Absichern eines WLAN-Netzes mit OpenVPN
In unserem Haushalt stand kürzlich das Einrichten eines Funknetzes an, da inzwischen doch einige mobile Geräte verwendet werden, was natürlich die Frage der Absicherung und Verschlüsselung aufwarf.
Wir haben öfters mal Besucher, die eigene mobile Geräte mit sich führen und denen wir auch gerne einen Internetzugang ermöglichen.
Durch eine generelle Verschlüsselung wären wir gezwungen einem Besucher jedesmal einen Schlüssel zu erstellen. Zusätzlich finden wir es auch nett jemand Fremden einen beschränkten Internetzugang zu gewähren, um z.B. unterwegs seine Mails abzurufen, weshalb wir unsere Netze nicht vollkommen abschotten wollten.
Aus diesen Gründen haben wir uns entschieden das WLAN-Netz nicht zu verschlüsseln und den Zugang zu den internen Netzwerken nur über OpenVPN zu erlauben.
Als Accesspoint dient eine FreeBSD6 Workstation, die eine zusätzliche WLAN-Karte bekam.
Anstatt der üblichen Bridging Methode - die normalerweise für einen Accesspoint gewählt wird - wird die Workstation als NAT-Router zwischen WLAN-Netz, privaten Netzen und Internet genutzt.
In der Praxis sieht das so aus, dass der OpenVPN-Server auch auf Port 443 der WLAN-Karte lauscht. Sämtliche anderen Dienste auf der Workstation sind Interface-gebunden(lauschen also nicht an der WLAN-Karte) und zusätzlich sind noch via Paketfilterung alle anderen Ports ausser DHCP und 443 an die Adresse der Karte gesperrt.
Ein natd sorgt dafür, dass alle Pakete mit der IP der Workstation übersetzt werden, wodurch ein Routing sowohl in die internen Netze, als auch ins Internet stattfindet.
Alle Paket, die aus dem IP-Range des WLAN kommen werden durch Paketfilterung geblockt, wenn sie an ein IP im Range eines der internen Netze adressiert sind.
Diese Konfiguration erlaubt es Besuchern den Accesspoint als Router zu benutzen, ohne irgendwelche Einstellungen vornehmen zu müssen - unsere eigenen Geräte verbinden sich über das OpenVPN-Gateway, wodurch vollständiger Netzwerkzugriff gewährleistet ist.
Weiter mit Trafficanalyse