wlan und openvpn

[darkiop]

Guten Abend,
momentan sichere ich mein lokales Wlan mit Wep128 ab. Ich würde alledings gerne das wlan durch einen vpn Tunnel laufen lassen.

Ich habe diesen Artikel hier gefunden:
http://www.linux-user.de/ausgabe/2002/10/030-tunnel/


Folgende Strucktur hat mein Heimnetzwerk:

| & - = Kabel
* = Funk

Code: Alles auswählen

      [Internet]
          |
          |
Router (Debian Woody, Kernel 2.4.26)
          |
          |
          |    ------------ Fileserver (Debian Sarge, Kernel 2.6.8 )
        Switch ------------ Workstation (Debian Sarge, Kernel 2.6.8 )
          |    ------------ 2. Workstation (Windows XP)
          |
          |
Access Point Linksys WRT54G (mit Firmware Satori-4.0 v2.07.1.7sv) ************** Notebook (Debian Sarge, Kernel: 2.6.8 )

Wie muss ich jetzt vorgehen um mein Wlan per VPN abzusichern? Das VPN muss ich zwischen dem Router und Notebook aufbauen oder? Kann ich dann auch vom Notebook aus auf den Fileserver und die anderen Workstations zugreifen?

[basman]

Schema:

Auf dem Router OpenVPN als server starten, auf dem Laptop als client. Der Einfachheit halber mit pre-shared keys. Siehe Doku zu openvpn.

Default route auf Laptop geht via die openvpn-Adresse des Routers. Somit fliesst aller Netzwerkverkehr via den Router. Der wiederum entschlüsselt und leitet an die anderen Clients oder ins Internet weiter.

(Die clients sehen bei Verbindungen, die vom Laptop kommen, die VPN-IP-Adresse des Laptops. Sie kennen keine direkte Route zum Laptop und senden die Antwort-Pakete an den Router. Der wiederum kennt die Route zum Laptop durchs VPN und verschlüsselt die Pakete, bevor er sie über den Accesspoint an den Laptop schickt.)

Noch Fragen?

[darkiop]

Danke, das hat mir das ganze etwas verdeutlicht.

Werde mich nächste Woche damit beschäftigen!

[darkiop]

Ich diese Anleitung hier gefunden:

http://newbie-net.de/anleitung_wlan_vpn.html

Daraus schließe ich, das ich in meinem Router eine 2 NIC brauche, oder? Problem ist allerdings, der Router ist ein Shuttle Barebone und hat nur einen PCI Slot und darauf sitzt meine ISDN Karte.

[basman]

Nur wegen dem Openvpn brauchst Du sicherlich keine 2. NIC! Du wirst das LAN und VPN über dieselbe NIC laufen haben.

Openvpn erzeugt beim Starten künstliche Interfaces, die an eine reale NIC gebunden sind. Es ist so gedacht, dass man über die reale NIC sowohl verschlüsselten als auch normalen IP-Verkehr laufen hat.

Ich habe die Grafik aus Deinem Link für Deinen Fall angepasst.

[darkiop]

Ok, danke dir!

Nebenfrage: Mit welchen Tool erstellt man solche Grafiken?

Der Openvpn-Server auf meine Router lässt sich fehlerfrei starten, aber auf meinem Notebook bekomm ich folgende Meldungen:

Code: Alles auswählen

Oct 18 13:37:58 iguana ovpn-wireless[1874]: OpenVPN 1.6.0 i386-pc-linux-gnu [SSL] [LZO] [PTHREAD] built on Sep 10 2004
Oct 18 13:37:58 iguana ovpn-wireless[1874]: Note: Cannot open TUN/TAP dev /dev/net/tun: No such device (errno=19)
Oct 18 13:37:58 iguana ovpn-wireless[1874]: Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Oct 18 13:37:58 iguana ovpn-wireless[1874]: Cannot allocate TUN/TAP dev dynamically
Oct 18 13:37:58 iguana ovpn-wireless[1874]: Exiting

wireless,conf auf dem Notebook:

