[Discuss] private VPN + OLSRd

Matthias Šubik (spam-protected)
Do Mai 1 23:36:25 CEST 2014


Hallo,
hier ein langer thread der sich auf der security-Liste entwickelt hat, aus der Frage wie man einen "sicheren" default-route Tunnel gleichzeitig mit Funkfeuer verwendet.

Ich fasse hier oben mal zusammen, alle Quellen hängen unten an, falls ich was falsch zitiert habe, bitte korrigiert mich.

Architektur:
PC->WLAN->Router->Mesh->Inet->VPN-Server

Was Markus und mich ein wenig verwirrt hat,
dass auf dem (linux)-PC Routen von Funkfeuer auftauchen. Also entweder läuft dort auch ein OLSR, oder wir haben die Frage nicht verstanden.

Weswegen wir diese Diskussion hier fortsetzen wollten, weil es möglicherweise gut erklärt, was passiert wenn man Tunnel und Mesh auf einem Device laufen lässt.

Wenn es sich um einen Tunnel handelt, der nur eine spezifische Route dem PC oder dem lokalen Netz zuordnet, kein Problem.
Allerdings ein Tunnel mit einer Default-Route kann von ungenutzt bis hängt das Mesh ab konfiguriert sein. 

Warum?
Ist der Tunnel nur hinzugefügt, wird er nicht genutzt, weil "bessere" Routen vorher wirken. Ist der Tunnel zu wichtig, saugt er alle Pakete an, auch die vom Tunnel verkapselten Pakete, bzw. Pakete die nicht aus dem Mesh raus sollten, weil es sonst nicht funktioniert.

Bitte flash, erklär doch mal Deinen Aufbau, vielleicht kommen wir drauf, warum da Tunnelrouten in Deinem PC spuken.

bG
Matthias



Begin forwarded message:

