Hallo,
hier ein langer thread der sich auf der security-Liste entwickelt hat,
aus der Frage wie man einen "sicheren" default-route Tunnel
gleichzeitig mit Funkfeuer verwendet.
Ich fasse hier oben mal zusammen, alle Quellen hängen unten an, falls
ich was falsch zitiert habe, bitte korrigiert mich.
Architektur:
PC->WLAN->Router->Mesh->Inet->VPN-Server
Was Markus und mich ein wenig verwirrt hat,
dass auf dem (linux)-PC Routen von Funkfeuer auftauchen. Also entweder
läuft dort auch ein OLSR, oder wir haben die Frage nicht verstanden.
Weswegen wir diese Diskussion hier fortsetzen wollten, weil es
möglicherweise gut erklärt, was passiert wenn man Tunnel und Mesh auf
einem Device laufen lässt.
Wenn es sich um einen Tunnel handelt, der nur eine spezifische Route
dem PC oder dem lokalen Netz zuordnet, kein Problem.
Allerdings ein Tunnel mit einer Default-Route kann von ungenutzt bis
hängt das Mesh ab konfiguriert sein.
Warum?
Ist der Tunnel nur hinzugefügt, wird er nicht genutzt, weil "bessere"
Routen vorher wirken. Ist der Tunnel zu wichtig, saugt er alle Pakete
an, auch die vom Tunnel verkapselten Pakete, bzw. Pakete die nicht aus
dem Mesh raus sollten, weil es sonst nicht funktioniert.
Bitte flash, erklär doch mal Deinen Aufbau, vielleicht kommen wir
drauf, warum da Tunnelrouten in Deinem PC spuken.
bG
Matthias
Begin forwarded message:
From: Matthias Šubik <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 22:31:32 MESZ
To: flash <[email protected]>
Cc: "[email protected]" <[email protected]>
Wenn Du "flash" einverstanden bist,
nehme ich den thread auf die discuss-Liste rüber, und wir machen mal
ausführlich was von dem software strip alles in das routing
reinspielt, und was nicht.
Sollte eine ganz gute allgemeine Erklärung werden, wie routing
funktioniert, oder funktionieren kann.
bG
Matthias
On 30.04.2014, at 20:53, Markus Kittenberger wrote:
p.s. das ist eigentlich nicht wirklich gut auf der security liste
aufgehoben, zumindest das vorgelagerte olsrd/routing problem nicht
(besser
wär z.b. die discuss liste)
--
A: Yes.
Q: Are you sure?
A: Because it reverses the logical flow of conversation.
Q: Why is top posting annoying in email?
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: Markus Kittenberger <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 20:53:44 MESZ
To: flash <[email protected]>
Cc: "[email protected]" <[email protected]>
Also es geht um einen client, den ich hinter meinem Funkfeuer Router
habe.
Gut. Also hat der Client
1. nix mit olsr zu tun und
2. das Funkfeuer-Netz ist quasi der Carrier für den OpenVPN-Traffic
Also in deinem routing table sind übrigens sehr wohl olsrd routen
drin!
(sieht mir nach den Routen eines silent olsrd-tunnels von uns aus)
z.b. 193.238.159.100 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
und: 193.238.159.100 == vpn.tunnel.wien.funkfeuer.at.
Wenn du auf einem olsrd + zusätzlich eine eigene defaultroute haben
willst,
solltest du dir das gut überlegen, denn die default route darf nur für
deinen lokalen traffic gelten, und nicht für transit traffic des
funkfeuer
netzes!
In der praxis heisst das entweder policy routing, oder 2 router einer
für
olsrd und einer fürs "lan".
sehr, sehr aufschlussreich. danke.
und wlan geht nicht? ich errinnere mich, am openwrt auch schon mit
bridges
zutun gehabt zu haben und ein wlan gerät geadded zu haben.
*nichtmehr-errinner*
obwohl ausreichend "layer2" ist hängt davon welcher modi (adhoc,
station,ap, wds, etc.)