Code: Alles auswählen

dev tap
remote 192.168.0.253
route-gateway 10.4.0.1
ifconfig 10.4.0.2 255.255.0.0
redirect-gateway
link-mtu 1544
secret /etc/openvpn/wireless.key

192.168.0.253 = mein Access Point
192.168.0.250 = IP meines Routers mit dem VPN Server
10.4.0.1 = vpn ip router
10.4.0.2 = vpn ip Notebook

[basman]

1. remote 192.168.0.253 ist falsch. Dort muss die IP des VPN-Routers hin. Denn OpenVPN muss erfahren, welcher Rechner das Ende des Tunnels ist. Dass der Laptop den VPN-Router über den VPN-Accesspoint erreichen kann, kümmert OpenVPN nicht. Das geht nämlich aus der gewöhnlichen Routing-Tabelle hervor.
   
   Dabei fällt mir auf, dass das WLAN-Netz wohl eine eigene Adresse braucht. (Sorry, ich mache das ja alles nur theoretisch.) Siehe angepasste Grafik. Selbst wenn man es ohne eigene WLAN-Netz-Adresse hinbekommt, so ist das Routing mit sicherlich einfacher zu realisieren.
2. Der Kernel auf dem Laptop scheint keine TUN-Netzwerk-Devices zu unterstützen. Wenn der Kernel nicht selbstkompiliert wurde: /sbin/modprobe tun. Wenn selbst-kompilierter Kernel: modprobe tun probieren. Wenn nicht möglich, Kernel neu kompilieren mit Option CONFIG_TUN=m gesetzt.
3. Unter DOS kannte ich mal ein cooles Programm, mit dem man solche ASCII-Arts erstellen konnte. Hab den Namen leider vergessen und unter Linux lief mir noch keines über den Weg.

[darkiop]

Ok, die remote Adresse geändert.

Das CONFIG_TUN hatte im Kernel gefehlt, jetzt funktioniert das laden von openvpn einwandfrei.

Du meinst also ich sollte dem Accesspoint und dem Notebook eine IP Adresse aus einem anderen Netz geben?
Ich bin im Moment etwas verwirrt, kann mir grad nicht vorstellen wie das ganze auszusehen hat.

Ich erkläre jetzt mal wie weit ich bin:

1. Auf dem Router läuft der openvpn Server, no news are good news, also geh ich mal davon aus das alles so richtig ist.
2. Auf dem Notebook läuft der openvpn client mit oben genannter Config.
3. vpn server hat die ip 10.4.0.1 und der client die 10.4.0.2

Wo soll ich jetzt weitermachen?
Auf dem Router ein Netwerkalias "eth0:1" mit IP 192.168.1.250 anlegen und
dem Accesspoint auch eine IP aus 192.168.1.0 geben?

Wenn ich dem Accesspoint eine andere IP aus einem andren Netzgebe, habe ich aber logischer weise mit meiner workstation keine zugriff mehr. Wie
löse ich das Problem?

Auf dem VPN Client muss ich als default gateway die ip des VPN Servers angeben (10.4.0.1), oder?

[basman]

Du meinst also ich sollte dem Accesspoint und dem Notebook eine IP Adresse aus einem anderen Netz geben?
Ich bin im Moment etwas verwirrt, kann mir grad nicht vorstellen wie das ganze auszusehen hat.
[...]
Auf dem Router ein Netwerkalias "eth0:1" mit IP 192.168.1.250 anlegen und
dem Accesspoint auch eine IP aus 192.168.1.0 geben?

Halte Dich an das Schema openvpn3.txt.
Dort ist der Linux-Server ausschliesslich im normalen Netz und hat kein Alias-Interface. Der Accesspoint hat doch ein "Funk"-Interface und ein herkömmliches Kabel-Interface (Ethernet). Lediglich dem Funk-Interface (WLAN) des Accesspoints und demjenigen des Laptops verpasst Du eine eigene Adresse aus dem Netz 192.168.1.0/24 . Der Accesspoint muss dann jedoch NAT (Masquerading) machen, damit Antwortpakete ihren Weg zurück aus dem LAN ins WLAN finden können.

