Wie WLAN mit OpenVPN absichern?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
moooB schrieb:
das heisst das ganze geht nur mit iptables?
das soll doch im aktuellen ds mod noch nicht so stabil laufen, oder?
Zum Vergrößern anklicken....
Da ging es nur um ein spezielles Modul, dem "ipconntrack". Dies macht anscheinend Ärger, aber auch nciht mit allen Geräten.

Und dies ist in den regeln oben nicht mit drin. Somit sollte das eigentlich funktionieren.
 
hi,

danke für diese auskunft.

nun frag ich mich ob ich nochmal mit dem vorhandenen ds mod ein image basteln werde mit iptables oder auf den neuen mod warte. gibt es da eine auskunft wann mit dem neuen mod zu rechnen ist?

lg
 
Standardmässig ist die Antwort hier:

:done:
 
;)

net schlecht.
 
moin,

hab mir nun die ganze nacht um die ohren geschlagen und bin keinen meter weiter.
hab mal ein neues image gebastelt auf der basis vom 29.04.37 mit ds mod.
reingepackt habe ich firewall, proxy, openvpn, dropbear.

dann habe ich meine alte konfig zurückgehholt. alles dirn ausser die sachen für firewall.
dort ist openvpn als tap konfiguriert. wenn ich auf tun ändern wollte ist mir die fb so um die ohrengeflogen das ich nicht mehr drauf gekommen bin, ping auch nicht mehr möglich.
die firewall hatte ich zwar enabled aber nichts konfiguriert.
ab da half nur noch recoverytool und alles wieder von vorne. ich verzweifel noch.
jetzt hab ich wieder die original firmware von avm drauf um hier schreiben zu können.
die aufgabenstellung ist wie beim threadersteller, wlan per vpn absichern. wie mache ich das am sinnvollsten? wlan ein anderes ip netz als das kabelgebundene netz? ip im wlan/vpn per dhcp oder doch fix (fix wäre mir lieber)?
welche pakete von iptables brauche ich dazu? welche pakete von openvpn?
bislang war es mir nur möglich per festen keys vpn zum laufen zu bekommen, bei den zertifikaten sagte er immer das dies mit der aktuellen sicherheitskonfig nicht möglich wäre das zu konfigurieren.
gibt es dafür keine anleitung für einen linux anfänger? netzwerk, routing, vlan, wlan kenne ich mich sehr gut aus, nur auf der linux schiene bin ich eben kein profi. verwirrend sind eben auch die vielen interfaces in der ar7.cfg gewesen. eth0, eth0:0, wlan, lan, usw
welches da welches ist lässt sich nur anhand der im gui erstellten ip erahnen. manche haben da aber ip`s die ich mir eben nicht erklären konnte.
bitte helft mir. ich mag nicht noch eine nacht durchmachen. meine freundin erschlägt mich sonst noch vor weihnachten :(

lg
 
Es ist schon ziemlich lange her, aber ich hatte auch mal so ein Setup: WLAN Clients in einem eigenen Netz, ohne WLAN Verschlüsselung, einziger erreichbarerer Service OpenVPN.
Soweit ich mich erinnern kann, habe ich das damals aber nicht mit iptables gemacht, sondern mit den Fritz!Box spezifischen Tricks: zum einen muss man die Einstellung "alle Computer befinden sich im selben Netzwerk" deaktivieren und für das WLAN Netzwerk einen eigenen Adressebreich vergeben. Dazu muss man dann noch manuell in der ar7.cfg das WLAN Netz aus der Brücke raus nehmen, damit das Netz von den anderen getrennt bleibt. Wie das geht steht hier irgendwo im Forum, musst Du halt ein bisschen suchen.

Wenn Du alles zusammengesucht hast, wäre es sicher schick, die gewonnen Einsichten im Wiki zu verewigen. Schande auf mein Haupt, dass ich das damals versäumt habe.

Viel Spaß und gutes Gelingen!
 
Ich habe bei mir auch ein WLAN ohne Verschluesselung und openvpn drueber konfiguriert.
Damit nicht andere Leute mitsurfen koennen habe ich in der
/var/flash/ar7.cfg unter

ar7cfg -> dslifaces -> dsldpconfig -> highoutput

folgende Zeilen eingefügt:

--snip--
"permit ip 192.168.178.0 255.255.255.0 192.168.178.0 255.255.255.0",
"deny ip 192.168.178.0 255.255.255.0 any",
--snip--

wobei 192.168.178.0/24 mein WLAN ist. Somit kommt keiner ohne den Tunnel aus dem WLAN raus.
 
dbloms schrieb:
Somit kommt keiner ohne den Tunnel aus dem WLAN raus.
Zum Vergrößern anklicken....
...aber man gelangt ggf. in die anderen Netze, also z.B. Dein LAN, wenn ich micht nicht irre.

Wenn man statt dessen das WLAN Device komplett aus der Bridge nimmt, so wie ich es schon weiter oben vorgeschlagen habe, ist eine weitere Filterung gar nicht mehr notwenig.