lg Markus
p.s. das ist eigentlich nicht wirklich gut auf der security liste
aufgehoben, zumindest das vorgelagerte olsrd/routing problem nicht
(besser
wär z.b. die discuss liste)
sph4re flash # netstat -rn
Kernel IP Routentabelle
Ziel Router Genmask Flags MSS Fenster
irtt
Iface
0.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
0
wlan1
0.0.0.0 193.238.156.230 0.0.0.0 UG 0 0
0
wlan1
10.9.8.0 10.9.8.5 255.255.255.0 UG 0 0
0
tun0
10.9.8.5 0.0.0.0 255.255.255.255 UH 0 0
0
tun0
78.41.115.128 193.238.156.230 255.255.255.128 UG 0 0
0
wlan1
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0
0 lo
128.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
0
wlan1
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0
0
eth1
193.238.156.107 193.238.156.230 255.255.255.255 UGH 0 0
0
wlan1
193.238.156.117 193.238.156.230 255.255.255.255 UGH 0 0
0
wlan1
193.238.156.148 193.238.156.230 255.255.255.255 UGH 0 0
0
wlan1
193.238.156.230 193.238.156.230 255.255.255.255 UGH 0 0
0
wlan1
193.238.157.0 193.238.156.230 255.255.255.128 UG 0 0
0
wlan1
193.238.158.54 193.238.156.230 255.255.255.255 UGH 0 0
0
wlan1
193.238.159.100 193.238.156.230 255.255.255.255 UGH 0 0
0
wlan1
sph4re flash # emerge --info
Portage 2.1.11.50 (default/linux/x86/13.0/desktop, gcc-4.5.3,
glibc-2.16.0, 2.6.39-gentoo-r3 i686)
=================================================================
System uname:
Linux-2.6.39-gentoo-r3-i686-Intel-R-_Atom-TM-_CPU_Z520_@_
1.33GHz-with-gentoo-2.2
KiB Mem: 2055952 total, 1418408 free
KiB Swap: 4358140 total, 4358140 free
Timestamp of tree: Mon, 07 Apr 2014 03:00:01 +0000
ld GNU ld (GNU Binutils) 2.23.1
distcc 3.1 i686-pc-linux-gnu [disabled]
app-shells/bash: 4.2_p42
dev-java/java-config: 2.1.12-r1
dev-lang/python: 2.4.6, 2.5.4-r5, 2.6.8-r1, 2.7.3-r3,
3.1.4-r3,
3.2.3-r2
dev-util/cmake: 2.8.10.2-r1
dev-util/pkgconfig: 0.28
sys-apps/baselayout: 2.2
sys-apps/openrc: 0.11.8
sys-apps/sandbox: 2.6
sys-devel/autoconf: 2.13, 2.69
sys-devel/automake: 1.11.6, 1.12.6, 1.13.1
sys-devel/binutils: 2.23.1
sys-devel/gcc: 4.5.3-r2, 4.6.3
sys-devel/gcc-config: 1.8
sys-devel/libtool: 2.4.2
sys-devel/make: 3.82-r4
sys-kernel/linux-headers: 3.7 (virtual/os-headers)
sys-libs/glibc: 2.16.0
Repositories: gentoo x-portage
ACCEPT_KEYWORDS="x86 ~x86"
ACCEPT_LICENSE="*"
CBUILD="i686-pc-linux-gnu"
CFLAGS="-O2 -pipe -march=native"
CHOST="i686-pc-linux-gnu"
CONFIG_PROTECT="/etc /usr/share/config /usr/share/gnupg/qualified.txt
/usr/share/polkit-1/actions /var/bind"
CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d
/etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release
/etc/revdep-rebuild
/etc/sandbox.d /etc/terminfo"
CXXFLAGS="-O2 -pipe -march=native"
DISTDIR="/usr/portage/distfiles"
FCFLAGS="-O2 -march=i686 -pipe"
FEATURES="assume-digests binpkg-logs config-protect-if-modified
distlocks
ebuild-locks fixlafiles merge-sync news parallel-fetch protect-owned
sandbox sfperms strict unknown-features-warn unmerge-logs
unmerge-orphans"
FFLAGS="-O2 -march=i686 -pipe"
GENTOO_MIRRORS="ftp://ftp-stud.hs-esslingen.de/pub/Mirrors/gentoo/";
LANG="de_DE"
LDFLAGS="-Wl,-O1 -Wl,--as-needed"
MAKEOPTS="-j1"
PKGDIR="/usr/portage/packages"
PORTAGE_CONFIGROOT="/"
PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times
--compress --force --whole-file --delete --stats --human-readable
--timeout=180 --exclude=/distfiles --exclude=/local
--exclude=/packages"
PORTAGE_TMPDIR="/var/tmp"
PORTDIR="/usr/portage"
PORTDIR_OVERLAY="/usr/local/portage"
SYNC="rsync://rsync.gentoo.org/gentoo-portage"
USE="=npp PolicyKit PyGTK X a52 aac acl acpi alsa apic apm arts
automount
avi bash-completition berkdb bluetooth branding bzip2 cairo cdaudio
cdda
cddb cdparanoia cdr cgi cli consolekit cracklib crypt cxx dbus dga
directfb
distcc divx dri dts dvd dvdr eap-sim emboss encode evdev exif fam
fbcon
ffmpeg firefox fla flac flash fortran ftp gdbm gif gimp gnome gphoto2
gpm
gsm gstreamer gtk gzip hal hddtemp iconv imagemagick imap imlib
injection
ios ipod ipv6 java jbig jpeg jpeg2 jpeg2k kaffeine kde keyboard lame
lash
lcms ldap libcaca libnotify libsamplerate libwww lm_sensors lzma lzo
mad