Wenn ich dem Accesspoint eine andere IP aus einem andren Netzgebe, habe ich aber logischer weise mit meiner workstation keine zugriff mehr. Wie
löse ich das Problem?

Du möchtest mit der herkömmlich verkabelten Workstation (LAN) auf den Laptop (WLAN) zugreifen? Das darf ohnehin nicht direkt passieren, weil es dann ja unverschlüsselt geschieht. Die Pakete müssen also von der Workstation aus über den Linux-Router an den Laptop fliessen, damit OpenVPN die Verschlüsselung vornehmen kann.

Die Lösung ist, beim Zugriff die VPN-IP des Laptops anzugeben. Die Workstation kennt jenes Netz nicht und wendet sich an den Router. Der wiederum leitet den Verkehr durch den Tunnel.

Möglicherweise ist es für Deinen Fall überflüssig, Laptop und Accesspoint in ein eigenes Netz zu legen. Du kannst es natürlich auch nach Schema openvpn2.txt versuchen.

Auf dem VPN Client muss ich als default gateway die ip des VPN Servers angeben (10.4.0.1), oder?

Dazu hattest Du bereits die passende Config-Direktive route-gateway 10.4.0.1. Ich gehe davon aus, dass beim Start des VPN-Clients die default-route durch OpenVPN automatisch gesetzt wird.

[darkiop]

Lediglich dem Funk-Interface (WLAN) des Accesspoints und demjenigen des Laptops verpasst Du eine eigene Adresse aus dem Netz 192.168.1.0/24 . Der Accesspoint muss dann jedoch NAT (Masquerading) machen, damit Antwortpakete ihren Weg zurück aus dem LAN ins WLAN finden können.

Ich habe den Linksys WRT54G mit Satori-4 Firmware laufen. Ich finde nirgends eine Möglichkeit dem Wlan Interface des AP's eine IP zu verpassen. Ich kann nur IP's für das Ethernet Interface vergeben.

Edit:
Ich habe auf dem Notebook den Default GW per "route add default gw 10.4.0.1" bestimmt. Danach habe ich einen Ping nach 10.4.0.1 gesendet. Der Ping kam nachdem ich meine iptables auf dem Router/VPN Server ausgeschaltet hatte auch an. Im Syslog auf dem VPN Server erschien dann folgendes:

Code: Alles auswählen

Oct 19 09:43:15 falcon ovpn-wireless[501]: Peer Connection Initiated with 192.168.0.253:5000

Daraus lässt sich doch schließen dass das VPN funktioniert?

[basman]

Code: Alles auswählen

Oct 19 09:43:15 falcon ovpn-wireless[501]: Peer Connection Initiated with 192.168.0.253:5000

Daraus lässt sich doch schließen dass das VPN funktioniert?

Ja.

Workstation vom Laptop aus pingbar?

[basman]

Nebenfrage: Mit welchen Tool erstellt man solche Grafiken?

Konnte nichts wirklich tolles finden. Versuch mal aewan

[darkiop]

Ja, ich kann alle Rechner vom Notebook aus anpingen, allerdings kann ich auch das Notebook mit seiner normalen IP anpingen:

Code: Alles auswählen

ping 192.168.0.10
PING 192.168.0.10 (192.168.0.10): 56 data bytes
64 bytes from 192.168.0.10: icmp_seq=0 ttl=64 time=3.0 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 3.0/3.0/3.0 ms

Liegt das nur daran das ich noch keine iptables eingerichtet habe? Fehlt sonst noch irgendetwas wichtiges?