> From: Matthias Šubik <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 22:31:32 MESZ
> To: flash <(spam-protected)>
> Cc: "(spam-protected)" <(spam-protected)>
> 
> Wenn Du "flash" einverstanden bist,
> nehme ich den thread auf die discuss-Liste rüber, und wir machen mal ausführlich was von dem software strip alles in das routing reinspielt, und was nicht.
> 
> Sollte eine ganz gute allgemeine Erklärung werden, wie routing funktioniert, oder funktionieren kann.
> 
> bG
> Matthias
> 
> On 30.04.2014, at 20:53, Markus Kittenberger wrote:
> 
>> 
>> p.s. das ist eigentlich nicht wirklich gut auf der security liste
>> aufgehoben, zumindest das vorgelagerte olsrd/routing problem nicht (besser
>> wär z.b. die discuss liste)
> 
> -- 
> A: Yes.
>> Q: Are you sure?
>>> A: Because it reverses the logical flow of conversation.
>>>> Q: Why is top posting annoying in email?
> 
> 
> 
> 
> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: Markus Kittenberger <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 20:53:44 MESZ
> To: flash <(spam-protected)>
> Cc: "(spam-protected)" <(spam-protected)>
> 
>> 
>>> Also es geht um einen client, den ich hinter meinem Funkfeuer Router
>>> habe.
>> Gut. Also hat der Client
>> 1. nix mit olsr zu tun und
>> 2. das Funkfeuer-Netz ist quasi der Carrier für den OpenVPN-Traffic
>> 
> 
> Also in deinem routing table sind übrigens sehr wohl olsrd routen drin!
> (sieht mir nach den Routen eines silent olsrd-tunnels von uns aus)
> 
> z.b. 193.238.159.100 193.238.156.230 255.255.255.255 UGH       0 0
> 0 wlan1
> 
> und: 193.238.159.100 == vpn.tunnel.wien.funkfeuer.at.
> 
> Wenn du auf einem olsrd + zusätzlich eine eigene defaultroute haben willst,
> solltest du dir das gut überlegen, denn die default route darf nur für
> deinen lokalen traffic gelten, und nicht für transit traffic des funkfeuer
> netzes!
> 
> In der praxis heisst das entweder policy routing, oder 2 router einer für
> olsrd und einer fürs "lan".
> 
> 
>> sehr, sehr aufschlussreich. danke.
>> und wlan geht nicht? ich errinnere mich, am openwrt auch schon mit bridges
>> zutun gehabt zu haben und ein wlan gerät geadded zu haben.
>> *nichtmehr-errinner*
> 
> 
> obwohl ausreichend "layer2" ist hängt davon welcher modi (adhoc,
> station,ap, wds, etc.)
> 
> lg Markus
> 
> p.s. das ist eigentlich nicht wirklich gut auf der security liste
> aufgehoben, zumindest das vorgelagerte olsrd/routing problem nicht (besser
> wär z.b. die discuss liste)
> 
> 
>> sph4re flash # netstat -rn
>> Kernel IP Routentabelle
>> Ziel            Router          Genmask         Flags   MSS Fenster irtt
>> Iface
>> 0.0.0.0         193.238.156.230 128.0.0.0       UG        0 0          0
>> wlan1
>> 0.0.0.0         193.238.156.230 0.0.0.0         UG        0 0          0
>> wlan1
>> 10.9.8.0        10.9.8.5        255.255.255.0   UG        0 0          0
>> tun0
>> 10.9.8.5        0.0.0.0         255.255.255.255 UH        0 0          0
>> tun0
>> 78.41.115.128   193.238.156.230 255.255.255.128 UG        0 0          0
>> wlan1
>> 127.0.0.0       127.0.0.1       255.0.0.0       UG        0 0          0 lo
>> 128.0.0.0       193.238.156.230 128.0.0.0       UG        0 0          0
>> wlan1
>> 192.168.178.0   0.0.0.0         255.255.255.0   U         0 0          0
>> eth1
>> 193.238.156.107 193.238.156.230 255.255.255.255 UGH       0 0          0
>> wlan1
>> 193.238.156.117 193.238.156.230 255.255.255.255 UGH       0 0          0
>> wlan1
>> 193.238.156.148 193.238.156.230 255.255.255.255 UGH       0 0          0
>> wlan1
>> 193.238.156.230 193.238.156.230 255.255.255.255 UGH       0 0          0
>> wlan1
>> 193.238.157.0   193.238.156.230 255.255.255.128 UG        0 0          0
>> wlan1
>> 193.238.158.54  193.238.156.230 255.255.255.255 UGH       0 0          0
>> wlan1
>> 193.238.159.100 193.238.156.230 255.255.255.255 UGH       0 0          0
>> wlan1
>> 
>> sph4re flash # emerge --info
>> Portage 2.1.11.50 (default/linux/x86/13.0/desktop, gcc-4.5.3,
>> glibc-2.16.0, 2.6.39-gentoo-r3 i686)
>> =================================================================
>> System uname: (spam-protected)
>> 1.33GHz-with-gentoo-2.2
>> KiB Mem:     2055952 total,   1418408 free
>> KiB Swap:    4358140 total,   4358140 free
>> Timestamp of tree: Mon, 07 Apr 2014 03:00:01 +0000
>> ld GNU ld (GNU Binutils) 2.23.1
>> distcc 3.1 i686-pc-linux-gnu [disabled]
>> app-shells/bash:          4.2_p42
>> dev-java/java-config:     2.1.12-r1
>> dev-lang/python:          2.4.6, 2.5.4-r5, 2.6.8-r1, 2.7.3-r3, 3.1.4-r3,
>> 3.2.3-r2
>> dev-util/cmake:           2.8.10.2-r1
>> dev-util/pkgconfig:       0.28
>> sys-apps/baselayout:      2.2
>> sys-apps/openrc:          0.11.8
>> sys-apps/sandbox:         2.6
>> sys-devel/autoconf:       2.13, 2.69
>> sys-devel/automake:       1.11.6, 1.12.6, 1.13.1
>> sys-devel/binutils:       2.23.1
>> sys-devel/gcc:            4.5.3-r2, 4.6.3
>> sys-devel/gcc-config:     1.8
>> sys-devel/libtool:        2.4.2
>> sys-devel/make:           3.82-r4
>> sys-kernel/linux-headers: 3.7 (virtual/os-headers)
>> sys-libs/glibc:           2.16.0
>> Repositories: gentoo x-portage
