Wie WLAN mit OpenVPN absichern?

[dr. snuggles]

Hallo Leute,

Wie kann ich mein WLAN mit OpenVPN absichern?
Ich frage deshalb, weil mein altes Notebook immer einen Totalhänger bekommt, wenn ich WLAN mit Verschlüsselung (WEP, WPA etc) benutze. Wenn ich dagegen ohne Verschlüsselung arbeite geht es.

Neuinstallation, anderer WLAN-Stick usw. bringen nix.

Jetzt würde ich gerne auf die Verschlüsselung verzichten und das WLAN mit OpenVPN absichern. Geht das? Und wenn ja, wie?

Zusätzliche Informationen:
Die Fritzbox hat die IP 10.10.1.254
Dazu habe ich einen EisFair Server, der DHCP für die Clients und DNS übernimmt.

Gruß
Christian

 

[wurstfabrik]

Ist es nicht nachteilig, wenn jeder dein WLAN ohne key benutzen könnte ? Oder willst du den MAC-Filter nutzen ?
Bin da nich der profi, aber den MAC-Filter kann man doch sicher auch i-wie umgehen .....

 

[kriegaex]

Jetzt würde ich gerne auf die Verschlüsselung verzichten und das WLAN mit OpenVPN absichern. Geht das?

Nein, OpenVPN verschlüsselt auch.

 

[dr. snuggles]

Nein, OpenVPN verschlüsselt auch.

Ja, das weiß ich, allerdings scheint das zu funtionieren.
Ich habe schon eine Verbindung über VPN zustande gebracht.
Nur viel weiter bin ich noch nicht gekommen.
Wie sag ich der Fritzbox, dass WLAN nur über VPN gehen soll?

 

[kriegaex]

Wie wäre es, wenn du die Ursache bekämpfen anstatt das Symptom vermeiden würdest? Wenn Dein altes NB genug Power hat, eine VPN-Verschlüsselung zu berechnen, kann es auch WLAN. Das könnte ein Treiberproblem, eine unpassende Einstellung o.ä. sein. Klar, daß deswegen nichts abstürzen dürfte, aber trotzdem finde ich Deinen Plan, gelinde gesagt, skurril.

Wie macht das NB überhaupt WLAN? Per USB-Stick, wenn es so alt ist? Oder hat es schon WLAN on board? Evtl. spinnt einfach etwas mit dem USB-Port, bei meinem alten PC ist dabei sogar XP abgestürzt mit Bluescreen, bis ich dieses damals sündteure Siemens-WLAN-Ding zurückgegeben habe...

 

[moooB]

hi,

mich würde es aber auch interessieren wie ich der FB klar mache das WLAN nur über VPN gehen soll. die IP Adresse des Notebook möchte ich aber doch gerne statisch am Notebook einstellen. im mom habe ich die FB im Bridge mode. der tunnel kommt auch zustande. nur glaube ich nicht das ich wlan über den tunnel betreibe.

wie bekomme ich das nun hin?

lg

 

[dr. snuggles]

Wie wäre es, wenn du die Ursache bekämpfen anstatt das Symptom vermeiden würdest? Wenn Dein altes NB genug Power hat, eine VPN-Verschlüsselung zu berechnen, kann es auch WLAN. Das könnte ein Treiberproblem, eine unpassende Einstellung o.ä. sein. Klar, daß deswegen nichts abstürzen dürfte, aber trotzdem finde ich Deinen Plan, gelinde gesagt, skurril.

Wie macht das NB überhaupt WLAN? Per USB-Stick, wenn es so alt ist? Oder hat es schon WLAN on board? Evtl. spinnt einfach etwas mit dem USB-Port, bei meinem alten PC ist dabei sogar XP abgestürzt mit Bluescreen, bis ich dieses damals sündteure Siemens-WLAN-Ding zurückgegeben habe...

Ich habe eine Netgear WG511 Wireless PCMCIA Karte und einen USB-WLAN Stick, bei beiden tritt der gleiche Fehler auf.