[basman]

Ja, Du kannst unverschlüsselten Verkehr zum Notebook mit Firewall-Regeln verhindern. Das würde ich aber schon auf dem Access-Point tun, wenn er das kann. Sonst werden Broadcast-Pakete (CUPS oder Samba oder geschwätzige Windows-Kisten ) und Verbindungsanfragen unverschlüsselt über WLAN an das Notebook gesendet und erst dort geblockt.

Daher empfahl ich, das WLAN auf ein eigenes IP-Netz zu legen. Denn so wäre die Workstation gezwungen, über den Linux-Router ins WLAN zu gehen. Nur der Linux-Router müsste dann mit Iptables daran gehindert werden, nicht-OpenVPN-Verkehr an den Laptop zu senden.
Weil der Accesspoint kein NAT und keine eigene WLAN-Adresse unterstützt, müsstest Du tatsächlich - wie von Dir vorgeschlagen - ein Alias-Interface auf dem Linux-Router einrichten.

[darkiop]

Ich habe auf dem Router ein Alias Interface eth0:1 mit der IP 192.168.1.250 angelegt. Denn Accesspoint habe ich von 192.168.0.253 in 192.168.1.253 verschoben. Das Notebook bekommt per DHCP (läuft auf dem Accesspoint) die IP 192.168.1.10 zugewiesen.

Jetzt funktioniert das openvpn allerdings nicht mehr, Pings an 10.4.0.1 bzw. 10.4.0.2 gehen ins leere.
Default gw auf dem Notebook ist wie oben die 10.4.0.1.

Zu den Iptables, könntest du mir grob aufschreiben was ich wo alles verbieten/erlauben muss? Die Regeln kann ich mir selbst erstellen.

[basman]

Jetzt funktioniert das openvpn allerdings nicht mehr, Pings an 10.4.0.1 bzw. 10.4.0.2 gehen ins leere.

Versuch zu ermitteln, wo die Pings verloren gehen. Erhaelt der gegenueber den Ping und weiss nicht, wohin mit der Antwort? Auf welchen Interfaces siehst Du die Pings? (mit tcpdump -n -i {eth0,tun0}) probieren.)

Default gw auf dem Notebook ist wie oben die 10.4.0.1.

Gut so. Koennen sich die Hosts ohne VPN (ueber die normalen LAN und WLAN-Adressen) anpingen?

Zu den Iptables, könntest du mir grob aufschreiben was ich wo alles verbieten/erlauben muss? Die Regeln kann ich mir selbst erstellen.

Mit dem eigenen Netz (alias-Interface) fuer das WLAN gilt:

• Alle Hosts/Interfaces: Bestehende Verbindungen prinzipiell akzeptieren (iptables conntrack).
• Laptop: via eth0 (verschluesselter Verkehr und DHCP)
  - INPUT und OUTPUT POLICY DROP
  - VPN-Verkehr vom und zum Linux-Router erlauben. UDP Port 5000 zwischen 192.168.1.253 und 192.168.1.10.
  - DHCP Antwort zum Laptop erlauben: UDP dport 68 sport 67
  - DHCP Anfrage vom Laptop erlauben: UDP sport 68 dport 67
  IP Adressen fuer DHCP-Regeln koennen womoeglich nicht beschraenkt werden.
  DHCP erfolgt im Klartext per Funk ->Risiko? Massnahme: MAC-Adressen filtern, also nur MAC-Adresse des Accesspoints reinlassen, um Einbruch, TCP-Hijacking, etc. ueber Funk zu erschweren.
• Laptop: via tun0 (entschluesselter Verkehr)
  - Zugriffe nur vom Router und aus dem LAN zulassen
  - wenn erwuenscht, Zugriffe aus dem LAN einschraenken
  - den Rest: DROP
• Linux-Router: zusaetzlich zu ueblichen Regeln:
  Interface eth0: Verkehr von und zum WLAN (192.168.1.x) darf nur UDP 5000 sein (VPN) und muss src ip des Routers haben. Damit wird verhindert, dass gewoehnlicher Verkehr an den Laptop gesendet wird. Lediglich unverschluesselter Verkehr vom Router zum UDP Port 5000 des Laptops kommt durch, weil Iptables leider nicht genauer erkennen kann, ob es sich um Klartext- oder VPN-Pakete handelt.
  Interface tun0: keine Einschraenkungen

