[Discuss] private VPN + OLSRd
flash
(spam-protected)
Sa Mai 3 14:10:27 CEST 2014
On 01.05.2014 23:36, Matthias Šubik wrote:
> Hallo,
> hier ein langer thread der sich auf der security-Liste entwickelt hat,
> aus der Frage wie man einen "sicheren" default-route Tunnel
> gleichzeitig mit Funkfeuer verwendet.
>
> Ich fasse hier oben mal zusammen, alle Quellen hängen unten an, falls
> ich was falsch zitiert habe, bitte korrigiert mich.
>
> Architektur:
> PC->WLAN->Router->Mesh->Inet->VPN-Server
>
> Was Markus und mich ein wenig verwirrt hat,
> dass auf dem (linux)-PC Routen von Funkfeuer auftauchen. Also entweder
> läuft dort auch ein OLSR, oder wir haben die Frage nicht verstanden.
>
> Weswegen wir diese Diskussion hier fortsetzen wollten, weil es
> möglicherweise gut erklärt, was passiert wenn man Tunnel und Mesh auf
> einem Device laufen lässt.
>
> Wenn es sich um einen Tunnel handelt, der nur eine spezifische Route
> dem PC oder dem lokalen Netz zuordnet, kein Problem.
> Allerdings ein Tunnel mit einer Default-Route kann von ungenutzt bis
> hängt das Mesh ab konfiguriert sein.
>
> Warum?
> Ist der Tunnel nur hinzugefügt, wird er nicht genutzt, weil "bessere"
> Routen vorher wirken. Ist der Tunnel zu wichtig, saugt er alle Pakete
> an, auch die vom Tunnel verkapselten Pakete, bzw. Pakete die nicht aus
> dem Mesh raus sollten, weil es sonst nicht funktioniert.
>
> Bitte flash, erklär doch mal Deinen Aufbau, vielleicht kommen wir
> drauf, warum da Tunnelrouten in Deinem PC spuken.
>
> bG
> Matthias
Ich brauche doch olsrd auf dem client laptop. Damit eine Verbindung zum
Funkfeuer zustande kommt.
Sonst kann ich doch nicht surfen.
Petr Koval hat mir das so erklärt.
>
>
>
> Begin forwarded message:
>
>> From: Matthias Šubik <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 22:31:32 MESZ
>> To: flash <(spam-protected)>
>> Cc: "(spam-protected)" <(spam-protected)>
>>
>> Wenn Du "flash" einverstanden bist,
>> nehme ich den thread auf die discuss-Liste rüber, und wir machen mal
>> ausführlich was von dem software strip alles in das routing
>> reinspielt, und was nicht.
>>
>> Sollte eine ganz gute allgemeine Erklärung werden, wie routing
>> funktioniert, oder funktionieren kann.
>>
>> bG
>> Matthias
>>
>> On 30.04.2014, at 20:53, Markus Kittenberger wrote:
>>
>>>
>>> p.s. das ist eigentlich nicht wirklich gut auf der security liste
>>> aufgehoben, zumindest das vorgelagerte olsrd/routing problem nicht
>>> (besser
>>> wär z.b. die discuss liste)
>>
>> --
>> A: Yes.
>>> Q: Are you sure?
>>>> A: Because it reverses the logical flow of conversation.
>>>>> Q: Why is top posting annoying in email?
>>
>>
>>
>>
>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: Markus Kittenberger <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 20:53:44 MESZ
>> To: flash <(spam-protected)>
>> Cc: "(spam-protected)" <(spam-protected)>
>>
>>>
>>>> Also es geht um einen client, den ich hinter meinem Funkfeuer Router
>>>> habe.
>>> Gut. Also hat der Client
>>> 1. nix mit olsr zu tun und
>>> 2. das Funkfeuer-Netz ist quasi der Carrier für den OpenVPN-Traffic
>>>
>>
>> Also in deinem routing table sind übrigens sehr wohl olsrd routen
>> drin!
>> (sieht mir nach den Routen eines silent olsrd-tunnels von uns aus)
>>
>> z.b. 193.238.159.100 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>>
>> und: 193.238.159.100 == vpn.tunnel.wien.funkfeuer.at.
>>
>> Wenn du auf einem olsrd + zusätzlich eine eigene defaultroute haben
>> willst,
>> solltest du dir das gut überlegen, denn die default route darf nur für
>> deinen lokalen traffic gelten, und nicht für transit traffic des
>> funkfeuer
>> netzes!
>>
>> In der praxis heisst das entweder policy routing, oder 2 router einer
>> für
>> olsrd und einer fürs "lan".
>>
>>
>>> sehr, sehr aufschlussreich. danke.
>>> und wlan geht nicht? ich errinnere mich, am openwrt auch schon mit
>>> bridges
>>> zutun gehabt zu haben und ein wlan gerät geadded zu haben.
>>> *nichtmehr-errinner*
>>
>>
>> obwohl ausreichend "layer2" ist hängt davon welcher modi (adhoc,
>> station,ap, wds, etc.)
