Hallo BeFore,
BeFore wrote:Der Server ist der insys connectivity Dienstleister. D.h. man bekommt pro Gerät eine OpenVPN Config. Die IPFires sollen also alle als CLient laifen.
OK ich denke das wird dann schnell umfangreich da IPfire offiziel keinen Client Mode für's OpenVPN unterstützt d.h. du musst alles zu Fuss machen. Es gibt ein Wiki Artikel der beschreibt wie IPFire als OpenVPN Client an ein Firmennetzwerk angeschlossen werden kann -->
http://wiki.ipfire.org/en/configuration ... ns/addconf allerdings war es das für dein Szenario noch nicht.
Nach dem INSYS Doc brauchts ja noch virtuelle IPs bzw. Aliases, IPfire biete hierfür zwar eine WUI an, welches allerdings nur WAN seitig Verwendung findet -->
http://wiki.ipfire.org/en/configuration/network/aliases. Du müsstest sogesehen mittels iproute2 oder ifconfig dir ein Alias ( z.b. -->
http://www.cyberciti.biz/faq/linux-crea ... -card-nic/ ) erstellen (und das persistent), hierfür benötigst du dann die entsprechenden IPTables Regeln (am besten in der firewall.local mit CUSTOM* Chains). Hier -->
http://www.linuxquestions.org/questions ... ip-364084/ findet sich was in deine Richtung gehen könnte, auch der Hinweis das du das virtuelle Interface nicht mittels "-i" oder "-o" ansprichst sondern über die IP gehst sollte da wichtig sein. Das PREROUTING, FORWARD und dann auch das POSTROUTING wird kurz angesprochen und lässt sich vielleicht auf dein Szenario abstrahieren.
Das ist wohl alles ein längerer Weg...
BeFore wrote:Aktuell ist es auch so, dass mit der einfachen Config die gesamten Netze des IPFire Netzwerkes erreichbar sind. Woher das ganze Routing dafür herkommt kann ich nur spekulieren, dass es der Server beim Aufbau scheinbar vorgibt, denn in der Config steht nix:
Ja die Routen werden vom Server gepusht, da siehst du nichts in der Client Konfig von.
BeFore wrote:Ich habe jetzt auch mal folgende Regel versucht:
Code: Select all
iptables -t nat -A CUSTOMFORWARD -s tun10 -d 192.168.205.0/24 -j SNAT --to-source 192.168.178.0/24
Hab das virtuelle Netz mal auf 192.168.205/24 geändert damit es am Anfang einfacher ist.
tun10 ist das OVPN Netz. Selbst wenn der Tunnel aufgebaut ist kommt bei der Regel die Meldung, das tun10 nicht existiert

.
Wie oben kurz erläutert wird das wohl alles umfangreicher und auf diesem Weg wohl nicht machbar, aber als Nebeninfo aber für die Regel: "-s" erwartet eine IP oder IP/Range, da kannst du kein Interface (was das tun ist) eintragen.
Was mir noch aufgefallen ist, dein Dienstleister verwendet einen Blowfish Cipher
was ein 64 Bit Block Cipher ist, diese sind anfällig für Sweet32: Birthday attacks -->
https://sweet32.info/ .
UE