[darkiop]

Versuch zu ermitteln, wo die Pings verloren gehen. Erhaelt der gegenueber den Ping und weiss nicht, wohin mit der Antwort? Auf welchen Interfaces siehst Du die Pings? (mit tcpdump -n -i {eth0,tun0}) probieren.)

Vom Notebook aus (ping 10.4.0.2)

Code: Alles auswählen

tcpdump -n -i tap0
11:45:33.301715 arp who-has 10.4.0.1 tell 10.4.0.2

Code: Alles auswählen

tcpdump -n -i eth0
11:47:22.243399 arp who-has 192.168.0.10 tell 192.168.0.250
11:47:22.393353 IP 192.168.1.10.5000 > 192.168.0.250.5000: UDP, lenght 84
11:47:22.394932 IP 192.168.1.253 > 192.168.1.10: icmp 120, net 192.168.0.250 unreachable

Vom Router aus ist es genau umgekehrt, wobei ich da eth0 nicht überprüfen konnte, weil da eine Menge an Netzverkehr drüber läuft.

Das Openvpn Device heist bei mir nicht tun0 sondern tap0.

Gut so. Koennen sich die Hosts ohne VPN (ueber die normalen LAN und WLAN-Adressen) anpingen?

Ja das funktioniert. Und sobald ich wieder in das 192.168.0.0 Netz wechsle funktionieren die VPN Pings

Mit dem eigenen Netz (alias-Interface) fuer das WLAN gilt:

• Alle Hosts/Interfaces: Bestehende Verbindungen prinzipiell akzeptieren (iptables conntrack).
• Laptop: via eth0 (verschluesselter Verkehr und DHCP)
  - INPUT und OUTPUT POLICY DROP
  - VPN-Verkehr vom und zum Linux-Router erlauben. UDP Port 5000 zwischen 192.168.1.253 und 192.168.1.10.
  - DHCP Antwort zum Laptop erlauben: UDP dport 68 sport 67
  - DHCP Anfrage vom Laptop erlauben: UDP sport 68 dport 67
  IP Adressen fuer DHCP-Regeln koennen womoeglich nicht beschraenkt werden.
  DHCP erfolgt im Klartext per Funk ->Risiko? Massnahme: MAC-Adressen filtern, also nur MAC-Adresse des Accesspoints reinlassen, um Einbruch, TCP-Hijacking, etc. ueber Funk zu erschweren.
• Laptop: via tun0 (entschluesselter Verkehr)
  - Zugriffe nur vom Router und aus dem LAN zulassen
  - wenn erwuenscht, Zugriffe aus dem LAN einschraenken
  - den Rest: DROP
• Linux-Router: zusaetzlich zu ueblichen Regeln:
  Interface eth0: Verkehr von und zum WLAN (192.168.1.x) darf nur UDP 5000 sein (VPN) und muss src ip des Routers haben. Damit wird verhindert, dass gewoehnlicher Verkehr an den Laptop gesendet wird. Lediglich unverschluesselter Verkehr vom Router zum UDP Port 5000 des Laptops kommt durch, weil Iptables leider nicht genauer erkennen kann, ob es sich um Klartext- oder VPN-Pakete handelt.
  Interface tun0: keine Einschraenkungen

Danke für deine Hife![/code]

[basman]

Vom Router aus ist es genau umgekehrt, wobei ich da eth0 nicht überprüfen konnte, weil da eine Menge an Netzverkehr drüber läuft.

Das Openvpn Device heist bei mir nicht tun0 sondern tap0.

