{{tag>openvpn laptop wlan vlan blauesnetz usb-stick copspot bot}}
====== WLAN Zugang mit OpenVPN im Blauen Netz ======

  * Siehe auch [[ovpn_laptop|OpenVPN auf Laptops]] 
  * **Alternativ:** Sicherung mit [[copspot|CopSpot-Freeradius im BlauenNetz]] anstelle von OpenVPN (siehe auch http://lml.support-netz.de/trac/wiki/IPCopCopSpot )

Bei Absicherung des Zugangs zunm WLan über das Blaue Netz des IPCop wird das WLan ohne Verschlüsselung betrieben. Die verbindung eines Clients läuft dann immer folgendermaßen ab:

  - Client verbindet sich mit dem unverschlüsselten WLan, erhält eine IP-Adresse, darf aber auf keinerlei Dienste zugreifen, da die Firewallkonfiguration des IPCop vom blauen Interface lediglich den Zugriff auf OpenVPN erlaubt.
  - Der Client verbindet sich nun über das WLan per OpenVPN mit dem IPCop und kann so auf Dienste im Netz zugreifen.


<note important>Ab Version 3.0.0build1 des IPCop Addons "Block Outgoing Traffic" muss man für OpenVPN BOT Regeln anlegen, um einen Zugriff auf Netzwerkdienste zu ermöglichen.</note>
===== Anleitung zu einer Einrichtung von WLan-Clientanbindung mit OpenVPN  =====

Die **Anbindung der Clients soll über [[http://lehrerfortbildung-bw.de/netz/muster/linux/material/remote/paedml/openvpn/install_ovpn.html|OVPN]] abgesichert** werden und **via verschlüsselungsfreies WLAN am Blaue Netz des IPCOP des openML4.x-Servers** erfolgen.

Vor der OVPN-Einrichtung muss aber zuerst noch die **Konfiguration der APs** erfolgen:

  -  **Dritte Netzwerkkarte in den IPCop** (real oder UML). Beim nächsten Booten wird nach der **Zuordnung gefragt-> Blau**
  - **APs in der Schule verteilen**.\\ Wichtig dabei ist, dass diese **in einem eigenen blauen Netzwerk** sind, also **nicht im grünen**! Dabei helfen **programmierbare Switches** ungemein, bei denen man ein **[[version3:vlan|VLAN]] einrichtet, an dem die APs hängen.** Ansonsten muss ein extra Kabelnetzwerk für das blaue Netz vorhanden sein.
  - **Konfiguration der progammierbaren Switches**:\\ Das ist ein wenig tricky und es kommt natürlich auf den AP an: Letzlich sollen sie die **DHCP requests der Clients an den DHCP-Blau des IPCop weiterleiten**. 
  - **weiter mit der oben bereits erwähnten [[http://lehrerfortbildung-bw.de/netz/muster/linux/material/remote/paedml/openvpn/install_ovpn.html|OVPN-Einrichtung]]** nach Anleitung auf lehrerfortbildung-BW oder gleich einfach **[[ovpn_laptop|OVPN auf dem privaten Stick einrichten]]**

===== BOT-Regeln für den Zugriff auf Netzwerkdienste aus dem "Blauen openVPN" =====

damit der Zugriff durch die Firewall hindurh funktioniert, müssen für das Netzwerkdevice "openVPN-Blue" nun noch die gewünschten BOT-Regeln erstellt werden. Das Minimalprogramm umfasst hier:

  * Port 53 (domain) für DNS Abfragen
  * Port 443 (https) für sichere http-Verbindungen
  * IPCop Zugriff auf Port 800 (IPCop Proxy) damit Clienst aus dem blauen Netz auf den Proxy des IPCop zugreifen dürfen

Wenn Dienste wie smb, pop, imap o.ä. aus dem blauen VPN Netz heraus funktionieren sollen, muss man diese gesondert durch entsprechende Regeln freigeben. Im Screenshot ist das für ssh zu sehen.

{{:version3:bot_obvpnblau.png?820|}}