Wlan mit OpenVPN schützen

Cpt_McLane · Post by **Cpt_McLane** » Tue Nov 01, 2005 7:07 am

moin,

wie aus vorigem Beitrag ersichtlich funktioniert mein VPN über das WLAN nun. Ich bin bis auf ein paar Abweichungen strikt nach dem Howto vorgegangen, hab nur meine systemspezifischen Angaben (die Netzwerkkarten und IP-Adressen geändert, kein DHCP genutzt) angepasst. Dennoch bin ich auf ein paar Probleme gestoßen. Hier meine Lösungen:

Beim Erstellten der Zertifikate unbedingt alle Angaben ausfüllen, sonst steigt openssl mit einer Warnung aus und erstellt zwar die Dateien, aber mit leerem Inhalt
Beim Erstellen der Zertifikate kommt Fehlermeldung, dass index.txt nicht gefunden wurde
Dies lässt sich beheben, indem einfach die Datei erstellt wird:
Code: Select all
```
touch index.txt
```
Beim Erstellen der Zertifikate kommt Fehlermeldung, dass serial nicht gelesen werden kann.
diese Datei muss mit Inhalt 02 erstellt werden:
Code: Select all
```
echo "02" > serial
```
Beim Erstellen des Clientzertifikats schimpft openssl dann, dass es mit dem inhalt der index.txt nichts anfangen kann. also wieder löschen und leer neu anlegen. (Anmerkung: Ich bin in Sachen openssl und ssl allgemein sehr unerfahren, wenn jmd. weiß was openssl mir hier sagen wollte, bin ich sehr dankbar. Da es aber funktioniert mache ich mir erstmal keinen Kopf drum )
Code: Select all
```
rm index.txt
touch index.txt
```
OpenVPN Client kann nicht zum Server verbinden.
Mittlerweile hat OpenVPN einen offiziellen Port zugewiesen gekriegt, der nun auch standardmäßig verwendet wird. In der Client Konfiguration muss hinter der IP des OpenVPN Server der Port 5000 durch 1194 ersetzt werden. Dies sollte dann dementsprechend auch im IPTables Script erledigt werden.
Erweiterungsvorschlag: Der Server hinter dem AP ist ja nun durch iptables "abgedichtet" allerdings sind die Clients im WLAN noch offen.
Hier kann ebenfalls fast aller Verkehr über das normale Interface abgewiesen werden:
Code: Select all
```
iptables -t filter -A INPUT --protocol udp --sport 1194 -j ACCEPT -i eth1 # eth1 ist das Interface an dem der AP hängt
iptables -t filter -A INPUT -j REJECT -i eth1 #oder -j DROP, je nach Geschmack
/etc/init.d/iptables save 
```

Das waren nun allesamt die Probleme mit denen ich gekämpft habe und wie ich sie behoben habe. Ob irgendein Vorgehen an dieser Stelle grundsätzlich falsch war weiß ich nicht.

MfG McLane

LL0rd · Post by **LL0rd** » Wed Nov 02, 2005 2:26 pm

Hi,

deshalb habe ich ja auch gesagt, dass das TUN/TAP modul fehlt

Nun habe ich jetzt aber auch ein Problem mit VPN, bzw. mit dem Routing. Ich habe bei mir auf dem Laptop derzeit Windows XP. Ich würde gerne eine Verbindung vom Uni Netz zu mir nach Hause herstellen. Nur leider funktioniert das nicht richtig.

Die OpenVPN Verbindung soll so laufen.

