Re: VLAN und VPN mit OpenWRT

[debgeri <debgeri@openmail.cc>]

Am 07.01.2015 um 21:56 schrieb Steffen Weichert:
> Am Tue, den 06. Jan 2015 um 12:15 +0100 schrieb debgeri:
>
>> Gut das mit den VLANs bekomme ich hin, das wichtigste ist aber nun
>> wie man nun mit openvpn ins Internet kommt, also von INNEN nach AUßEN.
> Moin,
>
> ich habe seit Jahren einen ähnlichen Aufbau, der zuverlässig
> funktioniert. OpenVPN hatte ich davor auf meinem "Server" laufen und
> habe dessen Config einfach zu OpenWRT kopiert.
>
> root@router:~# cat /etc/config/openvpn
> package openvpn
>
> #################################################
> # Sample to include a custom config file.       #
> #################################################
>
> config openvpn master_zuhause
>
>         # Set to 1 to enable this instance:
>         option enable 1
>
>         # Include OpenVPN configuration
>         option config /etc/openvpn/master-zuhause.conf
>
>
> root@router:~# cat /etc/openvpn/master-zuhause.conf
> #
> local 10.20.30.160                      # nur am WLAN verfuegbar
>
> port 1194                               # Standardport
> proto udp                               # Standardprotokoll
>
> dev tun                                 # tun-Device nutzen (Routing)
>
> cd /etc/openvpn                         # hier liegen die config dateien
>
> ca keys/ca.crt                          #
> cert keys/master-zuhause.crt            #
> key keys/master-zuhause.key             #
>
> dh keys/dh1024.pem                      #
>
> crl-verify keys/crl.pem                 # das darf kein symlink sein,
>                                         # sonst permission denied
>
> server 192.168.30.0 255.255.255.0       # das openvpn-netz ist 192.168.30.0/24
>
> client-config-dir keys                  # clientspeziefische config
>                                         # jeder "Schluessel" bekommt
>                                         # seine eigene IP
>
> script-security 2
> learn-address /etc/openvpn/led-status.sh
>
> push "redirect-gateway"
> push "dhcp-option DNS 10.20.30.160"
> push "dhcp-option WINS 10.20.30.160"
> push "dhcp-option DOMAIN nachbar.zuhause"
>
> client-to-client                        # alle koennen sich sehen
>
> keepalive 20 120                        #
>
> persist-key                             #
> persist-tun                             #
>
> comp-lzo                                # Komprimierung einschalten
>
> root@router:~# ls -l /etc/openvpn/keys/
> -rw-------    1 root     root           370 Apr  6  2012 alex
> -rw-------    1 root     root           102 Apr  6  2012 angel
> -rw-------    1 root     root          1318 Apr  6  2012 ca.crt
> -rw-------    1 root     root           552 Apr  6  2012 crl.pem
> -rw-------    1 root     root           245 Apr  6  2012 dh1024.pem
> -rw-------    1 root     root           338 Apr  6  2012 eeedeb
> -rw-------    1 root     root           335 Apr  6  2012 eeewin
> -rw-------    1 root     root           876 Apr  6  2012 index.txt
> -rw-------    1 root     root           345 Apr  6  2012 lifebook
> -rw-------    1 root     root          4042 Apr  6  2012 master-zuhause.crt
> -rw-------    1 root     root           887 Apr  6  2012 master-zuhause.key
> -rw-------    1 root     root           345 Apr  6  2012 notebook
> -rw-------    1 root     root           164 Apr  6  2012 rechnerliste.txt
> -rw-------    1 root     root             3 Apr  6  2012 serial
>
> root@router:~# cat /etc/config/network
> ...
> config interface 'wlan'
>         option type 'bridge'
>         option _orig_ifname 'radio0.network1 wlan1'
>         option _orig_bridge 'true'
>         option proto 'static'
>         option ipaddr '10.20.30.160'
>         option netmask '255.255.255.0'
>
> config interface 'vpn_tun'
>         option proto 'none'
>         option ifname 'tun0'
>         option auto '1'
>         option delegate '0'
>
> root@router:~# cat /etc/config/firewall
> ...
> config zone
>         option name 'wlan'
>         option forward 'REJECT'
>         option output 'ACCEPT'
>         option network 'wlan'
>         option input 'REJECT'
>
> config zone
>         option name 'vpn_tun'
>         option input 'ACCEPT'
>         option forward 'REJECT'
>         option output 'ACCEPT'
>         option network 'vpn_tun'
> ...
> config forwarding
>         option dest 'wan'
>         option src 'vpn_tun'
>
> ...
> config rule
>         option target 'ACCEPT'
>         option src 'wlan'
>         option proto 'udp'
>         option dest_port '67'
>         option name 'wlan-dhcp'
>
> config rule
>         option target 'ACCEPT'
>         option src 'wlan'
>         option name 'wlan-selber'
>         option dest_ip '10.20.30.160'
>
>
> Eine kurze Erklärung dazu: Bei mir ist das wlan offen und deswegen
> erstmal input und forward REJECT. Anschließend habe ich DHCP (udp 67)
> und die IP-Adresse vom wlan freigegeben. OpenVPN ist an die wlan
> IP-Adresse gekoppelt und der VPN-Verkehr geht über vpn_tun.
> wlan und vpn_tun haben ihre eigene Firewallzone, aber nur vpn_tun hat
> eine Weiterleitung nach wan (also Internet). Eigentlich ganz einfach ;)
>
> HTH und tschüß
> Steffen
Hallo Steffen,

vielen Dank für die Hilfe!
Ich werde mir das mal anschauen, und ausprobieren.

Kann man das mit nur einem VLAN koppeln, so dass nur das eine VLAN per
vpn ins
Internet kann, so das jedes VLAN seine unabhängige Regel hat?




-------------------------------------------------

VFEmail.net - http://www.vfemail.net
ONLY AT VFEmail! - Use our Metadata Mitigator to keep your email out of the NSA's hands!
$24.95 ONETIME Lifetime accounts with Privacy Features!  
15GB disk! No bandwidth quotas!
Commercial and Bulk Mail Options!