Das Problem ist, das meine Freundin ihren Tee über die Tastatur meines Notebooks gekippt hat. Seitdem spinnt das Ding ein wenig.
Eigentlich Funktionert das Notebook noch recht gut, außer dass er 2. IDE-Controller kaputt ist (kein CD/DVD) und das kleine Problem mit meinem WLAN. Per Kabel geht auch alles wunderbar, bringt aber im Wohnzimmer nix, da da kein Kabel vorhanden.
Ach ja, 300 Euronen Reparatur lohnen dafür nicht.

 

[Silent-Tears]

Das Problem an cer Geshcichte ist allerdings, dass dann die Verbindung des Notebooks geschützt ist, abner ebne nicht dein WLan. Somit kannst du - sollte etwas über dein WLan laufen, was nicht legal ist - echte Probleme bekommen, denn du bist verpflichtet, dein WLan gegen fremden zugriff zu schützen, sei es auch nur mit einer simplen WEP64-Verschlüsselung.

 

[knox]

Die Verschlüsselungsmechanismen von WLAN sind nicht optimal. Der Ansatz, das WLAN selbst völlig unverschlüsselt zu lassen und statt dessen die Kommunikation abzusichern, z.B. mit IPSec oder OpenVPN, ist ein durchaus sinnvoller Ansatz, der in produktiven Umgebungen recht häufig zum Einsatz kommt.

[Edit frank_m24: Beitrag 2:]

du bist verpflichtet, dein WLan gegen fremden zugriff zu schützen, sei es auch nur mit einer simplen WEP64-Verschlüsselung.

Das ist absoluter Blödsinn! Eine Verpflichtung zur Verschlüsselung gibt es nicht.

Es gibt sogar einige Leute, die Ihr WLAN freiwillig und vollkommen bewusst "verschenken": http://freifunk.net/idee

 

[Silent-Tears]

Wer ein ungeschütztes WLAN betreibt, haftet unter Umständen für Rechtsverletzungen, die andere über das frei zugängliche WLAN begehen. Zu diesem Ergebnis kommt das Landgericht Hamburg in einem Urteil vom 26. Juli 2006 (308 O 407/06), das kürzlich veröffentlicht wurde. Das Gericht stellt fest, dass es für den Betreiber eines WLANs zumutbar sei, für die Sicherung seines drahtlosen Heimnetzwerks Sorge zu tragen und dadurch zu verhindern, dass Fremde einen Zugriff auf das Funknetzwerk bekommen. Diese Pflicht gelte auch für technische Laien, die sich dann eben kostenpflichtig fachmännische Hilfe holen müssten. Juristen kommen im Übrigen zu dem Ergebnis, dass Schwarzsurfen über ungesicherte WLANs grundsätzlich nicht verboten ist.

Quelle

Das Urteil ist rechtskräftig und besagt somit: Wer es nicht tut, selber schuld. Ok. Keine Pflicht. Das ist richtig. IUch warte nur drauf, bis dieses Urteil entsprechend Bundesweit bestätigt wird.

 

[Marsupilami]

[OT]
lol
Wenn, dann steht da drin, dass jeder für die Absicherung seines Heimnetzwerkes selbst verantwortlich ist. Absicherung und Verschlüsselung sind nicht das gleiche, Heimnetzwerk und WLAN sind nicht das gleiche, Verpflichtung und Eigenverantwortung sind auch nicht das gleiche. Die Schlussfolgerung, dass man verpflichtet wäre, ein WLAN zu verschlüsseln, ist, so leid es mir tut, an den Haaren herbei gezogen.

Aber darum geht es hier doch gar nicht: Der Threadersteller möchte sein Heimnetzwerk doch gar nicht offen halten, so dass er mißbräuchlich genutzt werden könnte. Wenn das WLAN offen (also ohne WLAN-Verschlüsselung) aber mit VPN (richtig) abgesichert ist, bedeutet das letztlich nur, dass die WLAN-Verschlüsselung abgeschaltet ist. WLAN-Clients können sich dann im WLAN anmelden. Aber: Ohne sich am VPN anzumelden können sie rein gar nichts machen. Sie kommen nicht ins Heimnetzwerk und auch nicht ins Internet. Damit ist dem zitierten Urteil mehr als genügt.
Natürlich immer richtige Konfiguration vorausgesetzt. Aber danach fragt der Threadersteller doch gerade. Und ihm darauf zu antworten, er wäre verpflichtet, sein WLAN mindestens mit WEP64 zu verschlüsseln ist leider einfach nur am Thema vorbei.
[/OT]

 

[Silent-Tears]

Nochmal OT: Jups, richtig. Dennoch gab es auch schon Abmahnungen und Ähnlichen Blödsinn aufgrund dieses Urteils. Somit ist das zumindest etwas, was zu bedenken ist, finde ich.
Der Rest davon ist eigentlich Beiwerk. Btw: Hier in der Firma wird Wert darauf gelegt,das WLan zumindest rudimentär zu verschlüsseln, und darauf dann die Verbuindungen noch zusätzlich mit VPN zu tunneln. Aber das ist wohl Geschmackssache.

