[Fli4l_dev] Gäste WLAN absichern bzw. abtrennen

B. Sprenger b.sprenger at sprenger-ffm.de
So Dez 4 10:48:09 CET 2016 

Hallo Peter,
hat ein wenig gedauert, aber ich musst erst verschiedenes ausprobieren.

Am 25.11.2016 um 16:28 schrieb Peter Schiefer:
>
> Am Fri, 25 Nov 2016 14:27:31 +0100 schrieb B. Sprenger:
>> Die verschiedenen fli4ls sind ja über diverse OpenVPN-Verbindungen
>> verbunden.
>> Hat das Gäste-Netz darauf Zugriff? Falls ja, wie kann man das verhindern?
>
> das hängt davon ab, was du für Paketfilter-Einstellungen in der
> openvpn-Konfiguration hinterlegt hast.
>
> Ich würde dort fogendes erwarten:
> OPENVPN_x_PF_FORWARD_x='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'
> und
> OPENVPNx_PF_POSTROUTING_x='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'

Ich hatte dort die "Standard-Einstellung" drin:
OPENVPN_x_PF_INPUT_N= '1'
OPENVPN_x_PF_INPUT_1= 'ACCEPT'
OPENVPN_x_PF_FORWARD_N= '1'
OPENVPN_x_PF_FORWARD_1= 'ACCEPT'
OPENVPN_x_PF_INPUT_POLICY='ACCEPT'
OPENVPN_x_PF_FORWARD_POLICY='ACCEPT'

Ich hatte das geändert in:
OPENVPN_x_PF_FORWARD_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'
OPENVPN_x_PF_POSTROUTING_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'


Damit konnte ich aber aus dem entfernten Netz nicht mehr auf den Fli4l 
zugreifen.
Also habe ich
OPENVPN_x_PF_INPUT_POLICY='ACCEPT'
wieder ergänzt.
Das scheint also soweit zu funktionieren.
Ist das soweit richtig?


Ich habe mit der Umsetzung der VLAN's aud den WLAN-Stationen und den 
Switches noch etwas Schwierigkeiten, glaube aber langsam Fortschritte zu 
machen.
Spricht etwas (vorübergehend) gegen folgende Konfiguration

IP_NET[1]='172.16.0.1/16'   # IP address of your n'th ethernet card and
{
   DEV='eth0'                # required: device name like ethX
   COMMENT='normalesNetz'
}

IP_NET[2]='172.29.0.1/16'    # IP address of your n'th ethernet card and
{
   DEV='eth0'                 # required: device name like ethX
   COMMENT='Gaestenetz'
}

Der Build Prozess meckert zwar ein wenig, läuft aber durch.
DHCP auf IP_NET_2 würde ich dann deaktivieren.

Damit könnte ich erst mal den Netzwerkverkehr auf die Reihe bekommen,
dann die Firewall-Regeln auf den WLAN-Stationen anpassen und 
schlussendlich mit den VLANS separieren.


LG
Boris

Mehr Informationen über die Mailingliste Fli4l_dev