Willkommen |
|
myGully |
|
Links |
|
Forum |
|
|
|
|
07.02.14, 15:49
|
#1
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Kurzer IP Leak bei Reboot openwrt
Hi,
also ich habe einen Tplink WDR3500 mit neustem openwrt.
Es läuft luci drauf.
Aufbau:
Fritzbox(telekom) -> Wlan -> wlan-lan-bridge -> WDR3500 ( mit openvpn) -> Wlan -> Gerät
Es funktioniert eigentlich alles, außer dass, wenn der Router rebootet am Anfang 1 Minute lang die Telekom IP hat und dann zum VPN verbindet....
Wie kann ich das in der Firewall bzw anders wo einstellen, dass es KEINE Verbindung nach draußen gehen soll von den Geräten wenn der VPN nicht an ist?
|
|
|
07.02.14, 16:12
|
#2
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Mit Iptables müsste das ca. so ausshen:
iptables -I FORWARD -i <wlan interface> -o <vpninterface>-j ACCEPT
iptables -I FORWARD -i <vpninterface> -o <wlaninterface> -j ACCEPT
iptables -I FORWARD -i <wlaninterface> -o <InterfacezurFritzbox> -j DROP
iptables -I INPUT -i <vpninterface> -j REJECT
iptables -t nat -A POSTROUTING -o <vpninterface> -j MASQUERADE
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
07.02.14, 16:15
|
#3
|
Banned by himself
Registriert seit: May 2009
Beiträge: 2.938
Bedankt: 2.106
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
Lebt wohl war mir eine Freude über viele Jahre mit euch, zumindest mit jenen die mich nicht des trollens bezichtigten...
|
|
|
07.02.14, 17:52
|
#4
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Erster Test mit spartan-b292 iptables lief schon mal gut
Gut, denn es sollte mich ja auch vor VPN-Disconnects schützen, oder?
Das hieße, wenn openvpn mal abnudelt, dass das Internet hinter openwrt komplett aus ist?
Hab aber auch nen cron drin, mit
*/1 * * * * ifconfig tun0 || /etc/init.d/vpnserive start
(Prüfe jede Minute ob tun0 verfügbar ist, ansonsten starte vpn?)
|
|
|
07.02.14, 18:20
|
#5
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Vllt solltest du die Firewallregeln auch noch um das LAN-Interface erweitern, auch wenn da gerade nichts dran ist.
Der Cronjob funktioniert glaube so nicht.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
08.02.14, 10:40
|
#6
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Warum sollte er nicht funktionieren?
vpnservice ist ein startskript mit openvpn --config..... usw
|
|
|
08.02.14, 11:08
|
#7
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Ja du hast recht, ich hab nicht richtig gelesen.
Was man alternativ noch machen könnte ist in /etc/interfaces einen post-down eintrag zu machen, der die Verbindung neu startet. Momentan könnte ja folgendes passieren
14:00:00 Cronjob wird gestartet, VPN Läuft, nichts zu tun.
14:00:05 VPN fällt aus
-----Nichts passiert
14:01:00 VPN wird neu gestaret
Was bedeutet dass du im schlechtesten Fall 59 Sekunden warten musst, mit einem post-down könntest du diese Zeit vermutlich fast auf 0 reduzieren.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
08.02.14, 11:29
|
#8
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Wegen LAN Interface:
Mein "Konfigurator-PC" hängt über LAN dran, und auch dort konnte ich kein IP-Leak am Anfang mehr feststellen.
Sollte also auch so passen...
Ich geh mal davon aus, dass der VPN nicht andauernd abstürzt
ich habe den Check jetzt auch auf 5 Minuten erhöht.
Falls der VPN ausfällt, würde ich ja gar keine Verbindung mehr haben, und das kam noch nicht vor.
Außerdem habe ich einen reboot um 4 Uhr nachts drin, der spätestens dann alles wieder gerade rückt.
Ich würd mir die post-down geschichte mal ankucken, aber mal grob:
bein tun0 iface einfach ein
"post-down /etc/init.d/vpnserive start" rein?
|
|
|
08.02.14, 12:32
|
#9
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Zitat:
bein tun0 iface einfach ein
"post-down /etc/init.d/vpnserive start" rein?
|
Jep. Vorrausgesetzt dass Open-Wrt das unterstützt. Ich gehe aber mal davon aus.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
08.02.14, 22:56
|
#10
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
wens interessiert: zu post-down/up hab ich bei openwrt nur hotplug gefunden.
funktioniert ähnlich.....
|
|
|
18.05.14, 11:56
|
#11
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
@spartan-b292
Ich hab jetzt ein neues "Problem".
Ich weiß nicht, woran es liegt, aber in letzter Zeit habe ich nach unterschiedlichen Zeiten keinen Internetaccess mehr über den VPN.