>>
>> lg Markus
>>
>> p.s. das ist eigentlich nicht wirklich gut auf der security liste
>> aufgehoben, zumindest das vorgelagerte olsrd/routing problem nicht
>> (besser
>> wär z.b. die discuss liste)
>>
>>
>>> sph4re flash # netstat -rn
>>> Kernel IP Routentabelle
>>> Ziel Router Genmask Flags MSS Fenster
>>> irtt
>>> Iface
>>> 0.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
>>> 0
>>> wlan1
>>> 0.0.0.0 193.238.156.230 0.0.0.0 UG 0 0
>>> 0
>>> wlan1
>>> 10.9.8.0 10.9.8.5 255.255.255.0 UG 0 0
>>> 0
>>> tun0
>>> 10.9.8.5 0.0.0.0 255.255.255.255 UH 0 0
>>> 0
>>> tun0
>>> 78.41.115.128 193.238.156.230 255.255.255.128 UG 0 0
>>> 0
>>> wlan1
>>> 127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0
>>> 0 lo
>>> 128.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
>>> 0
>>> wlan1
>>> 192.168.178.0 0.0.0.0 255.255.255.0 U 0 0
>>> 0
>>> eth1
>>> 193.238.156.107 193.238.156.230 255.255.255.255 UGH 0 0
>>> 0
>>> wlan1
>>> 193.238.156.117 193.238.156.230 255.255.255.255 UGH 0 0
>>> 0
>>> wlan1
>>> 193.238.156.148 193.238.156.230 255.255.255.255 UGH 0 0
>>> 0
>>> wlan1
>>> 193.238.156.230 193.238.156.230 255.255.255.255 UGH 0 0
>>> 0
>>> wlan1
>>> 193.238.157.0 193.238.156.230 255.255.255.128 UG 0 0
>>> 0
>>> wlan1
>>> 193.238.158.54 193.238.156.230 255.255.255.255 UGH 0 0
>>> 0
>>> wlan1
>>> 193.238.159.100 193.238.156.230 255.255.255.255 UGH 0 0
>>> 0
>>> wlan1
>>>
>>> sph4re flash # emerge --info
>>> Portage 2.1.11.50 (default/linux/x86/13.0/desktop, gcc-4.5.3,
>>> glibc-2.16.0, 2.6.39-gentoo-r3 i686)
>>> =================================================================
>>> System uname:
>>> (spam-protected)
>>> 1.33GHz-with-gentoo-2.2
>>> KiB Mem: 2055952 total, 1418408 free
>>> KiB Swap: 4358140 total, 4358140 free
>>> Timestamp of tree: Mon, 07 Apr 2014 03:00:01 +0000
>>> ld GNU ld (GNU Binutils) 2.23.1
>>> distcc 3.1 i686-pc-linux-gnu [disabled]
>>> app-shells/bash: 4.2_p42
>>> dev-java/java-config: 2.1.12-r1
>>> dev-lang/python: 2.4.6, 2.5.4-r5, 2.6.8-r1, 2.7.3-r3,
>>> 3.1.4-r3,
>>> 3.2.3-r2
>>> dev-util/cmake: 2.8.10.2-r1
>>> dev-util/pkgconfig: 0.28
>>> sys-apps/baselayout: 2.2
>>> sys-apps/openrc: 0.11.8
>>> sys-apps/sandbox: 2.6
>>> sys-devel/autoconf: 2.13, 2.69
>>> sys-devel/automake: 1.11.6, 1.12.6, 1.13.1
>>> sys-devel/binutils: 2.23.1
>>> sys-devel/gcc: 4.5.3-r2, 4.6.3
>>> sys-devel/gcc-config: 1.8
>>> sys-devel/libtool: 2.4.2
>>> sys-devel/make: 3.82-r4
>>> sys-kernel/linux-headers: 3.7 (virtual/os-headers)
>>> sys-libs/glibc: 2.16.0
>>> Repositories: gentoo x-portage
>>> ACCEPT_KEYWORDS="x86 ~x86"
>>> ACCEPT_LICENSE="*"
>>> CBUILD="i686-pc-linux-gnu"
>>> CFLAGS="-O2 -pipe -march=native"
>>> CHOST="i686-pc-linux-gnu"
>>> CONFIG_PROTECT="/etc /usr/share/config /usr/share/gnupg/qualified.txt
>>> /usr/share/polkit-1/actions /var/bind"
>>> CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d
>>> /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release
>>> /etc/revdep-rebuild
>>> /etc/sandbox.d /etc/terminfo"
>>> CXXFLAGS="-O2 -pipe -march=native"
>>> DISTDIR="/usr/portage/distfiles"
>>> FCFLAGS="-O2 -march=i686 -pipe"
>>> FEATURES="assume-digests binpkg-logs config-protect-if-modified
>>> distlocks
>>> ebuild-locks fixlafiles merge-sync news parallel-fetch protect-owned
>>> sandbox sfperms strict unknown-features-warn unmerge-logs
>>> unmerge-orphans"
>>> FFLAGS="-O2 -march=i686 -pipe"
>>> GENTOO_MIRRORS="ftp://ftp-stud.hs-esslingen.de/pub/Mirrors/gentoo/"
>>> LANG="de_DE"
>>> LDFLAGS="-Wl,-O1 -Wl,--as-needed"
>>> MAKEOPTS="-j1"
>>> PKGDIR="/usr/portage/packages"
>>> PORTAGE_CONFIGROOT="/"
>>> PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times
>>> --compress --force --whole-file --delete --stats --human-readable
>>> --timeout=180 --exclude=/distfiles --exclude=/local
>>> --exclude=/packages"
>>> PORTAGE_TMPDIR="/var/tmp"
>>> PORTDIR="/usr/portage"
>>> PORTDIR_OVERLAY="/usr/local/portage"
>>> SYNC="rsync://rsync.gentoo.org/gentoo-portage"
>>> USE="=npp PolicyKit PyGTK X a52 aac acl acpi alsa apic apm arts
>>> automount
>>> avi bash-completition berkdb bluetooth branding bzip2 cairo cdaudio
>>> cdda
>>> cddb cdparanoia cdr cgi cli consolekit cracklib crypt cxx dbus dga
>>> directfb
>>> distcc divx dri dts dvd dvdr eap-sim emboss encode evdev exif fam
>>> fbcon
>>> ffmpeg firefox fla flac flash fortran ftp gdbm gif gimp gnome gphoto2
>>> gpm
>>> gsm gstreamer gtk gzip hal hddtemp iconv imagemagick imap imlib
>>> injection