madwifi mdnsresponder-compat mikmod mmap mmx mng modplug modules
motif
mouse mozilla mp3 mp4 mpack mpeg mpg123 mplayer msr mtp musepack
ncurses
nforce2 nls nntp nptl nptlonly nvidia objc ogg opengl openmp osc oss
pam
pango pcmcia pcre pdf perl plasma pmu png policykit posix postgres
ppds
pulseaudio qt3support qt4 quicktime rdesktop readline recode samba
sdl
semantic-desktop session sid sim smp sndfile soap sockets sound speex
spell
sql sse sse2 ssl ssse3 startup-notification svg swf synaptics szip
tcl tcpd
theora threads tiff truetype udev udisks ui unicode upower usb
utempter v4l
v4l2 vcdinfo vme vorbis wavpack webkit wifi win32codecs wma wmf
wxwidgets
x264 x86 xcb xine xinerama xml xmlrpc xscreensaver xulrunner xv xvid
zeroconf zlib zsh-completion" ABI_X86="32" ALSA_CARDS="ali5451
als4000
atiixp atiixp-modem bt87x ca0106 cmipci emu10k1 emu10k1x ens1370
ens1371
es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident
usb-audio
via82xx via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core
socache_shmcb unixd actions alias auth_basic authn_alias authn_anon
authn_dbm authn_default authn_file authz_dbm authz_default
authz_groupfile
authz_host authz_owner authz_user autoindex cache cgi cgid dav dav_fs
dav_lock deflate dir disk_cache env expires ext_filter file_cache
filter
headers include info log_config logio mem_cache mime mime_magic
negotiation
rewrite setenvif speling status unique_id userdir usertrack
vhost_alias"
CALLIGRA_FEATURES="kexi words flow plan sheets stage tables krita
karbon
braindump author" CAMERAS="ptp2" COLLECTD_PLUGINS="df interface irq
load
memory rrdtool swap syslog" ELIBC="glibc" GPSD_PROTOCOLS="ashtech
aivdm
earthmate evermore fv18 garmin garmintxt gpsclock itrax mtk3301 nmea
ntrip
navcom oceanserver oldstyle oncore rtcm104v2 rtcm104v3 sirf
superstar2
timing tsip tripmate tnt ublox ubx" INPUT_DEVICES="synaptics evdev
fbdev
mouse keyboard penmount" KERNEL="linux" LCD_DEVICES="bayrad cfontz
cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text"
LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer"
LINGUAS="de" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-5"
PYTHON_SINGLE_TARGET="python2_7" PYTHON_TARGETS="python2_7 python3_3"
RUBY_TARGETS="ruby19 ruby20" USERLAND="GNU" VIDEO_CARDS="vesa vesafb
intel"
XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options ipset
ipp2p
iface geoip fuzzy condition tee tarpit sysrq steal rawnat logmark
ipmark
dhcpmac delude chaos account"
Unset: CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL,
PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS,
PORTAGE_RSYNC_EXTRA_OPTS, USE_PYTHON
bG
Matthias
ps: und was für ein OS und die Versionsnummern aller betroffenen
Teile
das ist, hilft vielleicht auch ;)
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: flash <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 14:28:25 MESZ
To: [email protected]
On 30.04.2014 13:42, Matthias Šubik wrote:
Hi,
On 30.04.2014, at 13:24, flash wrote:
...
Ich hätte eine Frage bzw. OpenVPN.
Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
so, dass die Konfigurationsoption "redirect-gateway autolocal" oder
"redirect-gateway block-local" genügt,
und ich kann über das VPN als default surfen und nicht über das LAN.
Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
mache. Da sind mehrere Routen und der OpenVPN schafft es einfach
nicht die Oberhand zu gewinnen.
Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle
mit
der gleichen metric in einer routing tabelle sind.
Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber
wlan geräte kann ich mit brctl nicht adden.
???
openvpn via tap?
für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein
Layer
3 und ein Layer 2 Device.
Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
Funkfeuer.
Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
ist, aber eben nicht der Funkfeuer VPN Server.
Falls ich richtig liege, musst Du zum Testen nur nach dem
"Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
Priorität in den Tunnel zeigt.
Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
openvpn zu bekommen.