>> ACCEPT_KEYWORDS="x86 ~x86"
>> ACCEPT_LICENSE="*"
>> CBUILD="i686-pc-linux-gnu"
>> CFLAGS="-O2 -pipe -march=native"
>> CHOST="i686-pc-linux-gnu"
>> CONFIG_PROTECT="/etc /usr/share/config /usr/share/gnupg/qualified.txt
>> /usr/share/polkit-1/actions /var/bind"
>> CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d
>> /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release /etc/revdep-rebuild
>> /etc/sandbox.d /etc/terminfo"
>> CXXFLAGS="-O2 -pipe -march=native"
>> DISTDIR="/usr/portage/distfiles"
>> FCFLAGS="-O2 -march=i686 -pipe"
>> FEATURES="assume-digests binpkg-logs config-protect-if-modified distlocks
>> ebuild-locks fixlafiles merge-sync news parallel-fetch protect-owned
>> sandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans"
>> FFLAGS="-O2 -march=i686 -pipe"
>> GENTOO_MIRRORS="ftp://ftp-stud.hs-esslingen.de/pub/Mirrors/gentoo/"
>> LANG="de_DE"
>> LDFLAGS="-Wl,-O1 -Wl,--as-needed"
>> MAKEOPTS="-j1"
>> PKGDIR="/usr/portage/packages"
>> PORTAGE_CONFIGROOT="/"
>> PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times
>> --compress --force --whole-file --delete --stats --human-readable
>> --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages"
>> PORTAGE_TMPDIR="/var/tmp"
>> PORTDIR="/usr/portage"
>> PORTDIR_OVERLAY="/usr/local/portage"
>> SYNC="rsync://rsync.gentoo.org/gentoo-portage"
>> USE="=npp PolicyKit PyGTK X a52 aac acl acpi alsa apic apm arts automount
>> avi bash-completition berkdb bluetooth branding bzip2 cairo cdaudio cdda
>> cddb cdparanoia cdr cgi cli consolekit cracklib crypt cxx dbus dga directfb
>> distcc divx dri dts dvd dvdr eap-sim emboss encode evdev exif fam fbcon
>> ffmpeg firefox fla flac flash fortran ftp gdbm gif gimp gnome gphoto2 gpm
>> gsm gstreamer gtk gzip hal hddtemp iconv imagemagick imap imlib injection
>> ios ipod ipv6 java jbig jpeg jpeg2 jpeg2k kaffeine kde keyboard lame lash
>> lcms ldap libcaca libnotify libsamplerate libwww lm_sensors lzma lzo mad
>> madwifi mdnsresponder-compat mikmod mmap mmx mng modplug modules motif
>> mouse mozilla mp3 mp4 mpack mpeg mpg123 mplayer msr mtp musepack ncurses
>> nforce2 nls nntp nptl nptlonly nvidia objc ogg opengl openmp osc oss pam
>> pango pcmcia pcre pdf perl plasma pmu png policykit posix postgres ppds
>> pulseaudio qt3support qt4 quicktime rdesktop readline recode samba sdl
>> semantic-desktop session sid sim smp sndfile soap sockets sound speex spell
>> sql sse sse2 ssl ssse3 startup-notification svg swf synaptics szip tcl tcpd
>> theora threads tiff truetype udev udisks ui unicode upower usb utempter v4l
>> v4l2 vcdinfo vme vorbis wavpack webkit wifi win32codecs wma wmf wxwidgets
>> x264 x86 xcb xine xinerama xml xmlrpc xscreensaver xulrunner xv xvid
>> zeroconf zlib zsh-completion" ABI_X86="32" ALSA_CARDS="ali5451 als4000
>> atiixp atiixp-modem bt87x ca0106 cmipci emu10k1 emu10k1x ens1370 ens1371
>> es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio
>> via82xx via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core
>> socache_shmcb unixd actions alias auth_basic authn_alias authn_anon
>> authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile
>> authz_host authz_owner authz_user autoindex cache cgi cgid dav dav_fs
>> dav_lock deflate dir disk_cache env expires ext_filter file_cache filter
>> headers include info log_config logio mem_cache mime mime_magic negotiation
>> rewrite setenvif speling status unique_id userdir usertrack vhost_alias"
>> CALLIGRA_FEATURES="kexi words flow plan sheets stage tables krita karbon
>> braindump author" CAMERAS="ptp2" COLLECTD_PLUGINS="df interface irq load
>> memory rrdtool swap syslog" ELIBC="glibc" GPSD_PROTOCOLS="ashtech aivdm
>> earthmate evermore fv18 garmin garmintxt gpsclock itrax mtk3301 nmea ntrip
>> navcom oceanserver oldstyle oncore rtcm104v2 rtcm104v3 sirf superstar2
>> timing tsip tripmate tnt ublox ubx" INPUT_DEVICES="synaptics evdev fbdev
>> mouse keyboard penmount" KERNEL="linux" LCD_DEVICES="bayrad cfontz
>> cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text"
>> LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer"
>> LINGUAS="de" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-5"
>> PYTHON_SINGLE_TARGET="python2_7" PYTHON_TARGETS="python2_7 python3_3"
>> RUBY_TARGETS="ruby19 ruby20" USERLAND="GNU" VIDEO_CARDS="vesa vesafb intel"
>> XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options ipset ipp2p
>> iface geoip fuzzy condition tee tarpit sysrq steal rawnat logmark ipmark
>> dhcpmac delude chaos account"
>> Unset:  CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL,
>> PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS,
>> PORTAGE_RSYNC_EXTRA_OPTS, USE_PYTHON
>> 
>> 
>> 
>>> bG
>>> Matthias
>>> ps: und was für ein OS und die Versionsnummern aller betroffenen Teile
>>> das ist, hilft vielleicht auch ;)
>>> 
>> 
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>> 
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
>> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: flash <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 14:28:25 MESZ
> To: (spam-protected)
> 
> On 30.04.2014 13:42, Matthias Šubik wrote:
>> Hi,