>>> ios ipod ipv6 java jbig jpeg jpeg2 jpeg2k kaffeine kde keyboard lame
>>> lash
>>> lcms ldap libcaca libnotify libsamplerate libwww lm_sensors lzma lzo
>>> mad
>>> madwifi mdnsresponder-compat mikmod mmap mmx mng modplug modules
>>> motif
>>> mouse mozilla mp3 mp4 mpack mpeg mpg123 mplayer msr mtp musepack
>>> ncurses
>>> nforce2 nls nntp nptl nptlonly nvidia objc ogg opengl openmp osc oss
>>> pam
>>> pango pcmcia pcre pdf perl plasma pmu png policykit posix postgres
>>> ppds
>>> pulseaudio qt3support qt4 quicktime rdesktop readline recode samba
>>> sdl
>>> semantic-desktop session sid sim smp sndfile soap sockets sound speex
>>> spell
>>> sql sse sse2 ssl ssse3 startup-notification svg swf synaptics szip
>>> tcl tcpd
>>> theora threads tiff truetype udev udisks ui unicode upower usb
>>> utempter v4l
>>> v4l2 vcdinfo vme vorbis wavpack webkit wifi win32codecs wma wmf
>>> wxwidgets
>>> x264 x86 xcb xine xinerama xml xmlrpc xscreensaver xulrunner xv xvid
>>> zeroconf zlib zsh-completion" ABI_X86="32" ALSA_CARDS="ali5451
>>> als4000
>>> atiixp atiixp-modem bt87x ca0106 cmipci emu10k1 emu10k1x ens1370
>>> ens1371
>>> es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident
>>> usb-audio
>>> via82xx via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core
>>> socache_shmcb unixd actions alias auth_basic authn_alias authn_anon
>>> authn_dbm authn_default authn_file authz_dbm authz_default
>>> authz_groupfile
>>> authz_host authz_owner authz_user autoindex cache cgi cgid dav dav_fs
>>> dav_lock deflate dir disk_cache env expires ext_filter file_cache
>>> filter
>>> headers include info log_config logio mem_cache mime mime_magic
>>> negotiation
>>> rewrite setenvif speling status unique_id userdir usertrack
>>> vhost_alias"
>>> CALLIGRA_FEATURES="kexi words flow plan sheets stage tables krita
>>> karbon
>>> braindump author" CAMERAS="ptp2" COLLECTD_PLUGINS="df interface irq
>>> load
>>> memory rrdtool swap syslog" ELIBC="glibc" GPSD_PROTOCOLS="ashtech
>>> aivdm
>>> earthmate evermore fv18 garmin garmintxt gpsclock itrax mtk3301 nmea
>>> ntrip
>>> navcom oceanserver oldstyle oncore rtcm104v2 rtcm104v3 sirf
>>> superstar2
>>> timing tsip tripmate tnt ublox ubx" INPUT_DEVICES="synaptics evdev
>>> fbdev
>>> mouse keyboard penmount" KERNEL="linux" LCD_DEVICES="bayrad cfontz
>>> cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text"
>>> LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer"
>>> LINGUAS="de" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-5"
>>> PYTHON_SINGLE_TARGET="python2_7" PYTHON_TARGETS="python2_7 python3_3"
>>> RUBY_TARGETS="ruby19 ruby20" USERLAND="GNU" VIDEO_CARDS="vesa vesafb
>>> intel"
>>> XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options ipset
>>> ipp2p
>>> iface geoip fuzzy condition tee tarpit sysrq steal rawnat logmark
>>> ipmark
>>> dhcpmac delude chaos account"
>>> Unset: CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL,
>>> PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS,
>>> PORTAGE_RSYNC_EXTRA_OPTS, USE_PYTHON
>>>
>>>
>>>
>>>> bG
>>>> Matthias
>>>> ps: und was für ein OS und die Versionsnummern aller betroffenen
>>>> Teile
>>>> das ist, hilft vielleicht auch ;)
>>>>
>>>
>>> _______________________________________________
>>> Security mailing list
>>> (spam-protected)
>>> https://lists.funkfeuer.at/mailman/listinfo/security
>>>
>>> Funkfeuer Security Mailing List.
>>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>>> Off-topic: allgemeines, flames, etc.
>>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: flash <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 14:28:25 MESZ
>> To: (spam-protected)
>>
>> On 30.04.2014 13:42, Matthias Šubik wrote:
>>> Hi,
>>> On 30.04.2014, at 13:24, flash wrote:
>>> ...
>>>> Ich hätte eine Frage bzw. OpenVPN.
>>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
>>>> so, dass die Konfigurationsoption "redirect-gateway autolocal" oder
>>>> "redirect-gateway block-local" genügt,
>>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
>>>> mache. Da sind mehrere Routen und der OpenVPN schafft es einfach
>>>> nicht die Oberhand zu gewinnen.
>>> Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle
>>> mit
>>> der gleichen metric in einer routing tabelle sind.
>>>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber
>>>> wlan geräte kann ich mit brctl nicht adden.
>>> ???
>>> openvpn via tap?
>>> für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein
>>> Layer
>>> 3 und ein Layer 2 Device.
