PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenVPN und Firewall



Pintel
16.02.06, 08:57
Ich habe einen Desktop und ein Notebook jeweils mit einer WLAN-Karte, zwischen denen ein OpenVPN laufen soll. Der Spaß funktioniert auch, solange die Firewall ausgeschalten ist. Die Firewall brauche ich aber, da ich den Desktop als Server verwende und deshalb das Masquerading brauche um mit dem Notebook ins Internet zu kommen.

Die Karten habe ich jeweils als demilitarisierte Zone eingetragen und den UDP Port 5000 freigegeben. Das tun-device habe ich über den Butten "Benutzerdefiniert" als interne Zone unter der Rubrik "Schnittstellen" eingetragen und zwar durch die Eingabe "tun0".
Nun scheint es aber so, dass die Firewall das Tun-device als solches nicht erkennt. Suse 10 fasst, bevor die Einstellungen gespeichert werden alle Einstellungen nochmal in einer Übersicht zusammen. Dabei listet es die einzelnen Devices geordnet nach den einzelnen Zonen auf. Bei der internen Zone steht somit das tun-device, gefolgt mit der Bemerkung: "Unbekannte Netzwerkschnittstelle"

Wo und wie soll ich das tun-device denn aber sonst eintragen, damit es erkannt wird?

Komme nicht weiter. Bin für jede Hilfe dankbar.
Pintel

DaGrrr
16.02.06, 17:20
Ich habe leider keine SuSE und weiß nicht ob man das grafisch per YaST einstellen kann.
Evtl. kannst du ja entsprechende Regeln per Hand ins Script setzen.
Für meinen OpenWrt Router sieht es so aus:


# Nur OpenVPN-Pakete über reale IP annehmen:
iptables -A INPUT -i $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i $WIFI -j DROP
# Nur OpenVPN-Pakete über reale IP senden:
iptables -A OUTPUT -o $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP
# Kommunikation über Tunnel erlauben:
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE

Vielleicht hilft es dir ein wenig weiter.

Grüße
DaGrrr

Pintel
17.02.06, 17:29
Danke für deine Antwort und entschuldigung für meine verspätete :D
Ich bin jetzt einen Schritt weiter. Inzwischen kommt die Verbindung zustande, auch mit Firewall. Dafür klappt es mit dem Ping nicht. Das ist echt zum Haare ausreißen.
Wenn man mich fragt, was ich in die Firewall eingetragen habe, dass zumindest eine Verbindung hergestellt wird, keine Ahnung! Solangsam hab ich echt den Überblick verloren. Sorry.

Mit iptables hab ich mich bisher noch nicht so tiefgreifend beschäftigt gehabt, wird sich aber anscheinend nicht vermeiden lassen.

Danke
Pintel!