[Berlin-wireless] Firewall-Konfiguration in kathleen / Ausleiten von Traffic ohne VPN

Philipp Borgers borgers at mi.fu-berlin.de
Mo Dez 28 21:42:46 CET 2015


Moin,

guck dir mal Policy-Routing (ip rule help) und die entsprechen
Konfigurations-Option in OpenWRT an.

Über das Mesh sollen keinen VPN03 Tunnel aufgebaut werden. Die unten erwähnten
Regel verhindern das teilweise. Die Liste der Server ist leider unvollständig.
Wir arbeiten an einer besseren Lösung.

Gruß Philipp

On Mon, Dec 28, 2015 at 07:07:45PM +0100, Marc Kura wrote:
> Hallo zusammen,
> 
> Aus Performance-Gründen möchte ich bestimmten Traffic direkt ins
> Internet ausleiten und nicht über den VPN-Tunnel schieben. Die Basis ist
> dazu kathleen 0.1.1.
> 
> Hier gab es ja mal eine Diskussion dazu, die ich leider nicht mehr
> finde. In dem Fred ging es darum, dass VPN-Verbindungen grundsätzlich
> nicht in den Freifunk-Tunnel geschoben werden, sondern direkt ins Internet.
> 
> Im Router habe ich bisher nur folgende Konfiguration gefunden:
> 
> /etc/config/firewall:
> config rule
>         option proto 'udp'
>         option name 'Reject-VPN-over-ff-1'
>         option dest 'freifunk'
>         option dest_ip '77.87.48.10'
>         option dest_port '1194'
>         option target 'REJECT'
>         option family 'ipv4'
> 
> config rule
>         option proto 'udp'
>         option name 'Reject-VPN-over-ff-2'
>         option dest 'freifunk'
>         option dest_ip '77.87.49.66'
>         option dest_port '1194'
>         option target 'REJECT'
>         option family 'ipv4'
> 
> Meinem Verständnis nach bedeutet dies, dass ein Testrouter kein
> Freifunk-VPN aufbauen kann, wenn er (zum testen) hinter einem
> Freifunk-Router hängt (Reject)?
> 
> Ich möchte z.B. alle Verbindungen zur IP 84.200.77.164 direkt ins
> Internet leiten, oder von mir aus alle Verbindungen über Port 666. Wie
> mach ich das?
> 
> 
> Gruß,
> Marc
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20151228/d0b92e25/attachment.sig>


Mehr Informationen über die Mailingliste Berlin