>>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>>>> Funkfeuer.
>>> Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
>>> am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
>>> ist, aber eben nicht der Funkfeuer VPN Server.
>>> Falls ich richtig liege, musst Du zum Testen nur nach dem
>>> "Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
>>> Priorität in den Tunnel zeigt.
>>> Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
>>> aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
>>> openvpn zu bekommen.
>>> Dann ist es leichter den Unterschied zu erklären.
>>> bG
>>> Matthias
>>> ps: und was für ein OS und die Versionsnummern aller betroffenen
>>> Teile
>>> das ist, hilft vielleicht auch ;)
>>
>> *** olsr.org - 0.6.4-git_-hash_8a6821cb751e59fb6421fd436bf8fc31
>> - (2012-12-02 03:41:48 on sph4re) ***
>>
>> --- 14:17:09.901748
>> ---------------------------------------------------- LINKS
>>
>> IP address hyst LQ ETX
>> 193.238.156.230 0.000 1.000/1.000 1.000
>>
>> --- 14:17:09.901994 ----------------------- TWO-HOP NEIGHBORS
>>
>> IP addr (2-hop) IP addr (1-hop) Total cost
>> 193.238.159.100 193.238.156.148 2.000
>> /
>>
>>
>> ausserdem:
>>
>> sph4re flash # openvpn --config /etc/openvpn/openvpn.conf
>> Wed Apr 30 14:03:51 2014 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL
>> (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Apr 7 2014
>> Wed Apr 30 14:03:51 2014 WARNING: file
>> '/etc/openvpn/easy-rsa/keys/netbook.key' is group or others accessible
>> Wed Apr 30 14:03:51 2014 Socket Buffers: R=[114688->131072]
>> S=[114688->131072]
>> Wed Apr 30 14:03:51 2014 UDPv4 link local: [undef]
>> Wed Apr 30 14:03:51 2014 UDPv4 link remote:
>> [AF_INET]178.63.132.61:1194
>> Wed Apr 30 14:03:51 2014 TLS: Initial packet from
>> [AF_INET]178.63.132.61:1194, sid=c071be0a 808ac313
>> Wed Apr 30 14:03:52 2014 VERIFY OK: depth=1, C=DE, ST=DE, L=Nuernberg,
>> O=itflash, OU=itflash, CN=itflash, name=itflash,
>> emailAddress=(spam-protected)
>> Wed Apr 30 14:03:52 2014 Validating certificate key usage
>> Wed Apr 30 14:03:52 2014 ++ Certificate has key usage 00a0, expects
>> 00a0
>> Wed Apr 30 14:03:52 2014 VERIFY KU OK
>> Wed Apr 30 14:03:52 2014 Validating certificate extended key usage
>> Wed Apr 30 14:03:52 2014 ++ Certificate has EKU (str) TLS Web Server
>> Authentication, expects TLS Web Server Authentication
>> Wed Apr 30 14:03:52 2014 VERIFY EKU OK
>> Wed Apr 30 14:03:52 2014 VERIFY OK: depth=0, C=DE, ST=DE, L=Nuernberg,
>> O=itflash, OU=itflash, CN=server, name=itflash,
>> emailAddress=(spam-protected)
>> Wed Apr 30 14:03:53 2014 Data Channel Encrypt: Cipher 'BF-CBC'
>> initialized with 128 bit key
>> Wed Apr 30 14:03:53 2014 Data Channel Encrypt: Using 160 bit message
>> hash 'SHA1' for HMAC authentication
>> Wed Apr 30 14:03:53 2014 Data Channel Decrypt: Cipher 'BF-CBC'
>> initialized with 128 bit key
>> Wed Apr 30 14:03:53 2014 Data Channel Decrypt: Using 160 bit message
>> hash 'SHA1' for HMAC authentication
>> Wed Apr 30 14:03:53 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3
>> DHE-RSA-AES256-SHA, 1024 bit RSA
>> Wed Apr 30 14:03:53 2014 [server] Peer Connection Initiated with
>> [AF_INET]178.63.132.61:1194
>> Wed Apr 30 14:03:55 2014 SENT CONTROL [server]: 'PUSH_REQUEST'
>> (status=1)
>> Wed Apr 30 14:03:55 2014 PUSH: Received control message:
>> 'PUSH_REPLY,route 10.9.8.0 255.255.255.0,topology net30,ping
>> 10,ping-restart 120,ifconfig 10.9.8.6 10.9.8.5'
>> Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: timers and/or timeouts
>> modified
>> Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: --ifconfig/up options
>> modified
>> Wed Apr 30 14:03:55 2014 OPTIONS IMPORT: route options modified
>> Wed Apr 30 14:03:55 2014 ROUTE_GATEWAY 193.238.156.230
>> Wed Apr 30 14:03:55 2014 TUN/TAP device tun0 opened
>> Wed Apr 30 14:03:55 2014 TUN/TAP TX queue length set to 100
>> Wed Apr 30 14:03:55 2014 do_ifconfig, tt->ipv6=0,
>> tt->did_ifconfig_ipv6_setup=0
>> Wed Apr 30 14:03:55 2014 /bin/ip link set dev tun0 up mtu 1500
>> Wed Apr 30 14:03:55 2014 /bin/ip addr add dev tun0 local 10.9.8.6 peer
>> 10.9.8.5
>> Wed Apr 30 14:03:55 2014 /bin/ip route add 10.9.8.0/24 via 10.9.8.5
>> Wed Apr 30 14:03:55 2014 Initialization Sequence Completed
>> Wed Apr 30 14:15:32 2014 write UDPv4: Network is unreachable
>> (code=101)
>> Wed Apr 30 14:15:42 2014 write UDPv4: Network is unreachable
>> (code=101)
>>
>> sph4re flash # ping 10.9.8.1
>> PING 10.9.8.1 (10.9.8.1) 56(84) bytes of data.