Er sagt zwar, dass VPN läuft und tun0 ist aktiv; es hilft aber nur ein VPN-Restart.
Mit deinen iptables kann ich von ssh keinen ping mehr absenden, um zu checken, ob ich Internetaccess habe, und wenn nicht, einfach restarten lassen.....
Kann man die so modifiziern, dass ein ping gesendet/empfangen werden kann?
Aber nicht so, dass er sich am VPN vorbeimogeln kann ^^
|
|
|
18.05.14, 12:10
|
#12
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Zitat:
Mit deinen iptables kann ich von ssh keinen ping mehr absenden
|
Du pingst was an? Eine IP im Internet?
Und von wo verbindest du dich wohin mit ssh?
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
18.05.14, 12:13
|
#13
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Ich logge mich mit Putty/SSH beim Router ein, und mach ping -c1 8.8.8.8, und bekomme 100% loss
ich hätte nämlich gern nen cronjob (jede minute) ping 8.8.8.8 || "restart vpn"
Auch wenn das Internet geht, macht er hier nen restart :S
|
|
|
18.05.14, 12:20
|
#14
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Wenn ich das jetzt richtig verstehe willst du einen Cronjob der dein vpn neustartet wenn du keine Verbindung ins Internet hast?
Das kannst du mit einem S***** machen was ca. so aussieht
Zitat:
do
ergebnis=$(ping -c 1 8.8.8.8 | grep 'received' | awk -F',' '{ print $2 }' | awk '{ print $1 }')
if [ $ergebnis -eq 0 ]; then
restart vpn
fi
done
|
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
18.05.14, 12:24
|
#15
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Ja so in der Art.
Ohne iptables, funktioniert mein ping 8.8.8.8 || "restart vpn".
Es geht nur kein ping durch deine iptables ^^
Ich dachte an sowas wie:
iptables -D INPUT -p icmp -j DROP
an deine iptables anfügen, damit nur ping ungehindert durch kann...
aber ich glaub nicht, dass diese Zeile reicht.
|
|
|
18.05.14, 12:31
|
#16
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Ah verstehe.
Versuch es mal damit:
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iiptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iiptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
18.05.14, 12:48
|
#17
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Hilft nicht, ABER:
Ich hab im Menü rumgeklickt und stoße auf das:
http://i.imgur.com/KiiLip6.jpg
Jeder Ping, den ich absende, landet hier und wird sofort geblockt.
Woher kommt diese Regel?
|
|
|
18.05.14, 12:55
|
#18
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Lösche doch noch mal alle Regeln mit
iptables -F
Und Lege die Regeln aus meinem Ersten post noch mal an. Wenn die dann wieder auftauchen weißt du das es damit zu tun hat .
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
18.05.14, 12:59
|
#19
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Also, ich hab jetzt mal rumgemacht, und bekomme folgendes raus:
In deinen iptables steht ja:
iptables -I INPUT -i tun0 -j REJECT
Ich habe jetzt nach dieser noch diese Line eingefügt:
iptables -I INPUT -i tun0 -p icmp -j ACCEPT
Ansonsten ist alles so wie oben von dir.
Es funktioniert!
Aber hab ich jetzt irgendein Loch?
So wie ich das verstehe:
Deine Regel:
Blocke alles was über tun0 kommt.
Meine Regel:
Erlaube nur icmp.
|
|
|
18.05.14, 13:12
|
#20
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Zitat:
Deine Regel:
Blocke alles was über tun0 kommt.
|
Richtig, deshalb war die Idee das wieder mit den Regeln aus #16 zu erlauben. Es kann sein dass ich da aber einfach einen Fehler gemacht habe.
Ich würde sagen, dass deine Regel funktioniert du musst aber glaube noch eine haben die alles andere verwirft.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
18.05.14, 13:22
|
#21
|
Erfahrener Newbie
Registriert seit: Jul 2009
Beiträge: 145
Bedankt: 35
|
Ich sag mal so:
Die wichtigen Dinge, wie "kein Internet ohne VPN", funktionieren allem Anschein nach.
Ach du meinst, alles was kein ICMP ist, verwerfen?
Macht das nicht deine in Kombination mit meiner?
iptables -I INPUT -i tun0 -j REJECT
iptables -I INPUT -i tun0 -p icmp -j ACCEPT
So in der Art:
Mach die Tür komplett zu.
Mach die Tür einen Spalt auf, dass nur Pings durchpassen.
?
|
|
|
18.05.14, 15:42
|
#22
|
Echter Freak
Registriert seit: Mar 2010
Ort: /home/spartan-b292
Beiträge: 2.856
Bedankt: 1.700
|
Ja wenn du beide zusammen nimmst ist das okay. Ich dachte dass du "meine" Regel durch "deine" ersetzt hast.
__________________
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety"
|
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 03:36 Uhr.
().
|