Dann ist es leichter den Unterschied zu erklären.
bG
Matthias
ps: und was für ein OS und die Versionsnummern aller betroffenen
Teile
das ist, hilft vielleicht auch ;)
*** olsr.org - 0.6.4-git_-hash_8a6821cb751e59fb6421fd436bf8fc31
- (2012-12-02 03:41:48 on sph4re) ***
--- 14:17:09.901748
---------------------------------------------------- LINKS
IP address hyst LQ ETX
193.238.156.230 0.000 1.000/1.000 1.000
--- 14:17:09.901994 ----------------------- TWO-HOP NEIGHBORS
IP addr (2-hop) IP addr (1-hop) Total cost
193.238.159.100 193.238.156.148 2.000
/
ausserdem:
sph4re flash # openvpn --config /etc/openvpn/openvpn.conf
Wed Apr 30 14:03:51 2014 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL
(OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Apr 7 2014
Wed Apr 30 14:03:51 2014 WARNING: file
'/etc/openvpn/easy-rsa/keys/netbook.key' is group or others accessible
Wed Apr 30 14:03:51 2014 Socket Buffers: R=[114688->131072]
S=[114688->131072]
Wed Apr 30 14:03:51 2014 UDPv4 link local: [undef]
Wed Apr 30 14:03:51 2014 UDPv4 link remote:
[AF_INET]178.63.132.61:1194
Wed Apr 30 14:03:51 2014 TLS: Initial packet from
[AF_INET]178.63.132.61:1194, sid=c071be0a 808ac313
Wed Apr 30 14:03:52 2014 VERIFY OK: depth=1, C=DE, ST=DE, L=Nuernberg,
O=itflash, OU=itflash, CN=itflash, name=itflash,
[email protected]
Wed Apr 30 14:03:52 2014 Validating certificate key usage
Wed Apr 30 14:03:52 2014 ++ Certificate has key usage 00a0, expects
00a0
Wed Apr 30 14:03:52 2014 VERIFY KU OK
Wed Apr 30 14:03:52 2014 Validating certificate extended key usage
Wed Apr 30 14:03:52 2014 ++ Certificate has EKU (str) TLS Web Server
Authentication, expects TLS Web Server Authentication
Wed Apr 30 14:03:52 2014 VERIFY EKU OK
Wed Apr 30 14:03:52 2014 VERIFY OK: depth=0, C=DE, ST=DE, L=Nuernberg,
O=itflash, OU=itflash, CN=server, name=itflash,
[email protected]
Wed Apr 30 14:03:53 2014 Data Channel Encrypt: Cipher 'BF-CBC'
initialized with 128 bit key
Wed Apr 30 14:03:53 2014 Data Channel Encrypt: Using 160 bit message
hash 'SHA1' for HMAC authentication
Wed Apr 30 14:03:53 2014 Data Channel Decrypt: Cipher 'BF-CBC'
initialized with 128 bit key
Wed Apr 30 14:03:53 2014 Data Channel Decrypt: Using 160 bit message
hash 'SHA1' for HMAC authentication
Wed Apr 30 14:03:53 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3
DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Apr 30 14:03:53 2014 [server] Peer Connection Initiated with
[AF_INET]178.63.132.61:1194
Wed Apr 30 14:03:55 2014 SENT CONTROL [server]: 'PUSH_REQUEST'
(status=1)
Wed Apr 30 14:03:55 2014 PUSH: Received control message:
'PUSH_REPLY,route 10.9.8.0 255.255.255.0,topology net30,ping
10,ping-restart 120,ifconfig 10.9.8.6 10.9.8.5'
Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: timers and/or timeouts
modified
Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: --ifconfig/up options
modified
Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: route options modified
Wed Apr 30 14:03:55 2014 ROUTE_GATEWAY 193.238.156.230
Wed Apr 30 14:03:55 2014 TUN/TAP device tun0 opened
Wed Apr 30 14:03:55 2014 TUN/TAP TX queue length set to 100
Wed Apr 30 14:03:55 2014 do_ifconfig, tt->ipv6=0,
tt->did_ifconfig_ipv6_setup=0
Wed Apr 30 14:03:55 2014 /bin/ip link set dev tun0 up mtu 1500
Wed Apr 30 14:03:55 2014 /bin/ip addr add dev tun0 local 10.9.8.6 peer
10.9.8.5
Wed Apr 30 14:03:55 2014 /bin/ip route add 10.9.8.0/24 via 10.9.8.5
Wed Apr 30 14:03:55 2014 Initialization Sequence Completed
Wed Apr 30 14:15:32 2014 write UDPv4: Network is unreachable
(code=101)
Wed Apr 30 14:15:42 2014 write UDPv4: Network is unreachable
(code=101)
sph4re flash # ping 10.9.8.1
PING 10.9.8.1 (10.9.8.1) 56(84) bytes of data.