>> 64 bytes from 10.9.8.1: icmp_seq=1 ttl=64 time=203 ms
>> 64 bytes from 10.9.8.1: icmp_seq=2 ttl=64 time=61.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=3 ttl=64 time=81.8 ms
>> 64 bytes from 10.9.8.1: icmp_seq=4 ttl=64 time=66.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=5 ttl=64 time=78.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=6 ttl=64 time=77.1 ms
>> 64 bytes from 10.9.8.1: icmp_seq=7 ttl=64 time=57.4 ms
>> 64 bytes from 10.9.8.1: icmp_seq=8 ttl=64 time=62.2 ms
>> 64 bytes from 10.9.8.1: icmp_seq=9 ttl=64 time=78.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=10 ttl=64 time=52.4 ms
>> 64 bytes from 10.9.8.1: icmp_seq=11 ttl=64 time=60.2 ms
>> 64 bytes from 10.9.8.1: icmp_seq=12 ttl=64 time=64.1 ms
>> 64 bytes from 10.9.8.1: icmp_seq=13 ttl=64 time=83.5 ms
>> 64 bytes from 10.9.8.1: icmp_seq=14 ttl=64 time=54.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=15 ttl=64 time=77.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=16 ttl=64 time=61.2 ms
>> 64 bytes from 10.9.8.1: icmp_seq=17 ttl=64 time=54.4 ms
>> 64 bytes from 10.9.8.1: icmp_seq=18 ttl=64 time=71.6 ms
>> 64 bytes from 10.9.8.1: icmp_seq=19 ttl=64 time=52.3 ms
>> 64 bytes from 10.9.8.1: icmp_seq=20 ttl=64 time=83.4 ms
>> ^C
>> --- 10.9.8.1 ping statistics ---
>> 20 packets transmitted, 20 received, 0% packet loss, time 19036ms
>> rtt min/avg/max/mdev = 52.344/74.092/203.530/31.514 ms
>>
>>
>> das wäre dann auch das default gateway.
>>
>>
>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: flash <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 14:20:28 MESZ
>> To: (spam-protected)
>>
>> On 30.04.2014 13:42, Matthias Šubik wrote:
>>> Hi,
>>> On 30.04.2014, at 13:24, flash wrote:
>>> ...
>>>> Ich hätte eine Frage bzw. OpenVPN.
>>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
>>>> so, dass die Konfigurationsoption "redirect-gateway autolocal" oder
>>>> "redirect-gateway block-local" genügt,
>>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
>>>> mache. Da sind mehrere Routen und der OpenVPN schafft es einfach
>>>> nicht die Oberhand zu gewinnen.
>>> Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle
>>> mit
>>> der gleichen metric in einer routing tabelle sind.
>>>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber
>>>> wlan geräte kann ich mit brctl nicht adden.
>>> ???
>>> openvpn via tap?
>>> für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein
>>> Layer
>>> 3 und ein Layer 2 Device.
>>
>> sehr, sehr aufschlussreich. danke.
>> und wlan geht nicht? ich errinnere mich, am openwrt auch schon mit
>> bridges zutun gehabt zu haben und ein wlan gerät geadded zu haben.
>> *nichtmehr-errinner*
>>
>>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>>>> Funkfeuer.
>>> Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
>>> am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
>>> ist, aber eben nicht der Funkfeuer VPN Server.
>>> Falls ich richtig liege, musst Du zum Testen nur nach dem
>>> "Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
>>> Priorität in den Tunnel zeigt.
>>> Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
>>> aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
>>> openvpn zu bekommen.
>>> Dann ist es leichter den Unterschied zu erklären.