>> On 30.04.2014, at 13:24, flash wrote:
>> ...
>>> Ich hätte eine Frage bzw. OpenVPN.
>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so, dass die Konfigurationsoption "redirect-gateway autolocal" oder "redirect-gateway block-local" genügt,
>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache. Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die Oberhand zu gewinnen.
>> Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle mit
>> der gleichen metric in einer routing tabelle sind.
>>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber wlan geräte kann ich mit brctl nicht adden.
>> ???
>> openvpn via tap?
>> für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein Layer
>> 3 und ein Layer 2 Device.
>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das Funkfeuer.
>> Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
>> am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
>> ist, aber eben nicht der Funkfeuer VPN Server.
>> Falls ich richtig liege, musst Du zum Testen nur nach dem
>> "Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
>> Priorität in den Tunnel zeigt.
>> Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
>> aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
>> openvpn zu bekommen.
>> Dann ist es leichter den Unterschied zu erklären.
>> bG
>> Matthias
>> ps: und was für ein OS und die Versionsnummern aller betroffenen Teile
>> das ist, hilft vielleicht auch ;)
> 
>       *** olsr.org -  0.6.4-git_-hash_8a6821cb751e59fb6421fd436bf8fc31  - (2012-12-02 03:41:48 on sph4re) ***
> 
> --- 14:17:09.901748 ---------------------------------------------------- LINKS
> 
> IP address       hyst         LQ       ETX
> 193.238.156.230  0.000  1.000/1.000    1.000
> 
> --- 14:17:09.901994 ----------------------- TWO-HOP NEIGHBORS
> 
> IP addr (2-hop)  IP addr (1-hop)  Total cost
> 193.238.159.100  193.238.156.148  2.000
> /
> 
> 
> ausserdem:
> 
> sph4re flash # openvpn --config /etc/openvpn/openvpn.conf
> Wed Apr 30 14:03:51 2014 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Apr  7 2014
> Wed Apr 30 14:03:51 2014 WARNING: file '/etc/openvpn/easy-rsa/keys/netbook.key' is group or others accessible
> Wed Apr 30 14:03:51 2014 Socket Buffers: R=[114688->131072] S=[114688->131072]
> Wed Apr 30 14:03:51 2014 UDPv4 link local: [undef]
> Wed Apr 30 14:03:51 2014 UDPv4 link remote: [AF_INET]178.63.132.61:1194
> Wed Apr 30 14:03:51 2014 TLS: Initial packet from [AF_INET]178.63.132.61:1194, sid=c071be0a 808ac313
> Wed Apr 30 14:03:52 2014 VERIFY OK: depth=1, C=DE, ST=DE, L=Nuernberg, O=itflash, OU=itflash, CN=itflash, name=itflash, emailAddress=(spam-protected)
> Wed Apr 30 14:03:52 2014 Validating certificate key usage
> Wed Apr 30 14:03:52 2014 ++ Certificate has key usage  00a0, expects 00a0
> Wed Apr 30 14:03:52 2014 VERIFY KU OK
> Wed Apr 30 14:03:52 2014 Validating certificate extended key usage
> Wed Apr 30 14:03:52 2014 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
> Wed Apr 30 14:03:52 2014 VERIFY EKU OK
> Wed Apr 30 14:03:52 2014 VERIFY OK: depth=0, C=DE, ST=DE, L=Nuernberg, O=itflash, OU=itflash, CN=server, name=itflash, emailAddress=(spam-protected)
> Wed Apr 30 14:03:53 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
> Wed Apr 30 14:03:53 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
> Wed Apr 30 14:03:53 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
> Wed Apr 30 14:03:53 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
> Wed Apr 30 14:03:53 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
> Wed Apr 30 14:03:53 2014 [server] Peer Connection Initiated with [AF_INET]178.63.132.61:1194
> Wed Apr 30 14:03:55 2014 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
> Wed Apr 30 14:03:55 2014 PUSH: Received control message: 'PUSH_REPLY,route 10.9.8.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.9.8.6 10.9.8.5'
> Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: timers and/or timeouts modified
> Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: --ifconfig/up options modified
> Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: route options modified
> Wed Apr 30 14:03:55 2014 ROUTE_GATEWAY 193.238.156.230
> Wed Apr 30 14:03:55 2014 TUN/TAP device tun0 opened
> Wed Apr 30 14:03:55 2014 TUN/TAP TX queue length set to 100
> Wed Apr 30 14:03:55 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
> Wed Apr 30 14:03:55 2014 /bin/ip link set dev tun0 up mtu 1500
> Wed Apr 30 14:03:55 2014 /bin/ip addr add dev tun0 local 10.9.8.6 peer 10.9.8.5
> Wed Apr 30 14:03:55 2014 /bin/ip route add 10.9.8.0/24 via 10.9.8.5
> Wed Apr 30 14:03:55 2014 Initialization Sequence Completed
> Wed Apr 30 14:15:32 2014 write UDPv4: Network is unreachable (code=101)
> Wed Apr 30 14:15:42 2014 write UDPv4: Network is unreachable (code=101)
> 
> sph4re flash # ping 10.9.8.1
> PING 10.9.8.1 (10.9.8.1) 56(84) bytes of data.
> 64 bytes from 10.9.8.1: icmp_seq=1 ttl=64 time=203 ms
> 64 bytes from 10.9.8.1: icmp_seq=2 ttl=64 time=61.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=3 ttl=64 time=81.8 ms
