degree
16.12.05, 16:14
Hi!
Ich arbeite derzeit an einem Aufbau eines VPN Servers. Der Server läuft mit Debian 3.1 Sarge und hat OpenVPN drauf laufen. OpenVPN verwendet Zertifikate was alles wunderbar funktioniert (die verbindung) bis auf 2 mehr oder weniger schwere Probleme.
1.Problem
Client baut Verbindung auf zum Server, beim Internet Zugriff verwendet der Client(Winxp) aber nicht das TAP Device sondern die normale WLAN Karte :rolleyes: was eigentlich nicht Sinn und Zweck ist. Wie kann ich den Client dazu bringen/zwingen das TAP device für Internet zugriff zu verwenden?
2.Problem
Ich möchte mittels IPTables jedlichen Traffic von nicht verschlüsselten Clients (keine VPN Verbindung) unterbinden und nur VPN verbindungen durchlassen.
Zur übersicht mal:
eth0: "externe" 10.x.x.x Netz, Gateway und Proxy befinden sich in diesem Netz
eth1: "interne" Das WLAN Netz, Netz = 172.16.0.0/16
tap0: "VPN" für die verschlüsselten Verbindungen Netz = 192.168.0.0/24
Ich hab eniges probiert mittels Iptables aber es läuft immer auf das selbe hinaus, der Client kann sich nicht mehr mit dem Server verbinden :( ohne IPtables gehts wie gesagt.
Hier mal meine IPtables Regeln:
#eth1: Nur UDP auf Port 1194 reinlassen (VPN)
iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 5000 -j ACCEPT
iptables -A INPUT -i eth1 -j DROP
#eth1: Nur UDP auf Port 1194 senden
iptables -A OUTPUT -o eth1 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 5000 -j ACCEPT
iptables -A OUTPUT -o eth1 -j DROP
#Forwarding über eth1 ausschalten
iptables -A FORWARD -i eth1 -j DROP
#Kommunikation über Tunnel erlauben
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A OUTPUT -o tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
Ich hoff irgendwer da draußen kann mir heir weiterhelfen
mfg degree
P.S. Mittels Suchfunktion und Google hab ich bissher nichts passendes gefunden
Ich arbeite derzeit an einem Aufbau eines VPN Servers. Der Server läuft mit Debian 3.1 Sarge und hat OpenVPN drauf laufen. OpenVPN verwendet Zertifikate was alles wunderbar funktioniert (die verbindung) bis auf 2 mehr oder weniger schwere Probleme.
1.Problem
Client baut Verbindung auf zum Server, beim Internet Zugriff verwendet der Client(Winxp) aber nicht das TAP Device sondern die normale WLAN Karte :rolleyes: was eigentlich nicht Sinn und Zweck ist. Wie kann ich den Client dazu bringen/zwingen das TAP device für Internet zugriff zu verwenden?
2.Problem
Ich möchte mittels IPTables jedlichen Traffic von nicht verschlüsselten Clients (keine VPN Verbindung) unterbinden und nur VPN verbindungen durchlassen.
Zur übersicht mal:
eth0: "externe" 10.x.x.x Netz, Gateway und Proxy befinden sich in diesem Netz
eth1: "interne" Das WLAN Netz, Netz = 172.16.0.0/16
tap0: "VPN" für die verschlüsselten Verbindungen Netz = 192.168.0.0/24
Ich hab eniges probiert mittels Iptables aber es läuft immer auf das selbe hinaus, der Client kann sich nicht mehr mit dem Server verbinden :( ohne IPtables gehts wie gesagt.
Hier mal meine IPtables Regeln:
#eth1: Nur UDP auf Port 1194 reinlassen (VPN)
iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 5000 -j ACCEPT
iptables -A INPUT -i eth1 -j DROP
#eth1: Nur UDP auf Port 1194 senden
iptables -A OUTPUT -o eth1 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 5000 -j ACCEPT
iptables -A OUTPUT -o eth1 -j DROP
#Forwarding über eth1 ausschalten
iptables -A FORWARD -i eth1 -j DROP
#Kommunikation über Tunnel erlauben
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A OUTPUT -o tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
Ich hoff irgendwer da draußen kann mir heir weiterhelfen
mfg degree
P.S. Mittels Suchfunktion und Google hab ich bissher nichts passendes gefunden