[Berlin-wireless] VPN03 über mesh

Sven Roederer freifunk at it-solutions.geroedel.de
Mo Feb 22 10:58:12 CET 2016 

DROP hab ich genommen, um nicht auf jedes ankommende UDP-paket wieder ein ICMP-"nee"-paket durch's mesh zu senden. Denn die Openvpn-Instanz versucht ja immer fleißig weiter einen Tunnel zu erstellen.


Am 22. Februar 2016 02:04:18 MEZ, schrieb Philipp Borgers <borgers at mi.fu-berlin.de>:
>Muss ich ja erstmal verstehen ;) Nachher bau ich hier Backdoors ein...
>
>Eigentlich wollen wir doch verhindern, dass aus dem Tunnel heraus
>(tun-udp auf
>dem Server) eine Verbindung zu Port 1194 aufgemacht wird, da wir davon
>ausgehen,
>dass dann ein Tunnel im Tunnel entsteht?
>
>Vielleicht wäre ein Destination unreachable besser als ein DROP?
>
>Gruß Philipp
>
>On Mon, Feb 22, 2016 at 01:46:11AM +0100, Sven Roederer wrote:
>> NICDEVICE=eth0
>> VPN03_SERVER=`dig +nocmd +multiline +noall +answer
>vpn03.berlin.freifunk.net A |awk '{ print $5 }'`
>> iptables -N DROP_VPN03mesh && iptables -I INPUT -i $NICDEVICE -p udp
>--dport 1194 -j DROP_VPN03mesh
>> iptables -F DROP_VPN03mesh
>> for SERVER in VPN03_SERVER; do
>>  iptables -I DROP_VPN03mesh -s $SERVER -j DROP
>> done
>> 
>> 
>> so, jetzt musst du das einbauen :-)
>> 
>> 
>> 
>> Am Monday 22 February 2016, 01:13:35 schrieb Philipp Borgers:
>> > Machen sie doch mal einen Vorschlag in Form von Konfiguration.
>> > 
>> > On Mon, Feb 22, 2016 at 12:45:14AM +0100, Sven Roederer wrote:
>> > > Hi,
>> > > 
>> > > ich hab jetzt auch grad mal in meinem Testsetup den Fall, das ein
>Router
>> > > (der auch VPN03 eingerichtet hat) mangels WAN-link über einen
>anderen
>> > > Knoten, via Mesh, den Tunnel aufbaut.
>> > > 
>> > > Was spricht gegen die eine Firewall-regel um das zu unterbinden,
>bis mit
>> > > kathleen-0.2 eine schöne Lösung gefunden ist.
>> > > Durch die steigende Zahl an VPN-instanzen ist die statische
>UCI-konfig
>> > > ja "etwas" unflexibel. Und ein Kathleen 0.1.3 zu machen ist ja
>auch
>> > > albern.
>> > > 
>> > > Wenn jetzt auf jedem VPN-Server einfach eingehende Verbindungen
>auf
>> > > UDP/1194 mit der src-ip eines der anderen VPN-Server gedropt
>werden,
>> > > sollte das doch schon helfen.
>> > > Leider wird der client es immer weiter probieren, aber das sollte
>ja
>> > > schonmal etwas sinnlosen Traffic vermeiden.
>> > > 
>> > > GRuss Sven
>> > > 
>> > > 
>> > > 
>> > > 
>> > > _______________________________________________
>> > > Berlin mailing list
>> > > Berlin at berlin.freifunk.net
>> > > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> > > Diese Mailingliste besitzt ein ?ffentlich einsehbares Archiv
>> 
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Berlin mailing list
>Berlin at berlin.freifunk.net
>http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv

Mehr Informationen über die Mailingliste Berlin