> 64 bytes from 10.9.8.1: icmp_seq=4 ttl=64 time=66.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=5 ttl=64 time=78.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=6 ttl=64 time=77.1 ms
> 64 bytes from 10.9.8.1: icmp_seq=7 ttl=64 time=57.4 ms
> 64 bytes from 10.9.8.1: icmp_seq=8 ttl=64 time=62.2 ms
> 64 bytes from 10.9.8.1: icmp_seq=9 ttl=64 time=78.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=10 ttl=64 time=52.4 ms
> 64 bytes from 10.9.8.1: icmp_seq=11 ttl=64 time=60.2 ms
> 64 bytes from 10.9.8.1: icmp_seq=12 ttl=64 time=64.1 ms
> 64 bytes from 10.9.8.1: icmp_seq=13 ttl=64 time=83.5 ms
> 64 bytes from 10.9.8.1: icmp_seq=14 ttl=64 time=54.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=15 ttl=64 time=77.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=16 ttl=64 time=61.2 ms
> 64 bytes from 10.9.8.1: icmp_seq=17 ttl=64 time=54.4 ms
> 64 bytes from 10.9.8.1: icmp_seq=18 ttl=64 time=71.6 ms
> 64 bytes from 10.9.8.1: icmp_seq=19 ttl=64 time=52.3 ms
> 64 bytes from 10.9.8.1: icmp_seq=20 ttl=64 time=83.4 ms
> ^C
> --- 10.9.8.1 ping statistics ---
> 20 packets transmitted, 20 received, 0% packet loss, time 19036ms
> rtt min/avg/max/mdev = 52.344/74.092/203.530/31.514 ms
> 
> 
> das wäre dann auch das default gateway.
> 
> 
> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: flash <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 14:20:28 MESZ
> To: (spam-protected)
> 
> On 30.04.2014 13:42, Matthias Šubik wrote:
>> Hi,
>> On 30.04.2014, at 13:24, flash wrote:
>> ...
>>> Ich hätte eine Frage bzw. OpenVPN.
>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so, dass die Konfigurationsoption "redirect-gateway autolocal" oder "redirect-gateway block-local" genügt,
>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache. Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die Oberhand zu gewinnen.
>> Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle mit
>> der gleichen metric in einer routing tabelle sind.
>>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber wlan geräte kann ich mit brctl nicht adden.
>> ???
>> openvpn via tap?
>> für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein Layer
>> 3 und ein Layer 2 Device.
> 
> sehr, sehr aufschlussreich. danke.
> und wlan geht nicht? ich errinnere mich, am openwrt auch schon mit bridges zutun gehabt zu haben und ein wlan gerät geadded zu haben. *nichtmehr-errinner*
> 
>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das Funkfeuer.
>> Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
>> am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
>> ist, aber eben nicht der Funkfeuer VPN Server.
>> Falls ich richtig liege, musst Du zum Testen nur nach dem
>> "Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
>> Priorität in den Tunnel zeigt.
>> Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
>> aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
>> openvpn zu bekommen.
>> Dann ist es leichter den Unterschied zu erklären.
> 
> sph4re flash # netstat -rn
> Kernel IP Routentabelle
> Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
> 0.0.0.0         193.238.156.230 128.0.0.0       UG        0 0          0 wlan1
> 0.0.0.0         193.238.156.230 0.0.0.0         UG        0 0          0 wlan1
> 10.9.8.0        10.9.8.5        255.255.255.0   UG        0 0          0 tun0
> 10.9.8.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
> 78.41.115.128   193.238.156.230 255.255.255.128 UG        0 0          0 wlan1
> 127.0.0.0       127.0.0.1       255.0.0.0       UG        0 0          0 lo
> 128.0.0.0       193.238.156.230 128.0.0.0       UG        0 0          0 wlan1
> 192.168.178.0   0.0.0.0         255.255.255.0   U         0 0          0 eth1
> 193.238.156.107 193.238.156.230 255.255.255.255 UGH       0 0          0 wlan1
> 193.238.156.117 193.238.156.230 255.255.255.255 UGH       0 0          0 wlan1
> 193.238.156.148 193.238.156.230 255.255.255.255 UGH       0 0          0 wlan1
> 193.238.156.230 193.238.156.230 255.255.255.255 UGH       0 0          0 wlan1
> 193.238.157.0   193.238.156.230 255.255.255.128 UG        0 0          0 wlan1
> 193.238.158.54  193.238.156.230 255.255.255.255 UGH       0 0          0 wlan1
> 193.238.159.100 193.238.156.230 255.255.255.255 UGH       0 0          0 wlan1
> 
> sph4re flash # emerge --info
> Portage 2.1.11.50 (default/linux/x86/13.0/desktop, gcc-4.5.3, glibc-2.16.0, 2.6.39-gentoo-r3 i686)
> =================================================================
> System uname: (spam-protected)
> KiB Mem:     2055952 total,   1418408 free
> KiB Swap:    4358140 total,   4358140 free
> Timestamp of tree: Mon, 07 Apr 2014 03:00:01 +0000
> ld GNU ld (GNU Binutils) 2.23.1
> distcc 3.1 i686-pc-linux-gnu [disabled]
> app-shells/bash:          4.2_p42
> dev-java/java-config:     2.1.12-r1
> dev-lang/python:          2.4.6, 2.5.4-r5, 2.6.8-r1, 2.7.3-r3, 3.1.4-r3, 3.2.3-r2
> dev-util/cmake:           2.8.10.2-r1
> dev-util/pkgconfig:       0.28
> sys-apps/baselayout:      2.2
> sys-apps/openrc:          0.11.8
> sys-apps/sandbox:         2.6
> sys-devel/autoconf:       2.13, 2.69
> sys-devel/automake:       1.11.6, 1.12.6, 1.13.1
> sys-devel/binutils:       2.23.1