>>
>> sph4re flash # netstat -rn
>> Kernel IP Routentabelle
>> Ziel Router Genmask Flags MSS Fenster
>> irtt Iface
>> 0.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
>> 0 wlan1
>> 0.0.0.0 193.238.156.230 0.0.0.0 UG 0 0
>> 0 wlan1
>> 10.9.8.0 10.9.8.5 255.255.255.0 UG 0 0
>> 0 tun0
>> 10.9.8.5 0.0.0.0 255.255.255.255 UH 0 0
>> 0 tun0
>> 78.41.115.128 193.238.156.230 255.255.255.128 UG 0 0
>> 0 wlan1
>> 127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0
>> 0 lo
>> 128.0.0.0 193.238.156.230 128.0.0.0 UG 0 0
>> 0 wlan1
>> 192.168.178.0 0.0.0.0 255.255.255.0 U 0 0
>> 0 eth1
>> 193.238.156.107 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>> 193.238.156.117 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>> 193.238.156.148 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>> 193.238.156.230 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>> 193.238.157.0 193.238.156.230 255.255.255.128 UG 0 0
>> 0 wlan1
>> 193.238.158.54 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>> 193.238.159.100 193.238.156.230 255.255.255.255 UGH 0 0
>> 0 wlan1
>>
>> sph4re flash # emerge --info
>> Portage 2.1.11.50 (default/linux/x86/13.0/desktop, gcc-4.5.3,
>> glibc-2.16.0, 2.6.39-gentoo-r3 i686)
>> =================================================================
>> System uname:
>> (spam-protected)
>> KiB Mem: 2055952 total, 1418408 free
>> KiB Swap: 4358140 total, 4358140 free
>> Timestamp of tree: Mon, 07 Apr 2014 03:00:01 +0000
>> ld GNU ld (GNU Binutils) 2.23.1
>> distcc 3.1 i686-pc-linux-gnu [disabled]
>> app-shells/bash: 4.2_p42
>> dev-java/java-config: 2.1.12-r1
>> dev-lang/python: 2.4.6, 2.5.4-r5, 2.6.8-r1, 2.7.3-r3,
>> 3.1.4-r3, 3.2.3-r2
>> dev-util/cmake: 2.8.10.2-r1
>> dev-util/pkgconfig: 0.28
>> sys-apps/baselayout: 2.2
>> sys-apps/openrc: 0.11.8
>> sys-apps/sandbox: 2.6
>> sys-devel/autoconf: 2.13, 2.69
>> sys-devel/automake: 1.11.6, 1.12.6, 1.13.1
>> sys-devel/binutils: 2.23.1
>> sys-devel/gcc: 4.5.3-r2, 4.6.3
>> sys-devel/gcc-config: 1.8
>> sys-devel/libtool: 2.4.2
>> sys-devel/make: 3.82-r4
>> sys-kernel/linux-headers: 3.7 (virtual/os-headers)
>> sys-libs/glibc: 2.16.0
>> Repositories: gentoo x-portage
>> ACCEPT_KEYWORDS="x86 ~x86"
>> ACCEPT_LICENSE="*"
>> CBUILD="i686-pc-linux-gnu"
>> CFLAGS="-O2 -pipe -march=native"
>> CHOST="i686-pc-linux-gnu"
>> CONFIG_PROTECT="/etc /usr/share/config /usr/share/gnupg/qualified.txt
>> /usr/share/polkit-1/actions /var/bind"
>> CONFIG_PROTECT_MASK="/etc/ca-certificates.conf /etc/dconf /etc/env.d
>> /etc/fonts/fonts.conf /etc/gconf /etc/gentoo-release
>> /etc/revdep-rebuild /etc/sandbox.d /etc/terminfo"
>> CXXFLAGS="-O2 -pipe -march=native"
>> DISTDIR="/usr/portage/distfiles"
>> FCFLAGS="-O2 -march=i686 -pipe"
>> FEATURES="assume-digests binpkg-logs config-protect-if-modified
>> distlocks ebuild-locks fixlafiles merge-sync news parallel-fetch
>> protect-owned sandbox sfperms strict unknown-features-warn
>> unmerge-logs unmerge-orphans"
>> FFLAGS="-O2 -march=i686 -pipe"
>> GENTOO_MIRRORS="ftp://ftp-stud.hs-esslingen.de/pub/Mirrors/gentoo/"
>> LANG="de_DE"
>> LDFLAGS="-Wl,-O1 -Wl,--as-needed"
>> MAKEOPTS="-j1"
>> PKGDIR="/usr/portage/packages"
>> PORTAGE_CONFIGROOT="/"
>> PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times
>> --compress --force --whole-file --delete --stats --human-readable
>> --timeout=180 --exclude=/distfiles --exclude=/local
>> --exclude=/packages"
>> PORTAGE_TMPDIR="/var/tmp"
>> PORTDIR="/usr/portage"
>> PORTDIR_OVERLAY="/usr/local/portage"
>> SYNC="rsync://rsync.gentoo.org/gentoo-portage"
>> USE="=npp PolicyKit PyGTK X a52 aac acl acpi alsa apic apm arts
>> automount avi bash-completition berkdb bluetooth branding bzip2 cairo
>> cdaudio cdda cddb cdparanoia cdr cgi cli consolekit cracklib crypt cxx
>> dbus dga directfb distcc divx dri dts dvd dvdr eap-sim emboss encode
>> evdev exif fam fbcon ffmpeg firefox fla flac flash fortran ftp gdbm
>> gif gimp gnome gphoto2 gpm gsm gstreamer gtk gzip hal hddtemp iconv
>> imagemagick imap imlib injection ios ipod ipv6 java jbig jpeg jpeg2
>> jpeg2k kaffeine kde keyboard lame lash lcms ldap libcaca libnotify
>> libsamplerate libwww lm_sensors lzma lzo mad madwifi
>> mdnsresponder-compat mikmod mmap mmx mng modplug modules motif mouse
>> mozilla mp3 mp4 mpack mpeg mpg123 mplayer msr mtp musepack ncurses
>> nforce2 nls nntp nptl nptlonly nvidia objc ogg opengl openmp osc oss
>> pam pango pcmcia pcre pdf perl plasma pmu png policykit posix postgres
>> ppds pulseaudio qt3support qt4 quicktime rdesktop readline recode
>> samba sdl semantic-desktop session sid sim smp sndfile soap sockets
>> sound speex spell sql sse sse2 ssl ssse3 startup-notification svg swf
>> synaptics szip tcl tcpd theora threads tiff truetype udev udisks ui
>> unicode upower usb utempter v4l v4l2 vcdinfo vme vorbis wavpack webkit
>> wifi win32codecs wma wmf wxwidgets x264 x86 xcb xine xinerama xml
>> xmlrpc xscreensaver xulrunner xv xvid zeroconf zlib zsh-completion"