 

[olistudent]

Hi.
Kommt ihr bitte zurück zum Thema?
Die Idee, anstatt einer WEP/WPA-Verschlüsselung, Openvpn zu verwenden ist nicht neu, daher sollte die Suche eigentlich auch was zu finden sein.
Du musst natürlich dafür sorgen, dass die Routen so umgebogen werden, dass alles übers VPN läuft.

MfG Oliver

 

[pixelpeter]

Hi,

Mach es genau so, wie olistudent es sagt.
Eine iptables Regel erstellen, welche nur den VPN Port passieren lässt. Alles andere blocken.
Es ist bei bei dieser Lösung wichtig, das das WLAN nicht mit den LAN Ports gebrückt ist. Nur so lässt sich der WLAN Traffic vom übrigen LAN Traffic sicher abschirmen.

Ich nutze diese Lösung auf meinem WRT54.

Ich glabe kaum, dass es momentan eine sichere Methode als diese gibt.
Was allerdings ein Problem sein könnte ist die Tatsache, dass die CPU Leistung meines WRT nicht reicht um die volle Bandbreite abzudecken. Wie es mit der Fritzbox ist kann ich nicht sagen.

Falls Du iptables Regeln brauchst, poste ich diese gern.

Peter

 

[olistudent]

Braucht man dafür ipconntrack? Denn das läuft derzeit nicht richtig...
Poste doch mal bitte die Regeln und die nötigen Module.

MfG Oliver

 

[andilao]

Wenn schon das Notebook einmal "mitgewaschen" wurde und die ersten Komponenten den Geist aufgegeben haben, ist der Totalausfall auch nicht mehr weit. Wieso nicht zurück zum guten alten schnellen und "offenen" Draht-LAN?

 

[pixelpeter]

Hi Oliver,

Bin gerade auf Arbeit. Ich poste die Regel heute abend.
Ist aber wie gesagt auf einem WRT54.
ipconntrack ist aber meiner Meinung nach nicht benutzt. Bin ich mir sogar ziemlich sicher.
Im Prinzip ist es so, dass eingehender und ausgehender Traffic nur auf dem VPN Port zugelassen wird. Lediglich das beziehen der IP Adresse (DHCP) wird zusätzlich erlaubt.

Kann man bei der Fritzbox überhaupt die Brücke auftrennen?

@andilao:
Nimms mir bitte nicht übel. Die Frage war "wie WLAN über VPN". Das LAN nicht geht beschreibt er ja.


Peter

 

[pixelpeter]

Hi,

Hier die Regel:

#!/bin/sh


## CLEAR TABLES
for T in filter nat; do
iptables -t $T -F
iptables -t $T -X
done

# Nur UDP VPN Port reinlassen
iptables -A INPUT -i eth1 -p udp --dport 2001 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
#iptables -A INPUT -i eth1 -j LOG
iptables -A INPUT -i eth1 -j DROP

# Nur UDP VPN Port rauslassen
iptables -A OUTPUT -o eth1 -p udp --sport 2001 -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT
#iptables -A OUTPUT -o eth1 -j LOG
iptables -A OUTPUT -o eth1 -j DROP

# Forewarding ueber eth1 ausschalten
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A FORWARD -i eth1 -j DROP

# Kommunikation ueber Tunnel erlauben
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A OUTPUT -o tap0 -j ACCEPT

 

[AndreR]

Zusatz zu der Regel: VORHER die Namen des tun oder tap device in Erfahrung bringen und ggf. anpassen.

 

[moooB]

hi,

das heisst das ganze geht nur mit iptables?
das soll doch im aktuellen ds mod noch nicht so stabil laufen, oder?

lg