64 bytes from 10.9.8.1: icmp_seq=1 ttl=64 time=203 ms
64 bytes from 10.9.8.1: icmp_seq=2 ttl=64 time=61.3 ms
64 bytes from 10.9.8.1: icmp_seq=3 ttl=64 time=81.8 ms
64 bytes from 10.9.8.1: icmp_seq=4 ttl=64 time=66.3 ms
64 bytes from 10.9.8.1: icmp_seq=5 ttl=64 time=78.3 ms
64 bytes from 10.9.8.1: icmp_seq=6 ttl=64 time=77.1 ms
64 bytes from 10.9.8.1: icmp_seq=7 ttl=64 time=57.4 ms
64 bytes from 10.9.8.1: icmp_seq=8 ttl=64 time=62.2 ms
64 bytes from 10.9.8.1: icmp_seq=9 ttl=64 time=78.3 ms
64 bytes from 10.9.8.1: icmp_seq=10 ttl=64 time=52.4 ms
64 bytes from 10.9.8.1: icmp_seq=11 ttl=64 time=60.2 ms
64 bytes from 10.9.8.1: icmp_seq=12 ttl=64 time=64.1 ms
64 bytes from 10.9.8.1: icmp_seq=13 ttl=64 time=83.5 ms
64 bytes from 10.9.8.1: icmp_seq=14 ttl=64 time=54.3 ms
64 bytes from 10.9.8.1: icmp_seq=15 ttl=64 time=77.3 ms
64 bytes from 10.9.8.1: icmp_seq=16 ttl=64 time=61.2 ms
64 bytes from 10.9.8.1: icmp_seq=17 ttl=64 time=54.4 ms
64 bytes from 10.9.8.1: icmp_seq=18 ttl=64 time=71.6 ms
64 bytes from 10.9.8.1: icmp_seq=19 ttl=64 time=52.3 ms
64 bytes from 10.9.8.1: icmp_seq=20 ttl=64 time=83.4 ms
^C
--- 10.9.8.1 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19036ms
rtt min/avg/max/mdev = 52.344/74.092/203.530/31.514 ms
das wäre dann auch das default gateway.
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: flash <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 14:20:28 MESZ
To: [email protected]
On 30.04.2014 13:42, Matthias Šubik wrote:
Hi,
On 30.04.2014, at 13:24, flash wrote:
...
Ich hätte eine Frage bzw. OpenVPN.
Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
so, dass die Konfigurationsoption "redirect-gateway autolocal" oder
"redirect-gateway block-local" genügt,
und ich kann über das VPN als default surfen und nicht über das LAN.
Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
mache. Da sind mehrere Routen und der OpenVPN schafft es einfach
nicht die Oberhand zu gewinnen.
Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle
mit
der gleichen metric in einer routing tabelle sind.
Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber
wlan geräte kann ich mit brctl nicht adden.
???
openvpn via tap?
für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein
Layer
3 und ein Layer 2 Device.
sehr, sehr aufschlussreich. danke.
und wlan geht nicht? ich errinnere mich, am openwrt auch schon mit
bridges zutun gehabt zu haben und ein wlan gerät geadded zu haben.
*nichtmehr-errinner*
Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
Funkfeuer.
Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
ist, aber eben nicht der Funkfeuer VPN Server.
Falls ich richtig liege, musst Du zum Testen nur nach dem
"Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
Priorität in den Tunnel zeigt.
Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
openvpn zu bekommen.
Dann ist es leichter den Unterschied zu erklären.
