/
>
> Folgende Kombination:
>
> OPENVPN_1_PF_INPUT_1='if:VPNDEV:any tmpl:dns ACCEPT'
> DNS_BIND_INTERFACES='no'
und DNS_LISTEN_N ist nicht 0? oder?
>
> Der Router lauscht für DNS zwar auf allen Interfaces, DNS-Anfragen auf
> die OPENVPN_1_LOCAL_VPN_IP werden aber nicht beantwortet. :-/
wenn DNS_LISTN_N != 0 ist werden alle DNS-Anfragen in INPUT-head nach
in-dns-ubp bzw in-dns-tcp geschoben und dort am ende der Kette gedropped
falls nich vorher eines der Interfaces das via DNS_LISTEN_x referenziert
wurde das Paket zulässt.
> Vergleichbare input-Regeln für http und ssh funktionieren problemlos.
> Kann das damit zusammenhängen, dass ssh/http über TCP laufen und DNS
> über UDP?
nein - das liegt an der Stelle wo der VPNVerkehr in der
INPUT(-head/-midle/-tail) in die für ovpn-Zuständigen chains geleitet wird.
in 3.10 ist dies übrigens vor der "umleitung" der dns-Pakete
zeig mal die Ausgaben von
iptables -nvL INPUT-head
iptables -nvL INPUT-middle
iptables -nvL INPUT-tail
Gruß Peter
Mehr Informationen über die Mailingliste Fli4l_dev