Re: VLAN und VPN mit OpenWRT

To: debian-user-german@lists.debian.org
Subject: Re: VLAN und VPN mit OpenWRT
From: Steffen Weichert <st.weichert@gmx.de>
Date: Wed, 7 Jan 2015 21:56:40 +0100
Message-id: <[🔎] 20150107205640.GA2426@lonely.nachbar.zuhause>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 54ABC3EB.8080301@openmail.cc>
References: <[🔎] 54AAA4F1.3080404@openmail.cc> <[🔎] 20150106023719.09d6ac30@p300.pent1> <[🔎] 54ABC3EB.8080301@openmail.cc>

Am Tue, den 06. Jan 2015 um 12:15 +0100 schrieb debgeri:

> Gut das mit den VLANs bekomme ich hin, das wichtigste ist aber nun
> wie man nun mit openvpn ins Internet kommt, also von INNEN nach AUßEN.

Moin,

ich habe seit Jahren einen ähnlichen Aufbau, der zuverlässig
funktioniert. OpenVPN hatte ich davor auf meinem "Server" laufen und
habe dessen Config einfach zu OpenWRT kopiert.

root@router:~# cat /etc/config/openvpn
package openvpn

#################################################
# Sample to include a custom config file.       #
#################################################

config openvpn master_zuhause

        # Set to 1 to enable this instance:
        option enable 1

        # Include OpenVPN configuration
        option config /etc/openvpn/master-zuhause.conf


root@router:~# cat /etc/openvpn/master-zuhause.conf
#
local 10.20.30.160                      # nur am WLAN verfuegbar

port 1194                               # Standardport
proto udp                               # Standardprotokoll

dev tun                                 # tun-Device nutzen (Routing)

cd /etc/openvpn                         # hier liegen die config dateien

ca keys/ca.crt                          #
cert keys/master-zuhause.crt            #
key keys/master-zuhause.key             #

dh keys/dh1024.pem                      #

crl-verify keys/crl.pem                 # das darf kein symlink sein,
                                        # sonst permission denied

server 192.168.30.0 255.255.255.0       # das openvpn-netz ist 192.168.30.0/24

client-config-dir keys                  # clientspeziefische config
                                        # jeder "Schluessel" bekommt
                                        # seine eigene IP

script-security 2
learn-address /etc/openvpn/led-status.sh

push "redirect-gateway"
push "dhcp-option DNS 10.20.30.160"
push "dhcp-option WINS 10.20.30.160"
push "dhcp-option DOMAIN nachbar.zuhause"

client-to-client                        # alle koennen sich sehen

keepalive 20 120                        #

persist-key                             #
persist-tun                             #

comp-lzo                                # Komprimierung einschalten

root@router:~# ls -l /etc/openvpn/keys/
-rw-------    1 root     root           370 Apr  6  2012 alex
-rw-------    1 root     root           102 Apr  6  2012 angel
-rw-------    1 root     root          1318 Apr  6  2012 ca.crt
-rw-------    1 root     root           552 Apr  6  2012 crl.pem
-rw-------    1 root     root           245 Apr  6  2012 dh1024.pem
-rw-------    1 root     root           338 Apr  6  2012 eeedeb
-rw-------    1 root     root           335 Apr  6  2012 eeewin
-rw-------    1 root     root           876 Apr  6  2012 index.txt
-rw-------    1 root     root           345 Apr  6  2012 lifebook
-rw-------    1 root     root          4042 Apr  6  2012 master-zuhause.crt
-rw-------    1 root     root           887 Apr  6  2012 master-zuhause.key
-rw-------    1 root     root           345 Apr  6  2012 notebook
-rw-------    1 root     root           164 Apr  6  2012 rechnerliste.txt
-rw-------    1 root     root             3 Apr  6  2012 serial

root@router:~# cat /etc/config/network
...
config interface 'wlan'
        option type 'bridge'
        option _orig_ifname 'radio0.network1 wlan1'
        option _orig_bridge 'true'
        option proto 'static'
        option ipaddr '10.20.30.160'
        option netmask '255.255.255.0'

config interface 'vpn_tun'
        option proto 'none'
        option ifname 'tun0'
        option auto '1'
        option delegate '0'

root@router:~# cat /etc/config/firewall
...
config zone
        option name 'wlan'
        option forward 'REJECT'
        option output 'ACCEPT'
        option network 'wlan'
        option input 'REJECT'

config zone
        option name 'vpn_tun'
        option input 'ACCEPT'
        option forward 'REJECT'
        option output 'ACCEPT'
        option network 'vpn_tun'
...
config forwarding
        option dest 'wan'
        option src 'vpn_tun'

...
config rule
        option target 'ACCEPT'
        option src 'wlan'
        option proto 'udp'
        option dest_port '67'
        option name 'wlan-dhcp'

config rule
        option target 'ACCEPT'
        option src 'wlan'
        option name 'wlan-selber'
        option dest_ip '10.20.30.160'


Eine kurze Erklärung dazu: Bei mir ist das wlan offen und deswegen
erstmal input und forward REJECT. Anschließend habe ich DHCP (udp 67)
und die IP-Adresse vom wlan freigegeben. OpenVPN ist an die wlan
IP-Adresse gekoppelt und der VPN-Verkehr geht über vpn_tun.
wlan und vpn_tun haben ihre eigene Firewallzone, aber nur vpn_tun hat
eine Weiterleitung nach wan (also Internet). Eigentlich ganz einfach ;)

HTH und tschüß
Steffen

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: VLAN und VPN mit OpenWRT
  - From: debgeri <debgeri@openmail.cc>

References:
- VLAN und VPN mit OpenWRT
  - From: debgeri <debgeri@openmail.cc>
- Re: VLAN und VPN mit OpenWRT
  - From: Ulrich Kleve <kleines.u@web.de>
- Re: VLAN und VPN mit OpenWRT
  - From: debgeri <debgeri@openmail.cc>

Prev by Date: Re: Eigenartiges Verhalten von USB-Stick
Next by Date: Re: [OT] verschiedene Schriftgrösse in Firefox Tabs
Previous by thread: Re: VLAN und VPN mit OpenWRT
Next by thread: Re: VLAN und VPN mit OpenWRT
Index(es):
- Date
- Thread