> sys-devel/gcc:            4.5.3-r2, 4.6.3
> sys-devel/gcc-config:     1.8
> sys-devel/libtool:        2.4.2
> sys-devel/make:           3.82-r4
> sys-kernel/linux-headers: 3.7 (virtual/os-headers)
> sys-libs/glibc:           2.16.0
> Repositories: gentoo x-portage
> ACCEPT_KEYWORDS="x86 ~x86"
> ACCEPT_LICENSE="*"
> CBUILD="i686-pc-linux-gnu"
> CFLAGS="-O2 -pipe -march=native"
> CHOST="i686-pc-linux-gnu"
> CONFIG_PROTECT="/etc /usr/share/config /usr/share/gnupg/qualified.txt /usr/share/polkit-1/actions /var/bind"
> CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release /etc/revdep-rebuild /etc/sandbox.d /etc/terminfo"
> CXXFLAGS="-O2 -pipe -march=native"
> DISTDIR="/usr/portage/distfiles"
> FCFLAGS="-O2 -march=i686 -pipe"
> FEATURES="assume-digests binpkg-logs config-protect-if-modified distlocks ebuild-locks fixlafiles merge-sync news parallel-fetch protect-owned sandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans"
> FFLAGS="-O2 -march=i686 -pipe"
> GENTOO_MIRRORS="ftp://ftp-stud.hs-esslingen.de/pub/Mirrors/gentoo/"
> LANG="de_DE"
> LDFLAGS="-Wl,-O1 -Wl,--as-needed"
> MAKEOPTS="-j1"
> PKGDIR="/usr/portage/packages"
> PORTAGE_CONFIGROOT="/"
> PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --stats --human-readable --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages"
> PORTAGE_TMPDIR="/var/tmp"
> PORTDIR="/usr/portage"
> PORTDIR_OVERLAY="/usr/local/portage"
> SYNC="rsync://rsync.gentoo.org/gentoo-portage"
> USE="=npp PolicyKit PyGTK X a52 aac acl acpi alsa apic apm arts automount avi bash-completition berkdb bluetooth branding bzip2 cairo cdaudio cdda cddb cdparanoia cdr cgi cli consolekit cracklib crypt cxx dbus dga directfb distcc divx dri dts dvd dvdr eap-sim emboss encode evdev exif fam fbcon ffmpeg firefox fla flac flash fortran ftp gdbm gif gimp gnome gphoto2 gpm gsm gstreamer gtk gzip hal hddtemp iconv imagemagick imap imlib injection ios ipod ipv6 java jbig jpeg jpeg2 jpeg2k kaffeine kde keyboard lame lash lcms ldap libcaca libnotify libsamplerate libwww lm_sensors lzma lzo mad madwifi mdnsresponder-compat mikmod mmap mmx mng modplug modules motif mouse mozilla mp3 mp4 mpack mpeg mpg123 mplayer msr mtp musepack ncurses nforce2 nls nntp nptl nptlonly nvidia objc ogg opengl openmp osc oss pam pango pcmcia pcre pdf perl plasma pmu png policykit posix postgres ppds pulseaudio qt3support qt4 quicktime rdesktop readline recode samba sdl semantic-desktop session sid sim smp sndfile soap sockets sound speex spell sql sse sse2 ssl ssse3 startup-notification svg swf synaptics szip tcl tcpd theora threads tiff truetype udev udisks ui unicode upower usb utempter v4l v4l2 vcdinfo vme vorbis wavpack webkit wifi win32codecs wma wmf wxwidgets x264 x86 xcb xine xinerama xml xmlrpc xscreensaver xulrunner xv xvid zeroconf zlib zsh-completion" ABI_X86="32" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1 emu10k1x ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core socache_shmcb unixd actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache cgi cgid dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" CALLIGRA_FEATURES="kexi words flow plan sheets stage tables krita karbon braindump author" CAMERAS="ptp2" COLLECTD_PLUGINS="df interface irq load memory rrdtool swap syslog" ELIBC="glibc" GPSD_PROTOCOLS="ashtech aivdm earthmate evermore fv18 garmin garmintxt gpsclock itrax mtk3301 nmea ntrip navcom oceanserver oldstyle oncore rtcm104v2 rtcm104v3 sirf superstar2 timing tsip tripmate tnt ublox ubx" INPUT_DEVICES="synaptics evdev fbdev mouse keyboard penmount" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer" LINGUAS="de" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-5" PYTHON_SINGLE_TARGET="python2_7" PYTHON_TARGETS="python2_7 python3_3" RUBY_TARGETS="ruby19 ruby20" USERLAND="GNU" VIDEO_CARDS="vesa vesafb intel" XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options ipset ipp2p iface geoip fuzzy condition tee tarpit sysrq steal rawnat logmark ipmark dhcpmac delude chaos account"
> Unset:  CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL, PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS, USE_PYTHON
> 
>> bG
>> Matthias
>> ps: und was für ein OS und die Versionsnummern aller betroffenen Teile
>> das ist, hilft vielleicht auch ;)
> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: Adi Kriegisch <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 14:15:12 MESZ
> To: flash <(spam-protected)>
> Cc: (spam-protected)
> 
> Hallo!
> 
>> Ich hoffe mal, ich quote jetzt richtig. :)
>> Also es geht um einen client, den ich hinter meinem Funkfeuer Router  
>> habe.
> Gut. Also hat der Client
> 1. nix mit olsr zu tun und
> 2. das Funkfeuer-Netz ist quasi der Carrier für den OpenVPN-Traffic
> 
>> Der geht ja über unverschlüsseltes WLAN bis zum Router.
>> Jetzt dachte ich, ich sichere das WLAN ab, indem ich ein VPN zu meinem  
>> Vserver einrichte.
> Ok...
> 
>> Das Problem ist nur, dass ich zwar das VPN offen habe, und an meinem  
>> Vserver eine route zum surfen, der client allerdings
>> weiter über die Funkfeuer Route surft und nicht über das OpenVPN...  
>> durch das Funkfeuer hindurch.
