PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WLAN mit openVPN absichern: ein paar Fragen dazu


mettwurscht
07.12.05, 14:06
Hallo zusammen,

ich möchte ein WLAN per openVPN absichern. Dazu habe ich schon ein paar howtos gelesen - trotzdem gibts noch ein paar Fragen. Zuerst mal von Anfang...

Ich habe hier ein ganz normales LAN mit einem lokalen Server für alle möglichen Dienste (smtp, imap, http, nfs, samba, dhcpd, etc.). In diesem LAN gibts einen WLAN-AP, der zur Zeit noch mit WPA arbeitet. Ich möchte aber prinzipiell auf openVPN umsteigen, um auch ältere WLAN-Adapter einbinden zu können.

Im server steckt eine Karte eth0 und diese befindet sich im Netz 192.168.1.0. Alle IP werden von dhcpd innerhalb dieses Netzes vergeben.

Nun soll also der WLAN-AP geöffnet werden und auf gar keinen Fall das LAN nach außen hin öffnen. Man soll den server über das WLAN also nur per UDP-Port 5000 erreichen können, um den Tunnel zu öffnen.

Geplant ist also, ein interface eth0:1 im Netz 192.168.10.0 zu erstellen. Der WLAN-AP soll dann eine IP dieses Netzes erhalten. So könnte ich dann über den tcpwrapper filtern. Oder? Notfalls ja noch über eine iptables-Regel.

Ist das so prinzipill möglich, wie ich mir das vorstelle? Der Server ist ein EPIA-Board und es wäre etwas kompliziert, eine zweite NIC einzubauen.


Mett
mettwurscht
08.12.05, 08:45
Hallo,

das VPN läuft nun mitlerweile, nachdem ich noch eine zweite NIC reingefrickelt habe. eth0 ist also das normale LAN und an eth1 hängt nun exklusiv der AP. tun0 ist das Tunnel-Interface, das von openVPN aufgemacht wird. Der Tunnel wird ganz wunderbar aufgebaut und es gibt keine Probleme.

Trotzdem ist eines noch nicht ganz klar: Wie bekommen die VPN-Rechner Zugriff auf das Internet? Es gibt im LAN eine fritzbox.fon, die als ADSL-Router fungiert und deren IP-Adresse also das standard-gateway ist.

Mein Netz sieht so aus:
eth0(LAN): 192.168.1.0
eth1(AP): 10.50.50.0
tun0: 192.168.2.0

Das Netz eth1 ist ja nur als Aufhänger für den Tunnel da und muss eigentlich nicht beachtet werden. Gut.

Wie aber stelle ich eine Verbindung zwischen den Netzen eth0 und tun0 her? Einerseits, damit sich die in beiden Netzen befindlichen Rechner sehen können und andererseits, damit die Rechner aus tun0 über das standard-gateway surfen können. Ich bin in iptables leider nicht fit genug und hab die Regeln, um eth1 komplett dicht zu machen - natürlich bis auf den udp-port, auf dem openvpn lauscht - auch nur von einer Seite aus dem Internet.


Danke!
Mett
mettwurscht
08.12.05, 13:25
Hat sich erledigt. Es läuft alles zu meiner vollen Zufriedenheit. Wer hätte das gedacht?


Mett