Tcpdump kann nach IP-Traffic filtern. Beispiel:
tcpdump -i eth0 -n udp port 5000 or icmp dürfte selbst bei viel Traffic den gewünschten Verkehr zeigen.

Setups mit dem TAP-Interface verhalten sich technisch etwas anders als TUN-Interfaces. Ich habe nur mit TUN Erfahrung.

Hast Du die remote IP in der VPN-Konfig auf dem Router etwa noch auf das alte Netz festgelegt? Ich habe keine weitere Idee, woran es liegt. Hab es auch noch nie mit Alias-Interface probiert. Sorry.

[darkiop]

Hast Du die remote IP in der VPN-Konfig auf dem Router etwa noch auf das alte Netz festgelegt? Ich habe keine weitere Idee, woran es liegt. Hab es auch noch nie mit Alias-Interface probiert. Sorry.

Das wars! Daran hatte ich nicht mehr gedacht.

Wenn ich morgen dazu komme werde ich die iptables einrichten und dann sollte ja alles soweit fertig sein.


Edit:
Ich habe es doch nicht lassen können und gleich mal damit angefangen :

Code: Alles auswählen

[b]iptables: Notebook[/b]
# clear all tables
iptables -t nat -F
iptables -t filter -F
iptables -X

# default policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# accept vpn traffic Router --> Notebook
iptables -A INPUT -i eth0 -p udp -m udp -s 192.168.1.253 -d 192.168.1.10 --dport 5000 -j ACCEPT

# accept vpn traffix Notebook --> Router
iptables -A OUTPUT -p udp -m udp -s 192.168.1.10 -d 192.168.1.253 --dport 5000 -j ACCEPT

# accept dhcp
iptables -A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 68 --dport 67  -j ACCEPT

# tun0
iptables -A INPUT -i tap0 -p udp -m udp -s 192.168.1.250 -d 192.168.1.10 -j ACCEPT
iptables -A INPUT -i tap0 -p udp -m udp -s 192.168.1.253 -d 192.168.1.10 -j ACCEPT
iptables -A INPUT -i tap0 -p tcp -m tcp -s 192.168.1.250 -d 192.168.1.10 -j ACCEPT
iptables -A INPUT -i tap0 -p tcp -m tcp -s 192.168.1.253 -d 192.168.1.10 -j ACCEPT

Das sollte doch deiner Beschreibung entsprechen, oder?

[basman]

Fehlt nur noch eine Regel, um Verkehr ins Internet zuzulassen (via tap0 OUTPUT -> alles acceptieren). Die Policy von OUTPUT eth0 stellt dann immer noch sicher, dass kein unverschlüsselter Verkehr raus kann.

[darkiop]

Die habe ich jetzt auch geschrieben:

Code: Alles auswählen

iptables -A OUTPUT -o tap0 -p tcp -m tcp -s 0/0 -d 0/0 -j ACCEPT
iptables -A OUTPUT -o tap0 -p udp -m udp -s 0/0 -d 0/0 -j ACCEPT

Allerdings komme ich erst am Sonntag wieder dazu mit dem openvpn weiterzumachen,

Nochmals Danke für deine sehr ausführliche Hilfe!

Edit:
Wie kann ich es eigentlich realisieren, wenn das Notebook in dem anderen Netz, das ich immer noch auf Dienste in dem 192.168.0.0/24 Netz zugreifen kann.
z.b. Ich habe auf 192.168.0.250 einen Weboberfläche mit der meine Internetverbindung (ISDN) steuern kann.
Und 192.168.0.252 (mein Fileserver) exportiert per NFS Verzeichnisse, die kann ich allerdings auch nicht mehr mounten wenn ich in dem 192.168.1.0/24 Netz bin,

[basman]

Wie kann ich es eigentlich realisieren, wenn das Notebook in dem anderen Netz, das ich immer noch auf Dienste in dem 192.168.0.0/24 Netz zugreifen kann.
z.b. Ich habe auf 192.168.0.250 einen Weboberfläche mit der meine Internetverbindung (ISDN) steuern kann.
Und 192.168.0.252 (mein Fileserver) exportiert per NFS Verzeichnisse, die kann ich allerdings auch nicht mehr mounten wenn ich in dem 192.168.1.0/24 Netz bin,

Du solltest auf dem NFS-Server die neue VPN-IP des Laptops (10.x.x.x) als zugelassen eintragen. Ansonsten sollte es eigentlich soweit gehen. Prüfe bei Problemen entweder mit zusätzlichen LOG-Rules oder per iptables-save -c, ob die Regeln zu streng sind.