> Naja, aber das hat nix mit Funkfeuer zu tun sondern ist ein Client-Problem,
> oder versteh ich das falsch?
> 
>> So wie es unter openssh tunnel läuft.
>> Wenn ich den client an ein Netzwerkkabel anschliesse und nur eine  
>> default route habe, geht die OpenVPN directive "redirect gateway", der  
>> entfernt dann intern
> Warum hast Du mehrere default routes, wenn Du am WLAN hängst? Da stimmt
> irgendwas nicht.
> Und wo genau kommt da das olsr zum tragen?
> 
> Glg Adi
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: flash <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 14:01:17 MESZ
> To: (spam-protected)
> 
> On 30.04.2014 13:40, Adi Kriegisch wrote:
>> Hallo!
>>> Ich hätte eine Frage bzw. OpenVPN.
>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so,
>>> dass die Konfigurationsoption "redirect-gateway autolocal" oder
>>> "redirect-gateway block-local" genügt,
>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache.
>>> Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
>>> Oberhand zu gewinnen. Warum ist mir schon klar.
>> (...)
>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>>> Funkfeuer.
> 
> 
>> Ich bin nicht sicher, ob ich verstehe, was Du tun willst:
>> geht es Dir um einen Router oder um Dein Endgerät? -- surfst Du über WLAN
>> mit OpenVPN-Tunnel oder willst Du auf Deinem Funkfeuer-Router ein OpenVPN
>> durch das Dein Traffic durchgeht?
>> lg Adi
> 
> 
> Ich hoffe mal, ich quote jetzt richtig. :)
> Also es geht um einen client, den ich hinter meinem Funkfeuer Router habe.
> Der geht ja über unverschlüsseltes WLAN bis zum Router.
> Jetzt dachte ich, ich sichere das WLAN ab, indem ich ein VPN zu meinem Vserver einrichte.
> Das Problem ist nur, dass ich zwar das VPN offen habe, und an meinem Vserver eine route zum surfen, der client allerdings
> weiter über die Funkfeuer Route surft und nicht über das OpenVPN... durch das Funkfeuer hindurch.
> 
> So wie es unter openssh tunnel läuft.
> Wenn ich den client an ein Netzwerkkabel anschliesse und nur eine default route habe, geht die OpenVPN directive "redirect gateway", der entfernt dann intern
> die Default route vom Netzwerk und schleusst jeden Traffic des clients durch das OpenVPN.
> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: Matthias Šubik <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 13:42:19 MESZ
> To: flash <(spam-protected)>
> Cc: (spam-protected)
> 
> Hi,
> On 30.04.2014, at 13:24, flash wrote:
> ...
>> Ich hätte eine Frage bzw. OpenVPN.
>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so, dass die Konfigurationsoption "redirect-gateway autolocal" oder "redirect-gateway block-local" genügt,
>> und ich kann über das VPN als default surfen und nicht über das LAN.
>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache. Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die Oberhand zu gewinnen.
> 
> Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle mit der gleichen metric in einer routing tabelle sind.
> 
>> 
>> 
>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber wlan geräte kann ich mit brctl nicht adden.
> 
> ???
> openvpn via tap?
> für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein Layer 3 und ein Layer 2 Device.
>> 
>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das Funkfeuer.
>> 
> Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo ist, aber eben nicht der Funkfeuer VPN Server.
> Falls ich richtig liege, musst Du zum Testen nur nach dem "Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer Priorität in den Tunnel zeigt.
> 
> Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start aller Interfaces, nach dem Start von OLSRd, und nach dem Start von openvpn zu bekommen.
> 
> Dann ist es leichter den Unterschied zu erklären.
> 
> bG
> Matthias
> ps: und was für ein OS und die Versionsnummern aller betroffenen Teile das ist, hilft vielleicht auch ;)
> 
> -- 
> A: Yes.
>> Q: Are you sure?
>>> A: Because it reverses the logical flow of conversation.
>>>> Q: Why is top posting annoying in email?
> 
> 
> 
> 
> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: Adi Kriegisch <(spam-protected)>
> Subject: Re: [FF-Security] Openvpn default route
> Date: 30. April 2014 13:40:04 MESZ
> To: flash <(spam-protected)>
> Cc: (spam-protected)
> 
> Hallo!
> 
>> Ich hätte eine Frage bzw. OpenVPN.
>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so,  
>> dass die Konfigurationsoption "redirect-gateway autolocal" oder  
>> "redirect-gateway block-local" genügt,
>> und ich kann über das VPN als default surfen und nicht über das LAN.
>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache.  
>> Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die  
>> Oberhand zu gewinnen. Warum ist mir schon klar.
> (...)
>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das  
>> Funkfeuer.
> Ich bin nicht sicher, ob ich verstehe, was Du tun willst:
> geht es Dir um einen Router oder um Dein Endgerät? -- surfst Du über WLAN
> mit OpenVPN-Tunnel oder willst Du auf Deinem Funkfeuer-Router ein OpenVPN
> durch das Dein Traffic durchgeht?
> 
> lg Adi
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.
Begin forwarded message:

