[vpn] Firewall-Konfiguration: Zugriff aus Freifunknetz auf WAN unterbinden / auf VPN erlauben
Bernd Kalbfuss-Zimmermann
kalbfuss at gmx.net
Sa Mär 15 09:42:23 CET 2014
Hallo miteinander,
ich bin hier am Verzweifeln. Um meinen Internetzugang gefahrlos teilen zu
können, möchte ich meine Internetanbindung über einen VPN-Tunnel
anonymisieren. Hierfür habe ich mir ein CyberGhostVPN-Abo zugelegt. Der
Verbindungsaufbau über OpenVPN funktioniert einwandfrei und scheint auch
langfristig stabil zu sein. Nun möchte ich verhindern, dass über das
Freifunknetz / die WLAN-Schnittstelle auf das WAN zugegriffen wird, falls
kein VPN-Tunnel besteht. Hierzu habe ich in Luci ein Interface „VPN“
angelegt, welches mit der „physikalischen“ Netzwerkstelle „tun0“ verbunden
ist. Das Interface VPN gehört der gleichnamigen Firewall-Zone „VPN“ an. Die
Firewall-Konfiguration könnt ihr dem beiliegenden Screenshot entnehmen. Das
Policy-Routing ist deaktiviert (siehe zweiter Screenshot). Zusätzlich habe
ich die Ausgaben von „iptables -L“ und „iptables-save“ beigelegt.
Leider ist das WAN jedoch nachwievor aus dem Freifunknetz / über die
WLAN-Schnittstelle erreichbar. Ich habe versucht, die Firewall-Regeln
nachzuvollziehen, um meinen (oder Lucis) Fehler zu finden. Bisher jedoch
ohne Erfolg. Meine Routing-Tabelle ohne VPN-Tunnel sieht wie folgt aus:
Destination Gateway Genmask Flags Metric Ref Use
Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
6.0.1.0 * 255.255.255.0 U 0 0 0
wlan0-1
10.119.0.0 * 255.255.0.0 U 0 0 0
wlan0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0
br-lan
Im Folgenden die relevanten Filterregeln. Der komplette Dump ist im Anhang
verfügbar.
Chain FORWARD (policy DROP)
target prot opt source destination
delegate_forward all -- anywhere anywhere
Chain delegate_forward (1 references)
target prot opt source destination
forwarding_rule all -- anywhere anywhere /* user
chain for forwarding */
ACCEPT all -- anywhere anywhere ctstate
RELATED,ESTABLISHED
zone_lan_forward all -- anywhere anywhere
zone_wan_forward all -- anywhere anywhere
zone_freifunk_forward all -- anywhere anywhere
zone_freifunk_forward all -- anywhere anywhere
zone_vpn_forward all -- anywhere anywhere
reject all -- anywhere anywhere
Chain zone_freifunk_forward (2 references)
target prot opt source destination
forwarding_freifunk_rule all -- anywhere anywhere
/* user chain for forwarding */
zone_vpn_dest_ACCEPT all -- anywhere anywhere /*
forwarding freifunk -> vpn */
ACCEPT all -- anywhere anywhere ctstate DNAT
/* Accept port forwards */
zone_freifunk_src_ACCEPT all -- anywhere anywhere
Chain zone_vpn_dest_ACCEPT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Wer hat schon einmal etwas ähnliches versuch / erreicht und kann mir hier
weiterhelfen? Ich bin für jeden Tipp dankbar!
LG,
Bernd
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : Firewallkonfiguration.PNG
Dateityp : image/png
Dateigröße : 43463 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : PolicyRouting.PNG
Dateityp : image/png
Dateigröße : 30703 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment-0001.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : iptables.list
Dateityp : application/octet-stream
Dateigröße : 12482 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment.obj>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : iptables.conf
Dateityp : application/octet-stream
Dateigröße : 11888 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment-0001.obj>
Mehr Informationen über die Mailingliste vpn