• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Wlan + OpenVPN + authpf + pppoe -> vpn trennung sobald pppoe up

narozk

Well-Known Member
Themenstarter #1
hallo,

hier enden meine bescheidenen kentnisse und hoffe, dass jemand eine erklärung hat.

1. der server soll als AP dienen - funktioniert
AP verbindung über OpenVPN als bridge + authpf - funktioniert
2. der server soll als gateway für internes- und wlan-netz dienen.
funktioniert auch.

aber sobald pppoe durch "/usr/sbin/ppp -ddial pppoe" up ist oder besser gesagt, dadurch tun1 eine "DSL-IP" erhält, wird die vpn verbindung getrennt, und ich kann nicht mehr connecten
das ist das problem, worum es geht. seltsam ist auch, dass ich auf den vpn server nur verbinden kann, wenn dieser auf tun0 läuft. tun1/tun2.. will nicht.

was stellt pppoe beim verbinden/beziehen der "DSL-IP" an? ist das überhaupt der übeltäter?


konstellation:

xl0: 192.168.0.254 (internes netz)
xl1: dsl-modem anbindung
ral0: 192.168.100.254 (wlan netz)
tun0: ich kann mit einem win-client nur connecten, wenn vpn tun0 hat - warum auch immer...
bridge0: bridge zwischen xl0 und tun0


/etc/hostname.tun0
/etc/bridgename.bridge0
add xl0
add tun0
up
/etc/openvpn/server.conf
daemon openvpn
writepid /var/openvpn/pid
status /var/openvpn/status 10
local 192.168.100.254
port 1194
proto udp
dev tun0
dev-type tap
client-to-client
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
server-bridge 192.168.0.254 255.255.255.0 192.168.0.100 192.168.0.200
ifconfig-pool-persist /var/openvpn/ipp.txt
#push "redirect-gateway local def1"
keepalive 10 120
tls-auth /etc/openvpn/keys/ta.key 0
cipher BF-CBC # Blowfish (default)
max-clients 5
user _openvpn
group _openvpn
persist-key
persist-tun
verb 8
mute 20
/etc/pf.conf
# macros
ext_if = "tun1"
int_if = "xl0"
wlan_if = "ral0"
vpn_if = "tun0"
tcp_flags = "flags S/SA keep state"

# abusers table
table <abusers> persist
# authpf table
table <authpf_users> persist

# normalization
scrub in all

# nat
nat on $ext_if from !($ext_if) -> ($ext_if:0)
#nat on egress from !(egress) -> (egress)

# authpf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
anchor "authpf/*"

# alles blocken
block log all
# hunde muessen draussen bleiben
block log quick from <abusers>

# packete ins internet erlauben
pass out on $ext_if proto tcp all flags S/SA modulate state
pass out on $ext_if proto { udp, icmp } all keep state
# wlan interface (ssh beschränken)
pass in quick on $wlan_if proto tcp to ($wlan_if) port ssh $tcp_flags (max-src-conn 10, max-src-conn
-rate 15/5, overload <abusers> flush global)

# kabel-lan, vpn und loopback duerfen alles
pass quick on { lo, $int_if, $vpn_if }

# antispoof fuer alle interfaces
antispoof quick for { lo, $int_if, $wlan_if, $vpn_if }
/etc/authpf/authpf.rules
# macros
wlan_if = ral0

# authentifizierte hosts duerfen auf openvpn daemon connecten
pass in quick on $wlan_if proto udp from $user_ip to ($wlan_if) port 1194 keep state

auth-benutzer
dj:XXXXX:1001:1001:authpf:0:0:dj:/home/dj:/usr/sbin/authpf
/etc/ssh/sshd_config
AllowUsers admin dj
/etc/sysctl.conf
net.inet.ip.forwarding=1
 
Zuletzt bearbeitet:

narozk

Well-Known Member
Themenstarter #3
hat sich erledigt, das problem ist durch linkup -> pf reload enstanden. es ist egal ob vpn vor oder nach pppoe gestartet wird und es ist auch egal ob vpn tun1 oder tunx ist..