openwrt | Backfire und OpenVPN

Seit dem 09. April 2010 gibt es eine neue stabile Version von OpenWRT namens Backfire. Ich habe meine selbst kompilierte Firmware letztes Wochenende durch die aktuelle Stable ersetzt. was relativ problemlos ging. Wichtig in dem Zusammenhang war nur folgendes: Ich hatte bei der Aktualisierung über die Weboberfläche anfangs gesagt, das er die Konfigurationsdateien übernehmen sollte, was er auch ordentlich tat. Aber ich konnte dann keine weitere Software installieren – die Partition war schon voll. Erst nachdem ich die Werkseinstellungen geladen und den Router neu gestartet hatte, war ein Einspielen von Software möglich.

Ab der Version Backfire ist es nun möglich die Weboberfläche von OpenVPN direkt zu installieren – leider aber funktioniert die Integration von OpenVPN immer noch nicht so vollautomatisch, wie ich mir das gewünscht hatte. Wer also OpenVPN wie ich auf einem OpenWRT-Router nutzen möchte, für den gelten immer noch die manuellen Anpassungen wie hier beschrieben.

Zuerst muss ein neues Netzwerk-Interface für den VPN-Tunnel angelegt werden:

uci set network.vpn=interface
uci set network.vpn.proto=none
uci set network.vpn.auto=1
uci set network.vpn.ifname=tun0
uci commit network

Anschließend eine neue Firewall Zone eingerichtet:

uci add firewall zone
uci set firewall.@zone[2].name=vpn
uci set firewall.@zone[2].forward=ACCEPT
uci set firewall.@zone[2].input=ACCEPT
uci set firewall.@zone[2].output=ACCEPT
uci commit

Und abschließend wird definiert, zwischen welchen Firewall Zonen überhaupt Traffic fließen darf.

uci add firewall forwarding
uci set firewall.@forwarding[1].dest=vpn
uci set firewall.@forwarding[1].src=lan
uci commit

Wer mehr darüber erfahren will, was man mit UCI alles anstellen kann, den kann ich nur auf die Befehlsreferenz verweisen.

Nun fehlen nur noch die Firewall-Einträge

iptables -A input_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -i tun+ -j ACCEPT
iptables -A forwarding_rule -o tun+ -j ACCEPT
iptables -A output_rule -o tun+ -j ACCEPT

dies alles in die Datei /etc/firewall.user eingetragen und schon funktioniert der VPN-Tunnel wie er soll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.