WLAN Karte -> offenes WLAN -> (Cisco IPsec) VPN ins Internet -> OpenVPN nach Hause

Über das VPN nach Hause will ich nur auf die Rechner zugreifen, nicht online gehen. Die Verbindung zum OpenVPN Server wird aufgebaut, nur kann ich leider auf die Rechner zu Hause nicht zugreifen. Das Netzwerkinterface ist gestartet und hat sich sogar die IP vom DHCP besorgt. Die Rechner sind einfach nicht pingbar. Gehe ich aber einen anderen Weg:

WLAN Karte -> offenes WLAN (WebAuth) -> OpenVPN nach Hause

Dann kann ich normal auf das Netz zugreifen. Nur leider ist der Traffic zum AP nicht verschlüsselt und das sollte schon sein. Was kann / muss ich denn jetzt machen, damit ich auf das VPN Netz zugreifen kann? Ich vermute, es liegt an der Routing Tabelle. Die sieht nämlich so aus, als hätte da eine Bombe eingeschlagen:

Code: Select all

===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0c f1 11 aa df ...... Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adap
er - Paketplaner-Miniport
0x3 ...00 0f b5 23 b3 4e ...... NETGEAR 108 Mbps Wireless PC Card WG511T - Pake
planer-Miniport
0x4 ...00 00 f0 7e f2 a2 ...... Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -
Paketplaner-Miniport
0x5 ...00 ff b0 74 62 d0 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x20007 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Paketplaner-Min
port
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.1.0.1       10.1.0.30       30
          0.0.0.0          0.0.0.0    129.13.78.243   129.13.78.243       1
          0.0.0.0          0.0.0.0   193.196.44.254  193.196.44.220       25
         10.0.0.0        255.0.0.0        10.1.0.30       10.1.0.30       30
         10.0.0.0        255.0.0.0   193.196.44.254  193.196.44.220       1
        10.1.0.30  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255        10.1.0.30       10.1.0.30       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       129.13.0.0      255.255.0.0    129.13.78.243   129.13.78.243       25
      129.13.72.1  255.255.255.255   193.196.44.254  193.196.44.220       1
    129.13.78.243  255.255.255.255        127.0.0.1       127.0.0.1       25
     129.13.239.0    255.255.255.0   193.196.44.254  193.196.44.220       1
     129.13.240.0    255.255.248.0   193.196.44.254  193.196.44.220       1
   129.13.255.255  255.255.255.255    129.13.78.243   129.13.78.243       25
      172.21.12.0    255.255.252.0   193.196.44.254  193.196.44.220       1
    172.21.64.246  255.255.255.255   193.196.44.254  193.196.44.220       1
   193.196.44.128  255.255.255.128   193.196.44.220  193.196.44.220       25
   193.196.44.128  255.255.255.128    129.13.78.243   129.13.78.243       1
   193.196.44.220  255.255.255.255        127.0.0.1       127.0.0.1       25
   193.196.44.254  255.255.255.255   193.196.44.220  193.196.44.220       1
   193.196.44.255  255.255.255.255   193.196.44.220  193.196.44.220       25
        224.0.0.0        240.0.0.0        10.1.0.30       10.1.0.30       30
        224.0.0.0        240.0.0.0    129.13.78.243   129.13.78.243       25
        224.0.0.0        240.0.0.0   193.196.44.220  193.196.44.220       25
  255.255.255.255  255.255.255.255        10.1.0.30               2       1
  255.255.255.255  255.255.255.255        10.1.0.30       10.1.0.30       1
  255.255.255.255  255.255.255.255        10.1.0.30               4       1
  255.255.255.255  255.255.255.255    129.13.78.243   129.13.78.243       1
  255.255.255.255  255.255.255.255   193.196.44.220  193.196.44.220       1
Standardgateway:     129.13.78.243
===========================================================================
Ständige Routen:
  Keine

WLAN Karte: 193.196.44.220
IPSec VPN: 129.13.78.243
Interne IP des Notebooks im VPN Netz: 10.1.0.30
Interne IP des VPN Servers im VPN Netz: 10.1.0.1
Das Netz hat IP Adressen aus dem Bereich 10.0.0.x

Anarcho · Post by **Anarcho** » Sun Nov 06, 2005 12:26 pm

Für die Einwahl von ausserhalb würde ich eine etwas andere OpenVPN Konfiguration nehmen. Dieses HowTO ist speziell für den Internetzugang über VPN gedacht.

