dark_angel
Well-Known Member
Hallo allezusammen,
habe mir durch den Kauf eines Laptops ein WLAN angeschafft.
Dieses WLAN soll auch für kommende Freunde schnell zugänglich sein (also keinen Schlüsselaustausch für die Verschlüsselung usw.). Dazu habe ich den Accesspoint an meinen Homeserver angeschlossen und auf dem Accesspoint die Verschlüsselung abgeschaltet. Nur die SSID ist noch versteckt.
Mein Vorhaben läuft nun so:
1.) Laptop geht in mein WLAN rein und bekommt vom Accesspoint per DHCP eine IP zugewiesen.
2.) Laptop verbindet sich zu einem PPP Dienst auf meinem Server und bekommt zugang zu meinem LAN. Diese Verbindung ist wiederum verschlüsselt.
Das Verfahren läuft auch soweit sehr gut, jedoch stellt mein Server auch noch ein VPN zur Verfügung und auf dessem virtuellen NIC soll der Laptop nicht zugreifen können (da laufen ein paar Dienste drüber, die nur übers VPN zugänglich sein sollen).
Ich habe mir schon PF zu gemüte geführt, nur ich bin nicht fähig PF zu sagen, dass ich Verbindungen zum und vom VPN Device (tap0) nur vom VPN Netz (10.8.0.0/24) zulassen will.
Sowas wie
will nicht laufen. Mit der Regel kann ich trotzdem tap0 anpingen, wenn ich mich über PPP eingewählt habe.
Hier nochmal meine pf.conf, so wie sie aktuell ausschaut:
und zur Vollständigkeit meine rc.conf
habe mir durch den Kauf eines Laptops ein WLAN angeschafft.
Dieses WLAN soll auch für kommende Freunde schnell zugänglich sein (also keinen Schlüsselaustausch für die Verschlüsselung usw.). Dazu habe ich den Accesspoint an meinen Homeserver angeschlossen und auf dem Accesspoint die Verschlüsselung abgeschaltet. Nur die SSID ist noch versteckt.
Mein Vorhaben läuft nun so:
1.) Laptop geht in mein WLAN rein und bekommt vom Accesspoint per DHCP eine IP zugewiesen.
2.) Laptop verbindet sich zu einem PPP Dienst auf meinem Server und bekommt zugang zu meinem LAN. Diese Verbindung ist wiederum verschlüsselt.
Das Verfahren läuft auch soweit sehr gut, jedoch stellt mein Server auch noch ein VPN zur Verfügung und auf dessem virtuellen NIC soll der Laptop nicht zugreifen können (da laufen ein paar Dienste drüber, die nur übers VPN zugänglich sein sollen).
Ich habe mir schon PF zu gemüte geführt, nur ich bin nicht fähig PF zu sagen, dass ich Verbindungen zum und vom VPN Device (tap0) nur vom VPN Netz (10.8.0.0/24) zulassen will.
Sowas wie
Code:
pass in on $vpn_if from 10.8.0.0/24 to 10.8.0.0/24
pass out on $vpn_if from 10.8.0.0/24 to 10.8.0.0/24
Hier nochmal meine pf.conf, so wie sie aktuell ausschaut:
Code:
$ cat /etc/pf.conf
#devices
ext_if="ed0" <-- NIC, dass an dem AP angeschlossen ist
int_if="fxp0" <-- NIC, dass am LAN angeschlossen ist
vpn_if="tap0" <-- VPN NIC (virtuell)
lo_if="lo0" <-- das kennt jeder ^^
ppp0_if="ng0" <-- virtuelles PPP NIC
ppp1_if="ng1" <-- virtuelles PPP NIC
#block everything on ext_if
block in on $ext_if all
block out on $ext_if all
#pass internal devices
pass quick on $lo_if all
pass quick on $int_if all
pass quick on $vpn_if all
#allow PPP connections
pass in on $ext_if proto { tcp, udp } from any to $ext_if port 1723 keep state
pass out on $ext_if proto gre all keep state
und zur Vollständigkeit meine rc.conf
Code:
$ cat /etc/rc.conf
#Network settings
defaultrouter="192.168.0.1"
hostname="server"
ifconfig_fxp0="inet 192.168.0.3 netmask 255.255.255.0"
sshd_enable="YES"
#PPP settings
ifconfig_ed0="inet 192.168.2.2 netmask 255.255.255.0"
gateway_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
mpd_enable="YES"
named_enable="YES"
[...]