Discussion:
Wie erlaube ich einem VPN-client Zugriff auf den httpd?
(zu alt für eine Antwort)
K. Dreier
2019-02-13 19:34:50 UTC
Permalink
Hallo,

ich erlaube nur einigen bestimmten clients in meinem Haupt-LAN NET_2 den
Zugriff auf den fli4l httpd (Port 8081) indem ich z.B. so etwas setze:

PF_INPUT[]='prot:tcp @client3 8081 ACCEPT'

und danach ein

PF_INPUT[]='prot:tcp IP_NET_2 8081 REJECT'

Klappt gut. FÃŒhrt aber logischerweise auch dazu, daß kein anderer
client drauf kommt, da ich keine Regel habe, die den Zugang pauschal
erlauben wÃŒrde.

Da ich fÃŒr meine VPN-clients ebenfalls statische IPs konfiguriert habe,
dachte ich, daß ich mit

PF_INPUT[]='prot:tcp 10.8.0.3 8081 ACCEPT'

diesem client3 in Variante seiner VPN-IP ebenfalls den Zugang erlauben
könnte. Aber das geht so nicht. Da ich nicht wÌsste, wie ich so einem
VPN-client via einem Host-Eintrag ein alias zuweisen könnte (da der
client ja der gleiche ist und somit die gleiche MAC hat), frage ich mich
jetzt, wie ich das machen kann? MÌsste doch möglich sein, diesen
Zugang zu erlauben.
Der VollstÀndigkeit halber: der VPN-client kommt auf die anderen NET_2
GerÀte sonst "drauf" und routing ins WAN geht auch. Auch komme ich vom
VPN-client mittels SSH auf den fli4l drauf.

Danke fÃŒr eure Ideen.

Gruß
Klaus
Hans Bachner
2019-02-13 21:01:04 UTC
Permalink
Hallo Klaus,
Post by K. Dreier
Hallo,
ich erlaube nur einigen bestimmten clients in meinem Haupt-LAN NET_2 den
und danach ein
PF_INPUT[]='prot:tcp IP_NET_2 8081 REJECT'
Klappt gut. Führt aber logischerweise auch dazu, daß kein anderer
client drauf kommt, da ich keine Regel habe, die den Zugang pauschal
erlauben würde.
Da ich für meine VPN-clients ebenfalls statische IPs konfiguriert habe,
dachte ich, daß ich mit
PF_INPUT[]='prot:tcp 10.8.0.3 8081 ACCEPT'
diesem client3 in Variante seiner VPN-IP ebenfalls den Zugang erlauben
könnte. Aber das geht so nicht. [schnipp]
ich habe es jetzt nicht ausprobiert - aber vielleicht hilft die Angabge
der Schnittstelle, etwa

PF_INPUT[]='prot:tcp if:tun0 8081 ACCEPT'

oder (bei mehreren VPNs)

PF_INPUT[]='prot:tcp if:tun+ 8081 ACCEPT'

Vorschlag ohne Gewähr :-)

Viel Erfolg,
Hans.
Peter Schiefer
2019-02-15 06:53:45 UTC
Permalink
Hallo Klaus,
Post by K. Dreier
ich erlaube nur einigen bestimmten clients in meinem Haupt-LAN NET_2 den
und danach ein
PF_INPUT[]='prot:tcp IP_NET_2 8081 REJECT'
wenn du
PF_INPUT_POLICY='REJECT' # be nice and use reject as policy
PF_INPUT_ACCEPT_DEF='yes' # use default rule set

gesetzt hast ist die zweite regel überflüssig aber auch nicht schlimm ;)
Post by K. Dreier
Da ich für meine VPN-clients ebenfalls statische IPs konfiguriert habe,
dachte ich, daß ich mit
PF_INPUT[]='prot:tcp 10.8.0.3 8081 ACCEPT'
diesem client3 in Variante seiner VPN-IP ebenfalls den Zugang erlauben
könnte. Aber das geht so nicht. Da ich nicht wüsste, wie ich so einem
VPN-client via einem Host-Eintrag ein alias zuweisen könnte (da der
client ja der gleiche ist und somit die gleiche MAC hat), frage ich mich
jetzt, wie ich das machen kann? Müsste doch möglich sein, diesen
Zugang zu erlauben.
Der Vollständigkeit halber: der VPN-client kommt auf die anderen NET_2
Geräte sonst "drauf" und routing ins WAN geht auch. Auch komme ich vom
VPN-client mittels SSH auf den fli4l drauf.
Danke für eure Ideen.
In OPENVPN kannst Du Regeln hinterlegen die zu dem entsprechenden VPN
gehören und aktiv werden, wenn das VPN aktiv ist

OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='if:VPNDEV:any 8081 ACCEPT

sollte bei Dir dann passen wenn der Client exclusiv das VPN 1 nutzt.


Gruß Peter
K. Dreier
2019-02-15 13:38:58 UTC
Permalink
Hallo,

zunÀchst Danke.
zweite regel ÃŒberflÃŒssig aber auch nicht schlimm
Stimmt. Habe default-Regeln, also kann das raus.
In OPENVPN kannst Du Regeln hinterlegen die zu dem entsprechenden VPN
gehören und aktiv werden, wenn das VPN aktiv ist
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='if:VPNDEV:any 8081 ACCEPT
sollte bei Dir dann passen wenn der Client exclusiv das VPN 1
nutzt.
Mein Problem ist ja aber eben, daß der VPN _nicht_ auf dem fli4l
lÀuft, der also "VPNDEV" nicht kennt - siehe mein vorheriges Post. Wie
also setze ich das in dem Fall um...? Strenggenommen ist bei mir VPNNET
= eth1 = NET_2, da darin der VPN-Server lÀuft. Aber das kann ja wohl
irgendwie nicht sein?

Danke!

Gruß
Klaus

Loading...