WLAN Zugang mit OpenVPN im Blauen Netz
Bei Absicherung des Zugangs zunm WLan über das Blaue Netz des IPCop wird das WLan ohne Verschlüsselung betrieben. Die verbindung eines Clients läuft dann immer folgendermaßen ab:
Client verbindet sich mit dem unverschlüsselten WLan, erhält eine IP-Adresse, darf aber auf keinerlei Dienste zugreifen, da die Firewallkonfiguration des IPCop vom blauen Interface lediglich den Zugriff auf OpenVPN erlaubt.
Der Client verbindet sich nun über das WLan per OpenVPN mit dem IPCop und kann so auf Dienste im Netz zugreifen.
Ab Version 3.0.0build1 des IPCop Addons „Block Outgoing Traffic“ muss man für OpenVPN BOT Regeln anlegen, um einen Zugriff auf Netzwerkdienste zu ermöglichen.
Anleitung zu einer Einrichtung von WLan-Clientanbindung mit OpenVPN
Die Anbindung der Clients soll über OVPN abgesichert werden und via verschlüsselungsfreies WLAN am Blaue Netz des IPCOP des openML4.x-Servers erfolgen.
Vor der OVPN-Einrichtung muss aber zuerst noch die Konfiguration der APs erfolgen:
Dritte Netzwerkkarte in den IPCop (real oder UML). Beim nächsten Booten wird nach der Zuordnung gefragt→ Blau
APs in der Schule verteilen.
Wichtig dabei ist, dass diese
in einem eigenen blauen Netzwerk sind, also
nicht im grünen! Dabei helfen
programmierbare Switches ungemein, bei denen man ein
VLAN einrichtet, an dem die APs hängen. Ansonsten muss ein extra Kabelnetzwerk für das blaue Netz vorhanden sein.
Konfiguration der progammierbaren Switches:
Das ist ein wenig tricky und es kommt natürlich auf den AP an: Letzlich sollen sie die DHCP requests der Clients an den DHCP-Blau des IPCop weiterleiten.
-
BOT-Regeln für den Zugriff auf Netzwerkdienste aus dem "Blauen openVPN"
damit der Zugriff durch die Firewall hindurh funktioniert, müssen für das Netzwerkdevice „openVPN-Blue“ nun noch die gewünschten BOT-Regeln erstellt werden. Das Minimalprogramm umfasst hier:
Wenn Dienste wie smb, pop, imap o.ä. aus dem blauen VPN Netz heraus funktionieren sollen, muss man diese gesondert durch entsprechende Regeln freigeben. Im Screenshot ist das für ssh zu sehen.