Ich würde ein 2. VPN laufen lassen auf einem anderen Port der nach aussen offen ist und natürlich auch ein anderes Subnetz verwendet.
Die dhcp config würde ich so anpassen das über dieses netzwerk kein standardgateway verwendet wird aber openvpn eine route für das interne Netzwerk pushed.

LL0rd · Post by **LL0rd** » Mon Nov 07, 2005 8:46 am

ok, gesagt, getan. Aber es geht trotzdem irgendwie nicht. Windows scheint die Route irgendwie durcheinander zu bringen. Ich habe jetzt im DHCPD einfach das Standartgateway gekillt und einen zweiten VPN Daemon gestartet, der auf einem anderen Port lauscht und ein anderes IP Netz ist. Nur leider habe ich da das gleiche Problem. Authe ich mich am Web Server, so kann ich problemlos die VPN Verbindung herstellen. Wenn ich nun aber das ganze über die VPN Verbindung versuche, bekomme ich zwar noch die IP Adresse vom DHCP Server, aber das wars auch schon.

Genau das gleiche habe ich auch, wenn ich mich mit dem VPN Server des Unternehmens verbinden will, bei dem ich arbeite (IPSec).

BTW. Ich dachte, dass es daran liegt, dass er nicht das VPN Gateway nimmt, sondern direlt über die WLAN Karte rausgehen will, aber das ist auch nicht der fall. Ich habe sowohl den Tunnel aufgebaut, als mich auch übers WEB Authentifiziert. Same...

eGore911 · Post by **eGore911** » Fri Dec 07, 2007 6:42 pm

Folgendes wäre besser:
/etc/conf.d/net

Code: Select all

ifconfig_tap0=( "dhcp" )
depend_tap0() {
        need openvpn
}

und dann:

Code: Select all

cd /etc/init.d
ln -s net.lo net.tap0
rc-update add net.tap0 default

Treborius · Post by **Treborius** » Tue Sep 27, 2011 6:55 am

ich stehe gerade völlig auf dem schlauch,

bei mir sieht das setup ein wenig anders aus, meine gentoo box fungiert schon als wlan router

ich habe also
eth0 ==> WAN
ath0 ==> WLAN
eth0 <==> ath0

vor kurzem habe ich openvpn eingerichtet um ein paar services die auf eth0 laufen zu verschlüsseln
(ssh und svn verbindungen)

openvpn lauscht dabei nur auf verbindungen auf eth0

nach dem lesen dieses tutorials würde nun gerne auch sämtlichen wlan0 verkehr über openvpn laufen lassen,
kann mir aber nichtmal die netzwerkarchitektur so richtig vorstellen

ath0 hat immer eine statische ip,
wlan-verbindungen werden per hostapd (WPA2) verteilt,
dhcpd vergibt dann im wlan die ips

meine gedanken waren nun folgende :
jeglichen traffic auf ath0 blocken, und nur verbindungen auf dem openvpn port zulassen,
dann das routing nichtmehr auf ath0 sondern auf tun0 umlenken

kann ich mir dann eigentlich den dhcpd irgendwie sparen?
(eigentlich ja nicht, ich brauch ja erstmal ne ip um eine openvpn verbindung zu bekommen)

würde das so funktionieren? oder denke ich gerade in die völlig falsche richtung?

edit : warum ich das machen möchte ist folgendes :

der router hat nur 500MHz und stösst dabei manchmal an seine grenzen wenn ich zB scp zum filetransfer verwende
vpn verbindungen kann ich aber imho über die geode-aes-engine in hardware verschlüsseln

LL0rd · Post by **LL0rd** » Tue Sep 27, 2011 9:28 am

Hi,

im Grunde hast du schon recht mit dem, was du da geschrieben hast. Allerdings habe ich das Gefühl, dass du die Interfaces etwas durcheinander wirfst. Deshalb mal eine kurze Erklärung. In dem Accesspoint (oder Router) hast du drei wichtige Netzwerkkarten. Einmal ist es die WLAN Karte, die WAN Verbindung zur Außenwelt und das VPN Interface.

