[vpn] Firewall-Konfiguration: Zugriff aus Freifunknetz auf WAN unterbinden / auf VPN erlauben
Ruben Kelevra
cyrond at gmail.com
Sa Mär 15 20:41:28 CET 2014
Hallo Bernd,
diese Emailliste ist nicht für Anfängerfragen von
OpenWRT-Einstellungen gedacht. Es gibt fertige Freifunk-Images, sicher
auch eins für deinen Zweck, wo viel Zeit in Sicherheit gesteckt wird.
Ich würde dir eines von diesen ans Herz legen.
Lieben Gruß
Ruben
Am 15. März 2014 09:42 schrieb Bernd Kalbfuss-Zimmermann <kalbfuss at gmx.net>:
> Hallo miteinander,
>
>
>
> ich bin hier am Verzweifeln. Um meinen Internetzugang gefahrlos teilen zu
> können, möchte ich meine Internetanbindung über einen VPN-Tunnel
> anonymisieren. Hierfür habe ich mir ein CyberGhostVPN-Abo zugelegt. Der
> Verbindungsaufbau über OpenVPN funktioniert einwandfrei und scheint auch
> langfristig stabil zu sein. Nun möchte ich verhindern, dass über das
> Freifunknetz / die WLAN-Schnittstelle auf das WAN zugegriffen wird, falls
> kein VPN-Tunnel besteht. Hierzu habe ich in Luci ein Interface „VPN“
> angelegt, welches mit der „physikalischen“ Netzwerkstelle „tun0“ verbunden
> ist. Das Interface VPN gehört der gleichnamigen Firewall-Zone „VPN“ an. Die
> Firewall-Konfiguration könnt ihr dem beiliegenden Screenshot entnehmen. Das
> Policy-Routing ist deaktiviert (siehe zweiter Screenshot). Zusätzlich habe
> ich die Ausgaben von „iptables -L“ und „iptables-save“ beigelegt.
>
>
>
> Leider ist das WAN jedoch nachwievor aus dem Freifunknetz / über die
> WLAN-Schnittstelle erreichbar. Ich habe versucht, die Firewall-Regeln
> nachzuvollziehen, um meinen (oder Lucis) Fehler zu finden. Bisher jedoch
> ohne Erfolg. Meine Routing-Tabelle ohne VPN-Tunnel sieht wie folgt aus:
>
>
>
> Destination Gateway Genmask Flags Metric Ref Use
> Iface
>
> default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
>
> 6.0.1.0 * 255.255.255.0 U 0 0 0
> wlan0-1
>
> 10.119.0.0 * 255.255.0.0 U 0 0 0
> wlan0
>
> 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
>
> 192.168.1.0 * 255.255.255.0 U 0 0 0
> br-lan
>
>
>
> Im Folgenden die relevanten Filterregeln. Der komplette Dump ist im Anhang
> verfügbar.
>
>
>
> Chain FORWARD (policy DROP)
>
> target prot opt source destination
>
> delegate_forward all -- anywhere anywhere
>
>
>
> Chain delegate_forward (1 references)
>
> target prot opt source destination
>
> forwarding_rule all -- anywhere anywhere /* user
> chain for forwarding */
>
> ACCEPT all -- anywhere anywhere ctstate
> RELATED,ESTABLISHED
>
> zone_lan_forward all -- anywhere anywhere
>
> zone_wan_forward all -- anywhere anywhere
>
> zone_freifunk_forward all -- anywhere anywhere
>
> zone_freifunk_forward all -- anywhere anywhere
>
> zone_vpn_forward all -- anywhere anywhere
>
> reject all -- anywhere anywhere
>
>
>
> Chain zone_freifunk_forward (2 references)
>
> target prot opt source destination
>
> forwarding_freifunk_rule all -- anywhere anywhere
> /* user chain for forwarding */
>
> zone_vpn_dest_ACCEPT all -- anywhere anywhere /*
> forwarding freifunk -> vpn */
>
> ACCEPT all -- anywhere anywhere ctstate DNAT
> /* Accept port forwards */
>
> zone_freifunk_src_ACCEPT all -- anywhere anywhere
>
>
>
> Chain zone_vpn_dest_ACCEPT (2 references)
>
> target prot opt source destination
>
> ACCEPT all -- anywhere anywhere
>
>
>
> Wer hat schon einmal etwas ähnliches versuch / erreicht und kann mir hier
> weiterhelfen? Ich bin für jeden Tipp dankbar!
>
>
>
> LG,
>
>
>
> Bernd
>
>
> --
> vpn mailing list
> vpn at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/vpn-freifunk.net
>
Mehr Informationen über die Mailingliste vpn