[vpn] Firewall-Konfiguration: Zugriff aus Freifunknetz auf WAN unterbinden / auf VPN erlauben

Bernd Kalbfuss-Zimmermann kalbfuss at gmx.net
Sa Mär 15 09:42:23 CET 2014 

Hallo miteinander,

 

ich bin hier am Verzweifeln. Um meinen Internetzugang gefahrlos teilen zu
können, möchte ich meine Internetanbindung über einen VPN-Tunnel
anonymisieren. Hierfür habe ich mir ein CyberGhostVPN-Abo zugelegt. Der
Verbindungsaufbau über OpenVPN funktioniert einwandfrei und scheint auch
langfristig stabil zu sein. Nun möchte ich verhindern, dass über das
Freifunknetz / die WLAN-Schnittstelle auf das WAN zugegriffen wird, falls
kein VPN-Tunnel besteht. Hierzu habe ich in Luci ein Interface „VPN“
angelegt, welches mit der „physikalischen“ Netzwerkstelle „tun0“ verbunden
ist. Das Interface VPN gehört der gleichnamigen Firewall-Zone „VPN“ an. Die
Firewall-Konfiguration könnt ihr dem beiliegenden Screenshot entnehmen. Das
Policy-Routing ist deaktiviert (siehe zweiter Screenshot).  Zusätzlich habe
ich die Ausgaben von „iptables -L“ und „iptables-save“ beigelegt.

 

Leider ist das WAN jedoch nachwievor aus dem Freifunknetz / über die
WLAN-Schnittstelle erreichbar. Ich habe versucht, die Firewall-Regeln
nachzuvollziehen, um meinen (oder Lucis) Fehler zu finden. Bisher jedoch
ohne Erfolg. Meine Routing-Tabelle ohne VPN-Tunnel sieht wie folgt aus:

 

Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface

default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

6.0.1.0         *               255.255.255.0   U     0      0        0
wlan0-1

10.119.0.0      *               255.255.0.0     U     0      0        0
wlan0

192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

192.168.1.0     *               255.255.255.0   U     0      0        0
br-lan

 

Im Folgenden die relevanten Filterregeln. Der komplette Dump ist im Anhang
verfügbar. 

 

Chain FORWARD (policy DROP)

target     prot opt source               destination         

delegate_forward  all  --  anywhere             anywhere  

 

Chain delegate_forward (1 references)

target     prot opt source               destination         

forwarding_rule  all  --  anywhere             anywhere             /* user
chain for forwarding */

ACCEPT     all  --  anywhere             anywhere             ctstate
RELATED,ESTABLISHED

zone_lan_forward  all  --  anywhere             anywhere            

zone_wan_forward  all  --  anywhere             anywhere            

zone_freifunk_forward  all  --  anywhere             anywhere            

zone_freifunk_forward  all  --  anywhere             anywhere            

zone_vpn_forward  all  --  anywhere             anywhere            

reject     all  --  anywhere             anywhere   

 

Chain zone_freifunk_forward (2 references)

target     prot opt source               destination         

forwarding_freifunk_rule  all  --  anywhere             anywhere
/* user chain for forwarding */

zone_vpn_dest_ACCEPT  all  --  anywhere             anywhere             /*
forwarding freifunk -> vpn */

ACCEPT     all  --  anywhere             anywhere             ctstate DNAT
/* Accept port forwards */

zone_freifunk_src_ACCEPT  all  --  anywhere             anywhere            

 

Chain zone_vpn_dest_ACCEPT (2 references)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere

 

Wer hat schon einmal etwas ähnliches versuch / erreicht und kann mir hier
weiterhelfen? Ich bin für jeden Tipp dankbar!

 

LG,

 

Bernd

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : Firewallkonfiguration.PNG
Dateityp    : image/png
Dateigröße  : 43463 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : PolicyRouting.PNG
Dateityp    : image/png
Dateigröße  : 30703 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment-0001.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : iptables.list
Dateityp    : application/octet-stream
Dateigröße  : 12482 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment.obj>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : iptables.conf
Dateityp    : application/octet-stream
Dateigröße  : 11888 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/vpn-freifunk.net/attachments/20140315/7237566c/attachment-0001.obj>

Mehr Informationen über die Mailingliste vpn