> From: flash <(spam-protected)>
> Subject: [FF-Security] Openvpn default route
> Date: 30. April 2014 13:24:25 MESZ
> To: (spam-protected)
> 
> Hallo liebe Liste.
> Es ist das erste mal, dass ich hier hin schreibe.
> Ich hätte eine Frage bzw. OpenVPN.
> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so, dass die Konfigurationsoption "redirect-gateway autolocal" oder "redirect-gateway block-local" genügt,
> und ich kann über das VPN als default surfen und nicht über das LAN.
> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache. Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die Oberhand zu gewinnen. Warum ist mir schon klar.
> Zuerst hat er gemeldet, er wüsste nicht, welches die default route ist. Mitlerweile kommt diese Meldung nicht mehr, es tut sich aber keine Veränderung. Also keine Magie. :p
> 
> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber wlan geräte kann ich mit brctl nicht adden.
> 
> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das Funkfeuer.
> 
> Bisher habe ich dafür einen openssh tunnel geöffnet, der funktioniert aber nur pro Port.
> 
> mfg,
> Christian Fladung
> 
> _______________________________________________
> Security mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/security
> 
> Funkfeuer Security Mailing List.
> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
> Off-topic: allgemeines, flames, etc.

-- 
A: Yes.
> Q: Are you sure?
>> A: Because it reverses the logical flow of conversation.
>>> Q: Why is top posting annoying in email?








Mehr Informationen über die Mailingliste Discuss