sph4re flash # netstat -rn
Kernel IP Routentabelle
Ziel Router Genmask Flags MSS Fenster
irtt Iface
0.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
0 wlan1
0.0.0.0 193.238.156.230 0.0.0.0 UG 0 0
0 wlan1
10.9.8.0 10.9.8.5 255.255.255.0 UG 0 0
0 tun0
10.9.8.5 0.0.0.0 255.255.255.255 UH 0 0
0 tun0
78.41.115.128 193.238.156.230 255.255.255.128 UG 0 0
0 wlan1
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0
0 lo
128.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
0 wlan1
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0
0 eth1
193.238.156.107 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
193.238.156.117 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
193.238.156.148 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
193.238.156.230 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
193.238.157.0 193.238.156.230 255.255.255.128 UG 0 0
0 wlan1
193.238.158.54 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
193.238.159.100 193.238.156.230 255.255.255.255 UGH 0 0
0 wlan1
sph4re flash # emerge --info
Portage 2.1.11.50 (default/linux/x86/13.0/desktop, gcc-4.5.3,
glibc-2.16.0, 2.6.39-gentoo-r3 i686)
=================================================================
System uname:
Linux-2.6.39-gentoo-r3-i686-Intel-R-_Atom-TM-_CPU_Z520_@_1.33GHz-with-gentoo-2.2
KiB Mem: 2055952 total, 1418408 free
KiB Swap: 4358140 total, 4358140 free
Timestamp of tree: Mon, 07 Apr 2014 03:00:01 +0000
ld GNU ld (GNU Binutils) 2.23.1
distcc 3.1 i686-pc-linux-gnu [disabled]
app-shells/bash: 4.2_p42
dev-java/java-config: 2.1.12-r1
dev-lang/python: 2.4.6, 2.5.4-r5, 2.6.8-r1, 2.7.3-r3,
3.1.4-r3, 3.2.3-r2
dev-util/cmake: 2.8.10.2-r1
dev-util/pkgconfig: 0.28
sys-apps/baselayout: 2.2
sys-apps/openrc: 0.11.8
sys-apps/sandbox: 2.6
sys-devel/autoconf: 2.13, 2.69
sys-devel/automake: 1.11.6, 1.12.6, 1.13.1
sys-devel/binutils: 2.23.1
sys-devel/gcc: 4.5.3-r2, 4.6.3
sys-devel/gcc-config: 1.8
sys-devel/libtool: 2.4.2
sys-devel/make: 3.82-r4
sys-kernel/linux-headers: 3.7 (virtual/os-headers)
sys-libs/glibc: 2.16.0
Repositories: gentoo x-portage
ACCEPT_KEYWORDS="x86 ~x86"
ACCEPT_LICENSE="*"
CBUILD="i686-pc-linux-gnu"
CFLAGS="-O2 -pipe -march=native"
CHOST="i686-pc-linux-gnu"
CONFIG_PROTECT="/etc /usr/share/config /usr/share/gnupg/qualified.txt
/usr/share/polkit-1/actions /var/bind"
CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d
/etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release
/etc/revdep-rebuild /etc/sandbox.d /etc/terminfo"
CXXFLAGS="-O2 -pipe -march=native"
DISTDIR="/usr/portage/distfiles"
FCFLAGS="-O2 -march=i686 -pipe"
FEATURES="assume-digests binpkg-logs config-protect-if-modified
distlocks ebuild-locks fixlafiles merge-sync news parallel-fetch
protect-owned sandbox sfperms strict unknown-features-warn
unmerge-logs unmerge-orphans"
FFLAGS="-O2 -march=i686 -pipe"
GENTOO_MIRRORS="ftp://ftp-stud.hs-esslingen.de/pub/Mirrors/gentoo/";
LANG="de_DE"
LDFLAGS="-Wl,-O1 -Wl,--as-needed"
MAKEOPTS="-j1"
PKGDIR="/usr/portage/packages"
PORTAGE_CONFIGROOT="/"
PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times
--compress --force --whole-file --delete --stats --human-readable
--timeout=180 --exclude=/distfiles --exclude=/local
--exclude=/packages"
PORTAGE_TMPDIR="/var/tmp"
PORTDIR="/usr/portage"
PORTDIR_OVERLAY="/usr/local/portage"
SYNC="rsync://rsync.gentoo.org/gentoo-portage"
USE="=npp PolicyKit PyGTK X a52 aac acl acpi alsa apic apm arts
automount avi bash-completition berkdb bluetooth branding bzip2 cairo
cdaudio cdda cddb cdparanoia cdr cgi cli consolekit cracklib crypt cxx
dbus dga directfb distcc divx dri dts dvd dvdr eap-sim emboss encode
evdev exif fam fbcon ffmpeg firefox fla flac flash fortran ftp gdbm
gif gimp gnome gphoto2 gpm gsm gstreamer gtk gzip hal hddtemp iconv
imagemagick imap imlib injection ios ipod ipv6 java jbig jpeg jpeg2
jpeg2k kaffeine kde keyboard lame lash lcms ldap libcaca libnotify
libsamplerate libwww lm_sensors lzma lzo mad madwifi
mdnsresponder-compat mikmod mmap mmx mng modplug modules motif mouse
mozilla mp3 mp4 mpack mpeg mpg123 mplayer msr mtp musepack ncurses
nforce2 nls nntp nptl nptlonly nvidia objc ogg opengl openmp osc oss
pam pango pcmcia pcre pdf perl plasma pmu png policykit posix postgres
ppds pulseaudio qt3support qt4 quicktime rdesktop readline recode