Wie das geht kann man alles an verschiedenen Stellen in diesem Forum nachlesen, aber es geht im Wesentlichen um den folgenden Bereich in der ar7.cfg
Code: 
        brinterfaces {
...
                interfaces = "eth0", "usbrndis", [B]"tiwlan0"[/B], "wdsup0",
                             "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";

Original Beitrag von haveaniceday: http://www.ip-phone-forum.de/showpost.php?p=333882

P.S.: Ich hab Dir geholfen und jetzt hilf' Du wem anders: schreib's doch bitte ins Wiki, dann muss nicht alles immer wieder neu gefragt und erklärt werden.
 
Hi Leute,

So, mein VPN läuft mit Certifikaten usw.
Nur wie stelle ich jetzt die Firewall (iptables) ein, dass der Zugriff per WLAN in alle Netze (LAN, WAN) nur über VPN geht?

Ich habe hier im Forum schon gesucht und auch das eine oder andere gefunden, doch schlau werd ich nicht.

Könnte mir mal jmd. ein paar iptables rules posten?

Meine Fritz!Box hat folgende IP-Adressen.
LAN:
IP-Adresse: 10.10.1.254 ,Subnetzmaske: 255.255.255.0, DHCP deaktiviert

WLAN:
IP-Adresse: 10.10.2.254, Subnetzmaske: 255.255.255.0, DHCP aktiviert

Gruß
dr. snuggles

EDIT: Wenn ich im DS-Mod Webinterface die Firewall starte, in der Hosts und Whitelist alle IP Adressen meiner Computer eintrage geht nix mehr. Ich komm einfach nicht mehr in Internet, der Browser findet zwar noch die Seite aber er läd sich zu tode ohne etwas anzuzeigen.
 
Zuletzt bearbeitet:
Wieso machst Du nicht einfach, was Knox sagt? Dann kannst Du auf Iptables verzichten. Es ist doch immer besser, mit Bordmitteln zu arbeiten, wenn möglich, und sich die Installation eines großen und instabilen Pakets zu ersparen.
 
Silent-Tears schrieb:
Das Urteil ist rechtskräftig und besagt somit: Wer es nicht tut, selber schuld. [...] Ich warte nur drauf, bis dieses Urteil entsprechend Bundesweit bestätigt wird.
Zum Vergrößern anklicken....

Heute wurde ein neues Urteil bekannt, nach dem der Inhaber eines Internet-Anschlusses mitnichten zwingend haftet für die über seinen Anschluss (angeblich) begangenen Straftaten.

heise.de schrieb:
Ein DSL-Anschlussinhaber kann nicht ohne Weiteres für Urheberrechtsverletzungen haftbar gemacht werden [...]. Dies hat das Oberlandesgericht (OLG) Frankfurt in einem rechtskräftigen Berufungsurteil (Az. 11 W 58/07, PDF) vom 20. Dezember 2007 entschieden. Die sogenannte Störerhaftung komme nur in Betracht, wenn der Anschlussinhaber Prüfungspflichten verletze [...].

Im Vergleich zu anderen Urteilen, etwa des Landgerichts Hamburg, zu dieser Thematik drehten die Frankfurter OLG-Richter de facto die Beweislast um: Es lasse sich [...] nicht feststellen, dass der Beklagte das verbotene Filesharing selbst vorgenommen habe.

Dreh- und Angelpunkt in der Argumentation der Richter sind die Prüfungspflichten des Anschlussinhabers. Nach Ansicht des OLG-Senats hat der Beklagte nicht bereits deshalb Anlass zur Überwachung des DSL-Zugangs, weil Urheberrechtsverletzungen im Internet häufig vorkommen und darüber in den Medien umfangreich berichtet wird. Vielmehr muss er dritte Personen nur dann instruieren und überwachen, wenn er konkrete Anhaltspunkte dafür hat, dass die Nutzer den Anschluss zu Rechtsverletzungen missbrauchen könnten. Solche Anhaltspunkte bestehen den Richtern zufolge grundsätzlich nicht, solange keine früheren Verletzungen dieser Art oder andere Hinweise auf eine Verletzungsabsicht bekannt sind. [...]

Die sogenannte Störerhaftung komme aber nur in Betracht, wenn der Anschlussinhaber in irgendeiner Weise willentlich und adäquat kausal zur Rechtverletzung beitrage. So lange der Anschlussinhaber wie im konkreten Fall seine Prüfungspflichten nicht verletzt habe, würde die Störerhaftung durch eine Unterlassungsverfügung in nicht hinnehmbarer Weise auf Dritte erstreckt.
Zum Vergrößern anklicken....
Quelle: http://www.heise.de/newsticker/meldung/101484

Damit wird erstmals durch ein rechtskräftiges Urteil die Analyse des Juristen Andreas Gietl bestätigt, wonach die vor allem von der Verwertungsindustrie zur Einschüchterung ins Feld geführte Mitstörerhaftung keinesfalls zutreffend ist.

@Mods:
Es tut mir leid, dass ich hier offtopic poste, aber die vorrauseilende Gehorsam von Kollege Silent-Tears wollte ich auf keinen Fall unwidersprochen stehen lassen. Ich danke für Eure Nachsicht!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 138 (Mitglieder: 8, Gäste: 130)

Neueste Beiträge

Statistik des Forums

Themen
245,001
Beiträge
2,222,468
Mitglieder
371,775
Neuestes Mitglied
Maximilian92
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück