OpenVPN e AVM Firewall su 7170

[thecode]

Ciao a tutti,

sto usando openvpn su un 7170 con freetz. Lo uso lato server mentre un PC in remoto si connette a questo. Ho necessità di bloccare qualunque connessione TCP che parte dal PC verso il fritz o la rete che sta dietro il fritz. La situazione che ho è:

1) eth0 del fritz è su una LAN su cui è posizionato il router ADSL che fa da default gateway per il fritz.
2) Il fritz è configurato come "Accesso a Internet via LAN 1" e "Utilizzare nella rete connessione Internet già disponibile (client IP)".
3) Openvpn è installato sul fritz e viene contattato da un PC remoto che stabilisce uan connessione
4) Openvpn crea l'interfaccia tap0

Ora il PC ed il fritz si raggiungono a vicenda, però non voglio che il PC possa aprire connessioni TCP verso il fritz. Ho notato che il firewall avm le regole le applica solo sulle interfacce dell'adsl (se ho capito bene), che in questo caso io non uso perchè il fritz non si collega direttamente all'adsl. C'è un modo (forse lavorando sul ar7.cfg?) per poter dire che le connessioni provenienti dall'interfaccia tap0 devono essere bloccate?
Grazie.

[Massinge]

Se utilizzi il fritz come client IP, non è abiliato il routing, indi per cui nemmeno il firewall è in funzione.
Devi impostarlo come router per riavere il controllo sulle regole di firewalling e quindi di routing interno ed impostare le interfacce eth1,2,3 su altra classe di IP rispetto alla eth0 (LAN1).
Agisci su ar7.cfg solo se necessario, meglio utilizzare AVM firewall dall'interfaccia freetz.
Ciao!

[thecode]

Ciao Massinge,

innazitutto grazie per la risposta. Ho seguito il tuo consiglio. Ho messo il fritz in modalità router, ho assegnato un IP della mia LAN all'interfaccia eth0 (che è diventata la dsl) e poi un altro IP di un'altra classe alla rete interna.

Ho abilitato la porta 1194/udp per poter fare la connessione OpenVPN, però il risultato non cambia, ovvero non riesco in alcun modo a bloccare, ad esempio, l'ssh dal PC remoto verso il fritz (utilizzando l'IP dell'interfaccia tap0 di openvpn).

In pratica tutte le regole del firewall (quello di freetz) non riescono in alcun modo a lavorare sull'interfaccia tap0. Hai qualche idea?
Grazie.

[Massinge]

A questo punto prova d agire sull' ar7.cfg seguendo la sintassi di una delle regole di forwarding già presenti, introducendo l'interfaccia tap0, altro non ti sò dire in quanto su questo specifico argomento non mi ci son cimentato nei fatti.
Ciao!

[thecode]

Ciao. Nel ar7.cfg vedo due zone in cui ci sono regole di fw. La prima è quella con nome 'dslifaces'. Ho provato a mettere tap0 in dslinterfacename, al posto del default che era dsl. Ma sembra non cambi niente.

Poi c'è la sezione pppoefw. Ho provato ad aggiungere tap0 a:

interfaces = "lan", "usbrndis", "eth0", "wlan", "tap0";

e a mettere nofirewall = no;

e ad aggiungere le regole nelle sezioni di firewall, ma non cambia niente neanche in questo caso. Sto cercando di capire se c'è un modo anche manuale per inserire regole sul fw (un pò come si può fare con iptables in cui si può indicare per ogni regola anche l'interfaccia su cui agisce). Inoltre sto cercando di capire il signifato dei gruppi di regole:

lowinput, lowoutput, highinput, highoutput

Qualcuno mi sa aiutare su questi due punti?
Grazie.

[Contenuto sponsorizzato]