[Berlin-wireless] vpn config Anfrage - Kreuzberg nähe Südstern

Florian Beckmann florianbeckmann
Fr Jul 4 14:44:14 CEST 2014 

On Sunday 22 June 2014 13:07:45 Philipp Borgers wrote:

> Cool, dass du mitmachst. Du solltest einen Zugang per Mail erhalten haben.
Vielen Dank. Hab ich erhalten, eingebunden und nach einiger Fummelei auch zum 
laufen bekommen.

Zum Anlegen der Freifunk-Interfaces (wireless0, wireless0dhcp) habe ich den  
'Mesh Wizard' verwendet.

Da ich nicht das vpn03-ipk verwende sondern openvpn mit den Boardmitteln von 
OpenWrt eingerichtet habe, sind bei mir bzgl. Firewall-Config 
noch ein paar Fragen offen.

Dazu ein Überblick über meine Config:
http://pastebin.com/KHR1Raav
Mesh-Wizard: http://imgur.com/kaQSLke
Wireless: http://imgur.com/8teB9XL
Interfaces: http://imgur.com/STh0orj
Firewall: https://i.imgur.com/V7M2Dan.png

Im wesentlichen habe ich für das tun-interface 'tunfreifunkvpn' ein Netzwerk 
'FREIFUNKVPN' angelegt, das ich als 'Covered Network' in der Firewall-Zone 
'ffvpnzone' angegeben habe.

Für die 'ffvpnzone' habe ich Masquerading aktiviert 

Dennoch musste ich in den 'Custom Rules' in luci explizit noch die Zeilen

iptables -I FORWARD -o tunfreifunkvpn -j ACCEPT
iptables -t nat -I POSTROUTING -o tunfreifunkvpn -j MASQUERADE

hinzufügen. Sonst funktioniert das Forwarding/Masquerading wohl nicht und der 
Benutzer kommt nicht ins Internet.

Wieso ist das nötig? Sollte das nicht schon durch das definierte Forwarding 
zwischen den Zonen freifunk (src) und ffvpnzone (dst) und das hinter ffvpnzone 
aktivierte Masquerading funktionieren?


Da ich nur Verkehr vom Freifunk über das VPN routen möchte und nicht von 
meinem privaten LAN, verwende ich in der openvpn-config die Option "route 
nopull" und setze die Routen mit einem up/down-script:
...
case $script_type in up)
 	ip route add default via $ifconfig_local dev $dev table $table
 	ip rule add from 6.0.82.0/24 table $table
...


Nun kam es gelegentlich vor, dass man über das Freifunk-Wifi bei nicht 
aufgebautem VPN -Tunnel direkt ins Internet konnte, man also nach aussen mit 
der von meinem Provider zugewiesenen IP erscheint.  Das möchte ich natürlich 
unbedingt vermeiden. Wenn der Tunnel nicht steht sollen die Freifunk-Benutzer 
nicht ins Internet können.

Ich dachte dass dies bei meiner Config nicht möglich sei, da zwischen freifunk-
Zone und wan-zone kein forwarding definiert ist. Bei der Einrichtung hatte ich 
mich an diesem Howto orientiert: 
https://blog.ipredator.se/howto/openwrt/configuring-openvpn-on-openwrt.html

Inzwischen hatte ich die Häckchen für Input, Output und Forward für die 
einzelnen Zonen leicht verändert und es funktioniert wie gewünscht, aber 
weshalb verstehe ich nicht.

Ich habe ansonsten keine weiteren "Custom rules" (ausser 
/etc/firewall.freifunk, vom Mesh Wizard angelegt). Für die Zone "wan" ist
option local_restrict '1' 
in /etc/config/firewall gesetzt.

Falls jemand den Nerv hat das alles durchzugehen und seinen Senf dazugeben mag 
wäre ich sehr dankbar.

> > Leider habe ich von meiner Wohnung aus weder freie Sicht auf das Rathaus
> > Kreuzberg noch Rathaus  Neukölln, nur auf die grosse Kirche am Südstern
> > (http://www.kirche-am-suedstern.de/). Gibt es da Pläne zum Ausbau?
> 
> Es gibt keine Pläne, aber wenn du Lust hast, könntest du mit uns das
> angehen.
> 
> Alternativ mal die Hausverwaltung anschreiben? Siehe:
> 
> http://wiki.freifunk.net/Beispielanschreiben

Hab's mir schon auf die ToDo-Liste gesetzt.

viele Grüsse
Florian

Mehr Informationen über die Mailingliste Berlin