Das Setup sagt jetzt folgendes:
Ein Client verbindet sich nun ohne eine Authentifizierung zum AP. Das ist auch in Ordnung so, jedoch darf er ausschließlich auf den VPN Server zugreifen. Deshalb werden alle Ports auf dem WLAN Interface gesperrt, außer dem Port für die VPN Verbindung und DHCP.

Hat ein Client sich jedoch auf dem VPN Server authentifiziert, so kann der Client das AP nicht nur über den WLAN Adapter erreichen, sondern ZUSÄTZLICH auch über das VPN Interface. Deshalb richtet man hier in der Regel auch ein Routing ein, dass der Client z.B. ins Internet gelangen kann. Das richtet man auf dem AP VPN Interface ein.

Wieso du dir den DHCP sparen möchtest, verstehe ich nicht so ganz. Der DHCP bringt Komfort. Was die geode-aes-engine betrifft, so kann ich dir da nicht wirklich helfen. Ich habe leider keine großen Erfahrungen mit Hardware-Verschlüsselungskarten.

Treborius · Post by **Treborius** » Tue Sep 27, 2011 12:22 pm

LL0rd wrote: Wieso du dir den DHCP sparen möchtest, verstehe ich nicht so ganz. Der DHCP bringt Komfort. Was die geode-aes-engine betrifft, so kann ich dir da nicht wirklich helfen. Ich habe leider keine großen Erfahrungen mit Hardware-Verschlüsselungskarten.

war blödsinn was ich geschrieben habe, hab nur mal wieder was durcheinander geworfen

- dhcpcd läuft dann auf eth0 und holt ip vom modem ( als client)
- dhcpd läuft dann auf ath0 und vergibt ips für (als server für die clients im wlan)
- der interne dhcp von openvpn vergibt dann die ips für die clients im vpn

ich muss mir das mal aufmalen, aber danke,

hab ich am wochenende was vor

edit :
kann ich nach diesem setup dann nicht sogar WPA2 und sogar WEP völlig weglassen?
kann mir ja egal sein wer sich aus meiner näheren umgebung dann im WLAN anmeldet

er hat ja nur zugriff auf den VPN port

LL0rd · Post by **LL0rd** » Fri Sep 30, 2011 1:13 pm

Treborius wrote: kann ich nach diesem setup dann nicht sogar WPA2 und sogar WEP völlig weglassen?
kann mir ja egal sein wer sich aus meiner näheren umgebung dann im WLAN anmeldet

er hat ja nur zugriff auf den VPN port

Sorry, hab dein Edit jetzt erst gesehen.
Also WEP ist ja volle Kanne für die Tonne, ob du auf WPA(2) verzichten kannst, kannst du nur selbst beurteilen, denn es kommt darauf an, was du schützen möchtest.

Ich möchte es dir mal verdeutlichen.
Ich habe an meinem WLAN "normale" Rechner angeschlossen, Smartphones, WLAN Kameras, Drucker, die PS3 und meinen Fernseher. Einige der Geräte möchten nur ins Internet gehen oder auf "unwichtige" Ressourcen des Netzwerks zugreifen. Was ich gemacht habe ist, dass ich das WLAN WPA2 verschlüsselt habe. Hat man die WPA2 Barriere überwunden, dann bekommt man Zugriff auf das Internet + auf die NAS mit Filmen, MP3 Files, etc. Die Rechner sind dan per Client Separation voneinander getrennt. Hat man sich zusätzlich per VPN authentifiziert, so hat man zusätzlich noch den Zugriff auf den Fileserver mit wichtigen Daten sowie auf die anderen Rechner.