DD-WRT- Sicherheit bei deaktiviertem OpenVPN

Post new topic   Reply to topic    DD-WRT Forum Index -> Allgemeine Fragen
Author Message
carhartt94
DD-WRT Novice


Joined: 05 Jun 2016
Posts: 6

PostPosted: Thu Jun 09, 2016 22:17    Post subject: DD-WRT- Sicherheit bei deaktiviertem OpenVPN Reply with quote
Hallo,
ich habe meinen Linksys WRT54GL mit dd-wrt am laufen.
Auf dem Router ist ein OpenVPN account eingerichtet Standartmäßig 24/7 aktiviert und verbunden ist und somit meine IP nicht ersichtlich ist.

Sollte jetzt kurzfristig - seitens Hardware, Software, oder auch vom VPN Anbieter ein Fehler auftreten und der OpenVPN wird für eine bestimmte Zeit X nicht verbunden, so sollte ja automatisch der DD-WRT Router als Standart-Router ohne VPN Verschlüsselung wirken.

Gibt es hierfür eine Möglichkeit, dass der Router...sollte er die Verbindung zum OpenVPN Account verlieren (z.B. ersichtlich bei "Status")... dann die WLAN und LAN Ports "sperrt" bis der OpenVPN Status wieder auf Client: CONNECTED SUCCESS steht?

Vielen Dank
Sponsor
Mike42Smith
DD-WRT User


Joined: 14 Feb 2016
Posts: 146
Location: Germany

PostPosted: Sat Jun 11, 2016 13:18    Post subject: Reply with quote
Ich würde ein Skript ausführen lassen, wenn die OpenVPN Verbindung aufgebaut wurde bzw. wenn sie getrennt wurde.

In die OpenVPN Konfig (Additional Config) folgendes ergänzen:
script-security 2
up /tmp/vpnUp.sh
down /tmp/vpnDown.sh

und als Startup-Skript würde ich folgendes anlegen:
################################
/usr/sbin/iptables -t nat -D POSTROUTING -o vlan2 -s 192.168.1.0/24 -j SNAT --to-source `nvram get wan_ipaddr`

stopservice openvpn

echo "#!/bin/sh
nslookup VPNSERVERADRESSE.COM | tail -n 1 | awk -F"[: ]+" '/Address/ {print $3}' > /tmp/var/log/vpnServerIP
VPNIP=$(cat /tmp/var/log/vpnServerIP)
GATEWAY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $VPNIP gw $GATEWAY dev vlan2
/sbin/route del default
/sbin/route add default dev tun0
/usr/sbin/iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE" > /tmp/vpnUp.sh

echo "#!/bin/sh
VPNIP=$(cat /tmp/var/log/vpnServerIP)
GATEWAY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route del -host $VPNIP gw $GATEWAY dev vlan2
/sbin/route del default
/sbin/route add default dev vlan2
/usr/sbin/iptables -t nat -D POSTROUTING -o tun0 -j MASQUERADE" > /tmp/vpnDown.sh

chmod u+x /tmp/vpn*.sh
chmod go-rwx /tmp/vpn*.sh

sleep 1
startservice openvpn
#################################

Wenn deine aktuelle OpenVPN Konfiguration so eingestellt ist, dass sie automatisch den Standard-Gateway ändert, dann solltest du die Zeilen zum Routing im Skript weglassen und nur die iptables Anpassungen übernehmen!

Als erstes werden nach dem Start des Routers die IPTABLES so verändert, dass die Pakete aus dem internen Netz auf dem Weg ins Internet "ins leere laufen" und somit keine Internetverbindung für die Clients im LAN/WLAN möglich sind. Damit wird verhindert, dass Clients im Netzwerk ins Internet kommen bevor die VPN Verbindung erfolgreich hergestellt wurde. Die IP / Subnet 192.168.1.0/24 musst du nach deinen LAN Einstellungen anpassen. Genauso musst du noch den Adresse des VPNServers sowie ggf. das tun-Interface in den up/down-Skripts (hier tun0; siehe: ifconfig) anpassen.

Zugegeben, ich habe es nicht genau in dieser Art getestet. Aber sollte funktionieren. Wink

_________________
Ongoing experiences with:
Linksys E3000 and WRT610N v2
TP-Link Archer C9
Raspberry Pi and TP-Link TL-WR710N with OpenWRT
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Allgemeine Fragen All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum