[Fli4l_dev] Gäste WLAN absichern bzw. abtrennen

[Peter Schiefer]

Hallo Boris,

Am Sun, 4 Dec 2016 10:48:09 +0100 schrieb B. Sprenger:

> hat ein wenig gedauert, aber ich musst erst verschiedenes ausprobieren.

und es ist Vorweihnachtszeit - da hat man so einiges zu tun ;)

> Ich hatte das geändert in:
> OPENVPN_x_PF_FORWARD_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'
> OPENVPN_x_PF_POSTROUTING_1='REMOTE-NET IP_NET_1 ACCEPT BIDIRECTIONAL'

somit dürfen auf VPNs nur noch Ziele inNetzt IP_NET_1 per routing erreicht
werden - also nicht mehr dein Gäste-Wlan

> Damit konnte ich aber aus dem entfernten Netz nicht mehr auf den Fli4l 
> zugreifen.
> Also habe ich
> OPENVPN_x_PF_INPUT_POLICY='ACCEPT'
> wieder ergänzt.
> Das scheint also soweit zu funktionieren.
> Ist das soweit richtig?

INPUT regelt den Zugriff auf Dienste des fli4l - also darf nun aus dem VPN
auf alle Dienste die auf dem fli4l laufen zugegriffen werden.

> Spricht etwas (vorübergehend) gegen folgende Konfiguration
> 
> IP_NET[1]='172.16.0.1/16'   # IP address of your n'th ethernet card and
> {
>    DEV='eth0'                # required: device name like ethX
>    COMMENT='normalesNetz'
> }
> 
> IP_NET[2]='172.29.0.1/16'    # IP address of your n'th ethernet card and
> {
>    DEV='eth0'                 # required: device name like ethX
>    COMMENT='Gaestenetz'
> }
> 
> Der Build Prozess meckert zwar ein wenig, läuft aber durch.

weil Du zwei Netze auf dem gleich device eth0 konfiguriert hast.

Nach boot dürftes Du auf dem fli4l dann 2 eth0 Devices sehen, das zweite
dann als eth0:x

> DHCP auf IP_NET_2 würde ich dann deaktivieren.
> 
> Damit könnte ich erst mal den Netzwerkverkehr auf die Reihe bekommen,
> dann die Firewall-Regeln auf den WLAN-Stationen anpassen und 
> schlussendlich mit den VLANS separieren.

genau

Gruß Peter