>> ABI_X86="32" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x
>> ca0106 cmipci emu10k1 emu10k1x ens1370 ens1371 es1938 es1968 fm801
>> hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx
>> via82xx-modem ymfpci" APACHE2_MODULES="authn_core authz_core
>> socache_shmcb unixd actions alias auth_basic authn_alias authn_anon
>> authn_dbm authn_default authn_file authz_dbm authz_default
>> authz_groupfile authz_host authz_owner authz_user autoindex cache cgi
>> cgid dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter
>> file_cache filter headers include info log_config logio mem_cache mime
>> mime_magic negotiation rewrite setenvif speling status unique_id
>> userdir usertrack vhost_alias" CALLIGRA_FEATURES="kexi words flow plan
>> sheets stage tables krita karbon braindump author" CAMERAS="ptp2"
>> COLLECTD_PLUGINS="df interface irq load memory rrdtool swap syslog"
>> ELIBC="glibc" GPSD_PROTOCOLS="ashtech aivdm earthmate evermore fv18
>> garmin garmintxt gpsclock itrax mtk3301 nmea ntrip navcom oceanserver
>> oldstyle oncore rtcm104v2 rtcm104v3 sirf superstar2 timing tsip
>> tripmate tnt ublox ubx" INPUT_DEVICES="synaptics evdev fbdev mouse
>> keyboard penmount" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633
>> glk hd44780 lb216 lcdm001 mtxorb ncurses text"
>> LIBREOFFICE_EXTENSIONS="presenter-console presenter-minimizer"
>> LINGUAS="de" OFFICE_IMPLEMENTATION="libreoffice" PHP_TARGETS="php5-5"
>> PYTHON_SINGLE_TARGET="python2_7" PYTHON_TARGETS="python2_7 python3_3"
>> RUBY_TARGETS="ruby19 ruby20" USERLAND="GNU" VIDEO_CARDS="vesa vesafb
>> intel" XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options
>> ipset ipp2p iface geoip fuzzy condition tee tarpit sysrq steal rawnat
>> logmark ipmark dhcpmac delude chaos account"
>> Unset: CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL,
>> PORTAGE_BUNZIP2_COMMAND, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS,
>> PORTAGE_RSYNC_EXTRA_OPTS, USE_PYTHON
>>
>>> bG
>>> Matthias
>>> ps: und was für ein OS und die Versionsnummern aller betroffenen
>>> Teile
>>> das ist, hilft vielleicht auch ;)
>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: Adi Kriegisch <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 14:15:12 MESZ
>> To: flash <(spam-protected)>
>> Cc: (spam-protected)
>>
>> Hallo!
>>
>>> Ich hoffe mal, ich quote jetzt richtig. :)
>>> Also es geht um einen client, den ich hinter meinem Funkfeuer Router
>>> habe.
>> Gut. Also hat der Client
>> 1. nix mit olsr zu tun und
>> 2. das Funkfeuer-Netz ist quasi der Carrier für den OpenVPN-Traffic
>>
>>> Der geht ja über unverschlüsseltes WLAN bis zum Router.
>>> Jetzt dachte ich, ich sichere das WLAN ab, indem ich ein VPN zu
>>> meinem
>>> Vserver einrichte.
>> Ok...
>>
>>> Das Problem ist nur, dass ich zwar das VPN offen habe, und an meinem
>>> Vserver eine route zum surfen, der client allerdings
>>> weiter über die Funkfeuer Route surft und nicht über das OpenVPN...
>>> durch das Funkfeuer hindurch.
>> Naja, aber das hat nix mit Funkfeuer zu tun sondern ist ein
>> Client-Problem,
>> oder versteh ich das falsch?
>>
>>> So wie es unter openssh tunnel läuft.
>>> Wenn ich den client an ein Netzwerkkabel anschliesse und nur eine
>>> default route habe, geht die OpenVPN directive "redirect gateway",
>>> der
>>> entfernt dann intern
>> Warum hast Du mehrere default routes, wenn Du am WLAN hängst? Da
>> stimmt
>> irgendwas nicht.
>> Und wo genau kommt da das olsr zum tragen?
>>
>> Glg Adi
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: flash <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 14:01:17 MESZ
>> To: (spam-protected)
>>
>> On 30.04.2014 13:40, Adi Kriegisch wrote:
>>> Hallo!
>>>> Ich hätte eine Frage bzw. OpenVPN.
>>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
>>>> so,
>>>> dass die Konfigurationsoption "redirect-gateway autolocal" oder
>>>> "redirect-gateway block-local" genügt,
>>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
>>>> mache.
>>>> Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
>>>> Oberhand zu gewinnen. Warum ist mir schon klar.
>>> (...)
>>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>>>> Funkfeuer.
>>
>>
>>> Ich bin nicht sicher, ob ich verstehe, was Du tun willst:
>>> geht es Dir um einen Router oder um Dein Endgerät? -- surfst Du über
>>> WLAN
>>> mit OpenVPN-Tunnel oder willst Du auf Deinem Funkfeuer-Router ein
>>> OpenVPN
>>> durch das Dein Traffic durchgeht?
>>> lg Adi
>>
>>
>> Ich hoffe mal, ich quote jetzt richtig. :)
>> Also es geht um einen client, den ich hinter meinem Funkfeuer Router
>> habe.
>> Der geht ja über unverschlüsseltes WLAN bis zum Router.
>> Jetzt dachte ich, ich sichere das WLAN ab, indem ich ein VPN zu meinem
>> Vserver einrichte.
>> Das Problem ist nur, dass ich zwar das VPN offen habe, und an meinem
>> Vserver eine route zum surfen, der client allerdings
>> weiter über die Funkfeuer Route surft und nicht über das OpenVPN...
>> durch das Funkfeuer hindurch.
>>
>> So wie es unter openssh tunnel läuft.