Der Linux-Router muss die Zugriffe aus dem VPN-Netz ins LAN natürlich erlauben.

[darkiop]

Irgendetwas muss mit den iptables auf dem Notebook noch nicht stimmen, denn wenn die geladen sind kann ich nicht mehr die vpn ip des Routers (10.4.0.1) pingen. Pings in das 192.168.1.0/24 Netz kommen an.

Hier sind die Regeln:

Code: Alles auswählen

# clear all tables
iptables -t nat -F
iptables -t filter -F
iptables -X

# default policy
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# accept established connections
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# accept icmp
iptables -A OUTPUT -p ICMP --icmp-type echo-request -j ACCEPT

# accept vpn traffic Router --> Notebook
iptables -A INPUT -i eth0 -p udp -m udp -s 192.168.1.253 -d 192.168.1.10 --dport 5000 -j ACCEPT

# accept vpn traffix Notebook --> Router
iptables -A OUTPUT -p udp -m udp -s 192.168.1.10 -d 192.168.1.253 --dport 5000 -j ACCEPT

# accept dhcp
iptables -A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 68 --dport 67  -j ACCEPT

# openvpn rules
iptables -A INPUT -i tap0 -p udp -m udp -s 192.168.1.250 -d 192.168.1.10 -j ACCEPT
iptables -A INPUT -i tap0 -p udp -m udp -s 192.168.1.253 -d 192.168.1.10 -j ACCEPT
iptables -A INPUT -i tap0 -p tcp -m tcp -s 192.168.1.250 -d 192.168.1.10 -j ACCEPT
iptables -A INPUT -i tap0 -p tcp -m tcp -s 192.168.1.253 -d 192.168.1.10 -j ACCEPT
iptables -A OUTPUT -o tap0 -p tcp -m tcp -s 0/0 -d 0/0 -j ACCEPT
iptables -A OUTPUT -o tap0 -p udp -m udp -s 0/0 -d 0/0 -j ACCEPT

[basman]

Bitte erspare mir solche langwierigen Untersuchungen. Sorry, dass ich das so deutlich sage. Die Untersuchung ist doch reicht einfach:

1. Auf dem Zielhost mit tcpdump untersuchen, ob die Ping-Anfragen wenigstens ankommen und ob Antworten losgeschickt werden.
2. Mit Hilfe von iptables LOG-Regeln feststellen, in welcher Chain und Table es genau hakt.

Wenn Du zu diesen Methoden Fragen hast, kümmere ich mich gerne darum. Aber immer wieder dieselbe Art von Frage "Es geht nicht" zermürbt meine Hilfsbereitschaft. Ich finde das ganze Projekt sehr interessant, weil es darum geht, ein WLAN möglichst sicher abzuschirmen. Das Konzept dazu zu erstellen machte total Spass. Die momentanen Probleme jedoch sind Krümel, die lokal bei Dir in wenigen Minuten beseitigt werden können. Mich mit dem Kopf jedes Mal in ein immer länger werdendes Iptables-Skript reinzudenken ist irgendwie mühsam.

[darkiop]

Ok, du hast wohl recht. Ich sollte mich mehr mit tcpdump und Co beschäftigen. Werde ich auch machen und dann Bericht abgeben wenn ich etwas gefunden habe

Ich glaube wenn das alles mal funktioniert werde ich daraus ein kleines Howto schreiben.