mehr als nur ein Notizblock

Seit dem 09. April 2010 gibt es eine neue sta­bile Ver­sion von Open­WRT namens Back­fire. Ich habe meine selbst kom­pi­lierte Firm­ware letz­tes Wochen­ende durch die aktu­elle Sta­ble ersetzt. was rela­tiv pro­blem­los ging. Wich­tig in dem Zusam­men­hang war nur fol­gen­des: Ich hatte bei der Aktua­li­sie­rung über die Webober­flä­che anfangs gesagt, das er die Kon­fi­gu­ra­ti­ons­da­teien über­neh­men sollte, was er auch ordent­lich tat. Aber ich konnte dann keine wei­tere Soft­ware instal­lie­ren — die Par­ti­tion war schon voll. Erst nach­dem ich die Werks­ein­stel­lun­gen gela­den und den Rou­ter neu gestar­tet hatte, war ein Ein­spie­len von Soft­ware möglich.

Ab der Ver­sion Back­fire ist es nun mög­lich die Webober­flä­che von OpenVPN direkt zu instal­lie­ren — lei­der aber funk­tio­niert die Inte­gra­tion von OpenVPN immer noch nicht so voll­au­to­ma­tisch, wie ich mir das gewünscht hatte. Wer also OpenVPN wie ich auf einem OpenWRT-Router nut­zen möchte, für den gel­ten immer noch die manu­el­len Anpas­sun­gen wie hier beschrieben.

Zuerst muss ein neues Netzwerk-Interface für den VPN-Tunnel ange­legt werden:

uci set network.vpn=interface
uci set network.vpn.proto=none
uci set network.vpn.auto=1
uci set network.vpn.ifname=tun0
uci commit network

Anschlie­ßend eine neue Fire­wall Zone eingerichtet:

uci add firewall zone
uci set firewall.@zone[2].name=vpn
uci set firewall.@zone[2].forward=ACCEPT
uci set firewall.@zone[2].input=ACCEPT
uci set firewall.@zone[2].output=ACCEPT
uci commit

Und abschlie­ßend wird defi­niert, zwi­schen wel­chen Fire­wall Zonen über­haupt Traf­fic flie­ßen darf.

uci add firewall forwarding
uci set firewall.@forwarding[1].dest=vpn
uci set firewall.@forwarding[1].src=lan
uci commit

Wer mehr dar­über erfah­ren will, was man mit UCI alles anstel­len kann, den kann ich nur auf die Befehls­re­fe­renz ver­wei­sen.

Nun feh­len nur noch die Firewall-Einträge

iptables -A input_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT
iptables -A output_rule -o tun+ -j ACCEPT

dies alles in die Datei /etc/firewall.user ein­ge­tra­gen und schon funk­tio­niert der VPN-Tunnel wie er soll.

Ähnli­che Arti­kel zu die­sem Thema:

1. open­wrt | OpenVPN mit Webober­flä­che unter OpenWRT
2. debian | OpenVPN-Server als Standard-Gateway
3. debian | Open­WRT und eige­nes Image bauen
4. open­wrt | Open­WRT als VM
5. open­wrt | Kom­pi­lie­rungs­um­ge­bung aktualisieren