>> Wenn ich den client an ein Netzwerkkabel anschliesse und nur eine
>> default route habe, geht die OpenVPN directive "redirect gateway", der
>> entfernt dann intern
>> die Default route vom Netzwerk und schleusst jeden Traffic des clients
>> durch das OpenVPN.
>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: Matthias Šubik <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 13:42:19 MESZ
>> To: flash <(spam-protected)>
>> Cc: (spam-protected)
>>
>> Hi,
>> On 30.04.2014, at 13:24, flash wrote:
>> ...
>>> Ich hätte eine Frage bzw. OpenVPN.
>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
>>> so, dass die Konfigurationsoption "redirect-gateway autolocal" oder
>>> "redirect-gateway block-local" genügt,
>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
>>> mache. Da sind mehrere Routen und der OpenVPN schafft es einfach
>>> nicht die Oberhand zu gewinnen.
>>
>> Es gewinnt immer die Route mit dem kürzesten Prefix, wenn sie alle mit
>> der gleichen metric in einer routing tabelle sind.
>>
>>>
>>>
>>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber
>>> wlan geräte kann ich mit brctl nicht adden.
>>
>> ???
>> openvpn via tap?
>> für eine Bridge müssen beide Devices Layer 2 sein, und nicht ein Layer
>> 3 und ein Layer 2 Device.
>>>
>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>>> Funkfeuer.
>>>
>> Aus dem bisher gelesenen schließe ich, dass Du den Tunnel und openvpn
>> am gleichen Gerät laufen lassen willst, und der VPN-Server irgendwo
>> ist, aber eben nicht der Funkfeuer VPN Server.
>> Falls ich richtig liege, musst Du zum Testen nur nach dem
>> "Hochbringen" des Tunnels eine Route hinzufügen, die mit höherer
>> Priorität in den Tunnel zeigt.
>>
>> Es wäre hilfreich von Dir den Output von netstat -rn nach dem Start
>> aller Interfaces, nach dem Start von OLSRd, und nach dem Start von
>> openvpn zu bekommen.
>>
>> Dann ist es leichter den Unterschied zu erklären.
>>
>> bG
>> Matthias
>> ps: und was für ein OS und die Versionsnummern aller betroffenen Teile
>> das ist, hilft vielleicht auch ;)
>>
>> --
>> A: Yes.
>>> Q: Are you sure?
>>>> A: Because it reverses the logical flow of conversation.
>>>>> Q: Why is top posting annoying in email?
>>
>>
>>
>>
>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: Adi Kriegisch <(spam-protected)>
>> Subject: Re: [FF-Security] Openvpn default route
>> Date: 30. April 2014 13:40:04 MESZ
>> To: flash <(spam-protected)>
>> Cc: (spam-protected)
>>
>> Hallo!
>>
>>> Ich hätte eine Frage bzw. OpenVPN.
>>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN
>>> so,
>>> dass die Konfigurationsoption "redirect-gateway autolocal" oder
>>> "redirect-gateway block-local" genügt,
>>> und ich kann über das VPN als default surfen und nicht über das LAN.
>>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd
>>> mache.
>>> Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
>>> Oberhand zu gewinnen. Warum ist mir schon klar.
>> (...)
>>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>>> Funkfeuer.
>> Ich bin nicht sicher, ob ich verstehe, was Du tun willst:
>> geht es Dir um einen Router oder um Dein Endgerät? -- surfst Du über
>> WLAN
>> mit OpenVPN-Tunnel oder willst Du auf Deinem Funkfeuer-Router ein
>> OpenVPN
>> durch das Dein Traffic durchgeht?
>>
>> lg Adi
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
> Begin forwarded message:
>
>> From: flash <(spam-protected)>
>> Subject: [FF-Security] Openvpn default route
>> Date: 30. April 2014 13:24:25 MESZ
>> To: (spam-protected)
>>
>> Hallo liebe Liste.
>> Es ist das erste mal, dass ich hier hin schreibe.
>> Ich hätte eine Frage bzw. OpenVPN.
>> Und zwar will ich das WLAN darüber absichern. Jetzt ist das im LAN so,
>> dass die Konfigurationsoption "redirect-gateway autolocal" oder
>> "redirect-gateway block-local" genügt,
>> und ich kann über das VPN als default surfen und nicht über das LAN.
>> Die Frage, die sich mir stellt, ist nun aber, was ich bei olsrd mache.
>> Da sind mehrere Routen und der OpenVPN schafft es einfach nicht die
>> Oberhand zu gewinnen. Warum ist mir schon klar.
>> Zuerst hat er gemeldet, er wüsste nicht, welches die default route
>> ist. Mitlerweile kommt diese Meldung nicht mehr, es tut sich aber
>> keine Veränderung. Also keine Magie. :p
>>
>> Ich habe schon darüber nachgedacht eine Bridge einzurichten, aber wlan
>> geräte kann ich mit brctl nicht adden.
>>
>> Weiss jemand Rat? Ich will über das VPN surfen und nicht über das
>> Funkfeuer.
>>
>> Bisher habe ich dafür einen openssh tunnel geöffnet, der funktioniert
>> aber nur pro Port.
>>
>> mfg,
>> Christian Fladung
>>
>> _______________________________________________
>> Security mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/security
>>
>> Funkfeuer Security Mailing List.
>> On-topic: alles zu IT Security innerhalb des Funkfeuer Netzes.
>> Off-topic: allgemeines, flames, etc.
>
> --
> A: Yes.
>> Q: Are you sure?
>>> A: Because it reverses the logical flow of conversation.
>>>> Q: Why is top posting annoying in email?
Mehr Informationen über die Mailingliste Discuss