:strip_icc():strip_exif()/u/47471/crop5aa6cb9f97040_cropped.jpeg?f=community)
Ik ben op het moment weer bezig om OpenVPN op te zetten waar dan wat verschillende mensen verbinding naar kunnen maken. Alleen een deel van het netwerk moet afgeschermd blijven van de mensen die via OpenVPN verbonden zijn. Dit is niet zo'n probleem, dit heb ik als volgt gedaan (beetje neuzen tussen de howto's enzo):
Hier wordt verkeer dus tussen 192.168.250.112/28 (DHCP range) en 192.168.250.128/28 (VPN range) geblocked. Nu zit ik alleen met nog een probleem en dat is dat OpenVPN gebruikers hun IP gewoon kunnen veranderen, waardoor bovenstaande rules natuurlijk geen nut hebben. Nu ben ik wat aan het proberen geweest om vanaf de tap1,2,3 etc devices alleen verkeer door te laten vanaf 192.168.250.128/28 zodat je alleen verbinding hebt met het netwerk als je een IP in die range hebt maar dat wil nog niet echt lukken. Tot nu toe lukt het alleen om alles te blocken of helemaal niets
.
Ondertussen al allemaal verschillende mogelijk heden geprobeerd met het volgende:
Tot nu toe zonder resultaat. Ook met br0 ipv tap+ en dan blockte ik alles of ook helemaal niets. Met Google heb ik tot nu toe nog niets kunnen vinden over dit onderwerp. Ik heb ondertussen zoveel regels geprobeert dat ik eigenlijk niet meer precies weet welke ik allemaal heb gehad. Is hier iemand die mij hiermee zou kunnen helpen?
[edit] Ondertussen veel aan het prutsen geweest en bedacht me ineens dat het wel makkelijker zou zijn als ik wat gelogged had zodat ik weet hoe het eruit ziet. Het is me ook gelijk duidelijk waarom het tot nu toe niet wil, maar iets werkends heb ik nog niet
.
Hier komt 192.168.250.90 dus van OpenVPN af, wat dus niet mag. Hier mogen alleen 192.168.250.128/28 IP's vandaan komen. Nu dacht ik dus het volgende, maar kijkend naar de logs snap ik waarom het (waarschijnlijk) ook niet werkt. Dit omdat er altijd 1 IP niet in 192.168.250.128/28 valt:
code:
1
2
3
4
| iptables -A INPUT -s 192.168.250.112/28 -d 192.168.250.128/28 -j DROP iptables -A INPUT -s 192.168.250.128/28 -d 192.168.250.112/28 -j DROP iptables -A FORWARD -s 192.168.250.112/28 -d 192.168.250.128/28 -j DROP iptables -A FORWARD -s 192.168.250.128/28 -d 192.168.250.112/28 -j DROP |
Hier wordt verkeer dus tussen 192.168.250.112/28 (DHCP range) en 192.168.250.128/28 (VPN range) geblocked. Nu zit ik alleen met nog een probleem en dat is dat OpenVPN gebruikers hun IP gewoon kunnen veranderen, waardoor bovenstaande rules natuurlijk geen nut hebben. Nu ben ik wat aan het proberen geweest om vanaf de tap1,2,3 etc devices alleen verkeer door te laten vanaf 192.168.250.128/28 zodat je alleen verbinding hebt met het netwerk als je een IP in die range hebt maar dat wil nog niet echt lukken. Tot nu toe lukt het alleen om alles te blocken of helemaal niets
.Ondertussen al allemaal verschillende mogelijk heden geprobeerd met het volgende:
code:
1
2
| iptables -A INPUT -s ! 192.168.250.128/28 -i tap+ -j DROP iptables -A FORWARD -s ! 192.168.250.128/28 -i tap+ -j DROP |
Tot nu toe zonder resultaat. Ook met br0 ipv tap+ en dan blockte ik alles of ook helemaal niets. Met Google heb ik tot nu toe nog niets kunnen vinden over dit onderwerp. Ik heb ondertussen zoveel regels geprobeert dat ik eigenlijk niet meer precies weet welke ik allemaal heb gehad. Is hier iemand die mij hiermee zou kunnen helpen?
[edit] Ondertussen veel aan het prutsen geweest en bedacht me ineens dat het wel makkelijker zou zijn als ik wat gelogged had zodat ik weet hoe het eruit ziet. Het is me ook gelijk duidelijk waarom het tot nu toe niet wil, maar iets werkends heb ik nog niet
.code:
1
2
3
4
5
6
7
| Aug 7 18:53:11 foxtrot kernel: IN=br0 OUT=br0 PHYSIN=tap2 PHYSOUT=eth1 SRC=192.168.250.90 DST=192.168.250.123 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=38555 PROTO=ICMP TYPE=8 CODE=0 ID=768 SEQ=9 Aug 7 18:53:11 foxtrot kernel: IN=br0 OUT=br0 PHYSIN=eth1 PHYSOUT=tap2 SRC=192.168.250.123 DST=192.168.250.90 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=15839 PROTO=ICMP TYPE=0 CODE=0 ID=768 SEQ=9 |
Hier komt 192.168.250.90 dus van OpenVPN af, wat dus niet mag. Hier mogen alleen 192.168.250.128/28 IP's vandaan komen. Nu dacht ik dus het volgende, maar kijkend naar de logs snap ik waarom het (waarschijnlijk) ook niet werkt. Dit omdat er altijd 1 IP niet in 192.168.250.128/28 valt:
code:
1
2
| iptables -A INPUT -i br0 -d ! 192.168.250.128/28 -j DROP iptables -A FORWARD -i br0 -d ! 192.168.250.128/28 -j DROP |
[ Voor 26% gewijzigd door PowerSp00n op 07-08-2004 20:17 ]
. Die eerste om broadcasts door te laten, ik weet niet of het voldoende is maar dat zien we dan wel weer