samba sdl semantic-desktop session sid sim smp sndfile soap sockets
sound speex spell sql sse sse2 ssl ssse3 startup-notification svg swf
synaptics szip tcl tcpd theora threads tiff truetype udev udisks ui
unicode upower usb utempter v4l v4l2 vcdinfo vme vorbis wavpack webkit
wifi win32codecs wma wmf wxwidgets x264 x86 xcb xine xinerama xml
xmlrpc xscreensaver xulrunner xv xvid zeroconf zlib zsh-completion"
ABI_X86="32" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x
ca0106 cmipci emu10k1 emu10k1x ens1370 ens1371 es1938 es1968 fm801
hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx
via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core
socache_shmcb unixd actions alias auth_basic authn_alias authn_anon
authn_dbm authn_default authn_file authz_dbm authz_default
authz_groupfile authz_host authz_owner authz_user autoindex cache cgi
cgid dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter
file_cache filter headers include info log_config logio mem_cache mime
mime_magic negotiation rewrite setenvif speling status unique_id
userdir usertrack vhost_alias" CALLIGRA_FEATURES="kexi words flow plan
sheets stage tables krita karbon braindump author" CAMERAS="ptp2"
COLLECTD_PLUGINS="df interface irq load memory rrdtool swap syslog"
ELIBC="glibc" GPSD_PROTOCOLS="ashtech aivdm earthmate evermore fv18
garmin garmintxt gpsclock itrax mtk3301 nmea ntrip navcom oceanserver
oldstyle oncore rtcm104v2 rtcm104v3 sirf superstar2 timing tsip
tripmate tnt ublox ubx" INPUT_DEVICES="synaptics evdev fbdev mouse
keyboard penmount" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633
glk hd44780 lb216 lcdm001 mtxorb ncurses text"
LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer"
LINGUAS="de" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-5"
PYTHON_SINGLE_TARGET="python2_7" PYTHON_TARGETS="python2_7 python3_3"
RUBY_TARGETS="ruby19 ruby20" USERLAND="GNU" VIDEO_CARDS="vesa vesafb
intel" XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options
ipset ipp2p iface geoip fuzzy condition tee tarpit sysrq steal rawnat
logmark ipmark dhcpmac delude chaos account"
Unset: CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL,
PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS,
PORTAGE_RSYNC_EXTRA_OPTS, USE_PYTHON
bG
Matthias
ps: und was für ein OS und die Versionsnummern aller betroffenen
Teile
das ist, hilft vielleicht auch ;)
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: Adi Kriegisch <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 14:15:12 MESZ
To: flash <[email protected]>
Cc: [email protected]
Hallo!
Ich hoffe mal, ich quote jetzt richtig. :)
Also es geht um einen client, den ich hinter meinem Funkfeuer Router
habe.
Gut. Also hat der Client
1. nix mit olsr zu tun und
2. das Funkfeuer-Netz ist quasi der Carrier für den OpenVPN-Traffic
Der geht ja über unverschlüsseltes WLAN bis zum Router.
Jetzt dachte ich, ich sichere das WLAN ab, indem ich ein VPN zu
meinem
Vserver einrichte.
Ok...
Das Problem ist nur, dass ich zwar das VPN offen habe, und an meinem
Vserver eine route zum surfen, der client allerdings
weiter über die Funkfeuer Route surft und nicht über das OpenVPN...
durch das Funkfeuer hindurch.
Naja, aber das hat nix mit Funkfeuer zu tun sondern ist ein
Client-Problem,
oder versteh ich das falsch?
So wie es unter openssh tunnel läuft.
Wenn ich den client an ein Netzwerkkabel anschliesse und nur eine
default route habe, geht die OpenVPN directive "redirect gateway",
der
entfernt dann intern
Warum hast Du mehrere default routes, wenn Du am WLAN hängst? Da
stimmt
irgendwas nicht.
Und wo genau kommt da das olsr zum tragen?
Glg Adi
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: flash <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 14:01:17 MESZ
To: [email protected]
On 30.04.2014 13:40, Adi Kriegisch wrote:
Hallo!
Ich hätte eine Frage bzw. OpenVPN.
Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
so,
dass die Konfigurationsoption "redirect-gateway autolocal" oder
"redirect-gateway block-local" genügt,
und ich kann über das VPN als default surfen und nicht über das LAN.
Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
mache.
Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
Oberhand zu gewinnen. Warum ist mir schon klar.
(...)
Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
Funkfeuer.
