[Berlin-wireless] Firewall-Konfiguration in kathleen / Ausleiten von Traffic ohne VPN

Marc freifunkml at kura.de
Sa Jan 2 11:41:26 CET 2016 

Hallo Phillip and @all,

Erst mal frohes neues für alle.

Das Policy based Routing ist für mich ein neues Thema, aber ich werde
versuchen es zu verstehen.

D.h. also, dass im Gegensatz zu den bisherigen Annahmen hier (hier gabs
mal irgendwo einen Fred zu), VPN-Traffic gar nicht direkt ins Internet
gekippt wird, sondern dann als VPN im VPN läuft?

Die unten beiden Regeln verhindern "nur" das Routen von VPN-Traffic ins
oder übers Mesh?

root at 10-230-96-1:~# ip rule
0:      from all lookup local
1000:   from all lookup olsr
2000:   from all lookup localnets
19999:  from all iif tunl0 lookup olsr-tunnel
19999:  from all iif br-dhcp lookup olsr-tunnel
19999:  from all iif ffvpn lookup olsr-tunnel
20000:  from all iif tunl0 lookup olsr-default
20000:  from all iif br-dhcp lookup olsr-default
20000:  from all iif ffvpn lookup olsr-default
20001:  from all iif tunl0 unreachable
20001:  from all iif br-dhcp unreachable
20001:  from all iif ffvpn unreachable
32766:  from all lookup main
32767:  from all lookup default
root at 10-230-96-1:~#

Unter http://www.linupedia.org/opensuse/Policy_Based_Routing hab ich
einen brauchbaren Artikel zu PBR gefunden. So richtig verstehen tu ich
in allerdings nicht. :)

Ich kann Pakete markieren, hier einfach mal mit 32:
iptables -A PREROUTING -t mangle -p tcp -d 176.31.245.160 -j MARK
--set-mark 32

Schiebe dann alle Pakete mit der Markierung 32 in die Regel 777:
ip rule add fwmark 32 priority 999 table 777

Wenn ich dann alle Pakete aus der Tabelle 777 ins WAN schieben will
(192.168.178.1 ist die Fritte vom Anschluss), dann laufen die Pakete auf
die Reject-Regel der iptables:
ip route add default via 192.168.178.1 dev br-wan table 777

Die IP gehört zu monip.org, wo man per Shell-Script diee eigene IP
auslesen kann (w3m -dump http://www.monip.org/ | awk -F': ' '/IP/ {
print $2 }')

Von hier aus komme ich leider seit ein paar Tagen nicht weiter.

Hat jemand eine Idee was ich hier falsch mache? Oder was u.u. noch fehlt?

Danke für die Mühe!


Gruß,
Marc


Am 28.12.2015 um 21:42 schrieb Philipp Borgers:
> Moin,
>
> guck dir mal Policy-Routing (ip rule help) und die entsprechen
> Konfigurations-Option in OpenWRT an.
>
> Über das Mesh sollen keinen VPN03 Tunnel aufgebaut werden. Die unten erwähnten
> Regel verhindern das teilweise. Die Liste der Server ist leider unvollständig.
> Wir arbeiten an einer besseren Lösung.
>
> Gruß Philipp
>
> On Mon, Dec 28, 2015 at 07:07:45PM +0100, Marc Kura wrote:
>> Hallo zusammen,
>>
>> Aus Performance-Gründen möchte ich bestimmten Traffic direkt ins
>> Internet ausleiten und nicht über den VPN-Tunnel schieben. Die Basis ist
>> dazu kathleen 0.1.1.
>>
>> Hier gab es ja mal eine Diskussion dazu, die ich leider nicht mehr
>> finde. In dem Fred ging es darum, dass VPN-Verbindungen grundsätzlich
>> nicht in den Freifunk-Tunnel geschoben werden, sondern direkt ins Internet.
>>
>> Im Router habe ich bisher nur folgende Konfiguration gefunden:
>>
>> /etc/config/firewall:
>> config rule
>>         option proto 'udp'
>>         option name 'Reject-VPN-over-ff-1'
>>         option dest 'freifunk'
>>         option dest_ip '77.87.48.10'
>>         option dest_port '1194'
>>         option target 'REJECT'
>>         option family 'ipv4'
>>
>> config rule
>>         option proto 'udp'
>>         option name 'Reject-VPN-over-ff-2'
>>         option dest 'freifunk'
>>         option dest_ip '77.87.49.66'
>>         option dest_port '1194'
>>         option target 'REJECT'
>>         option family 'ipv4'
>>
>> Meinem Verständnis nach bedeutet dies, dass ein Testrouter kein
>> Freifunk-VPN aufbauen kann, wenn er (zum testen) hinter einem
>> Freifunk-Router hängt (Reject)?
>>
>> Ich möchte z.B. alle Verbindungen zur IP 84.200.77.164 direkt ins
>> Internet leiten, oder von mir aus alle Verbindungen über Port 666. Wie
>> mach ich das?
>>
>>
>> Gruß,
>> Marc
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>>
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv

-- 
Marc Kura
Phone: +49-30-69201323 Fax: +49-30-69201737
mailto:email at kura.de
"Und Schäuble hat gesagt, für Ihn sind alle Menschen gleich - ob Deutsch
oder Ausländer .............alles Verbrecher!"

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160102/7e19f801/attachment.html>

Mehr Informationen über die Mailingliste Berlin