home       inleiding       sysadmin       services       links       bash       werk       nothing      

iptables project -- (9): openVPN client

fwv008-openvpn

packettracer-file: fwv008-openvpn

  1. Volg de nota's van openVPN-client http://linux800.be/services/services-adv-3/openvpn-client
     
  2. Denk even na hoe je het VPN-gateway probleem kan oplossen, je kan op de openVPN server op, maar je kan niets pingen .. komt dat gewoon omdat ICMP dicht staat op de firewall? Moeten de pings niet naar de openVPN-server worden gestuurd, om daarna in de tunnen doorheen DMZ te geraken? Er zijn misschien wel 3 mogelijkheden ... :
     
    • ? push a gateway to clients ? kan dat, en heeft dat zin? Heeft de server in het netwerk BINNEN hier iets aan?
    • Vervang de iptables FW199 door de huidige openVPN server en verplaats de iptables scripts (aangepast!!! aan de nieuwe situatie)
    • Plaats de openVPN service op de FW199 en pas de iptables aan voor binnenkomend verkeer op 1194 (moet FW102 nog worden aangepast?)
       
      De laatste mogelijkheid lijkt de minste arbeid te kosten (zie hieronder)
       
      je installeert de software op de FW. daarna overschrijf je de openvpn directory met die van de openVPN server met alles erin (als root, een tar). dan doe je in plaats van portforwarding met DNAT een input open op de FW iptables. That's all.
      In praktijk gebeurt zoiets ook, en keys zijn verplaatsbaar zodat je geen 250 users van nieuwe keys moet voorzien.