Ich bin nicht sicher, ob ich verstehe, was Du tun willst:
geht es Dir um einen Router oder um Dein Endgerät? -- surfst Du über
WLAN
mit OpenVPN-Tunnel oder willst Du auf Deinem Funkfeuer-Router ein
OpenVPN
durch das Dein Traffic durchgeht?
lg Adi
Ich hoffe mal, ich quote jetzt richtig. :)
Also es geht um einen client, den ich hinter meinem Funkfeuer Router
habe.
Der geht ja über unverschlüsseltes WLAN bis zum Router.
Jetzt dachte ich, ich sichere das WLAN ab, indem ich ein VPN zu meinem
Vserver einrichte.
Das Problem ist nur, dass ich zwar das VPN offen habe, und an meinem
Vserver eine route zum surfen, der client allerdings
weiter über die Funkfeuer Route surft und nicht über das OpenVPN...
durch das Funkfeuer hindurch.
So wie es unter openssh tunnel läuft.
Wenn ich den client an ein Netzwerkkabel anschliesse und nur eine
default route habe, geht die OpenVPN directive "redirect gateway", der
entfernt dann intern
die Default route vom Netzwerk und schleusst jeden Traffic des clients
durch das OpenVPN.
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: Matthias Šubik <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 13:42:19 MESZ
To: flash <[email protected]>
Cc: [email protected]
Hi,
On 30.04.2014, at 13:24, flash wrote:
...
Ich hätte eine Frage bzw. OpenVPN.
Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
so, dass die Konfigurationsoption "redirect-gateway autolocal" oder
"redirect-gateway block-local" genügt,
und ich kann über das VPN als default surfen und nicht über das LAN.
Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
mache. Da sind mehrere Routen und der OpenVPN schafft es einfach
nicht die Oberhand zu gewinnen.
Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle mit
der gleichen metric in einer routing tabelle sind.
Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber
wlan geräte kann ich mit brctl nicht adden.
???
openvpn via tap?
für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein Layer
3 und ein Layer 2 Device.
Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
Funkfeuer.
Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
ist, aber eben nicht der Funkfeuer VPN Server.
Falls ich richtig liege, musst Du zum Testen nur nach dem
"Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
Priorität in den Tunnel zeigt.
Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
openvpn zu bekommen.
Dann ist es leichter den Unterschied zu erklären.
bG
Matthias
ps: und was für ein OS und die Versionsnummern aller betroffenen Teile
das ist, hilft vielleicht auch ;)
--
A: Yes.
Q: Are you sure?
A: Because it reverses the logical flow of conversation.
Q: Why is top posting annoying in email?
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: Adi Kriegisch <[email protected]>
Subject: Re: [FF-Security] Openvpn default route
Date: 30. April 2014 13:40:04 MESZ
To: flash <[email protected]>
Cc: [email protected]
Hallo!
Ich hätte eine Frage bzw. OpenVPN.
Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
so,
dass die Konfigurationsoption "redirect-gateway autolocal" oder
"redirect-gateway block-local" genügt,
und ich kann über das VPN als default surfen und nicht über das LAN.
Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
mache.
Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
Oberhand zu gewinnen. Warum ist mir schon klar.
(...)
Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
Funkfeuer.
Ich bin nicht sicher, ob ich verstehe, was Du tun willst:
geht es Dir um einen Router oder um Dein Endgerät? -- surfst Du über
WLAN
mit OpenVPN-Tunnel oder willst Du auf Deinem Funkfeuer-Router ein
OpenVPN
durch das Dein Traffic durchgeht?
lg Adi
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
Begin forwarded message:
From: flash <[email protected]>
Subject: [FF-Security] Openvpn default route
Date: 30. April 2014 13:24:25 MESZ
To: [email protected]
Hallo liebe Liste.
Es ist das erste mal, dass ich hier hin schreibe.
Ich hätte eine Frage bzw. OpenVPN.
Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so,
dass die Konfigurationsoption "redirect-gateway autolocal" oder
"redirect-gateway block-local" genügt,
und ich kann über das VPN als default surfen und nicht über das LAN.
Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache.
Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
Oberhand zu gewinnen. Warum ist mir schon klar.
Zuerst hat er gemeldet, er wüsste nicht, welches die default route
ist. Mitlerweile kommt diese Meldung nicht mehr, es tut sich aber
keine Veränderung. Also keine Magie. :p
Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber wlan
geräte kann ich mit brctl nicht adden.
Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
Funkfeuer.
Bisher habe ich dafür einen openssh tunnel geöffnet, der funktioniert
aber nur pro Port.
mfg,
Christian Fladung
_______________________________________________
Security mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/security
Funkfeuer Security Mailing List.
On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
Off-topic: allgemeines, flames, etc.
--
A: Yes.
Q: Are you sure?
A: Because it reverses the logical flow of conversation.
Q: Why is top posting annoying in email?
