Internet im Hotel nur über VPN

Geschrieben von Igor Scheller am 15. Juni 2014

Fast jedes Hotel hat ein öffentliches W-Lan, welches jeder Gast meistens kostenlos benutzen darf. Das Problem ist dabei aber, genauso wie in W-Lans in einem Café etc., dass jeder, der sich im W-Lan befindet, alle unverschlüsselten Dateien mitlesen und analysieren/bearbeiten kann. Das ist besonders bei Passwörtern unpraktisch, welche je nach Protokoll und Verbindung komplett unverschlüsselt übertragen werden, beispielsweise bei FTP oder dem Mailabruf.
Die Lösung dieses Problemes ist folgendes Init-Script, welches beim Starten des Computers ausgeführt wird und mithilfe von iptables nur VPN-Verbindungen nach außen durch lässt.

Zuerst muss das Script erstellt werden, das geht mit sudo nano /etc/init.d/forcevpn am schnellsten. Dort kopiert man dann folgenden Code hinein und ändert die IP des VPN-Servers in Zeile 17 in die des eigenen VPN-Servers.

#! /bin/sh
### BEGIN INIT INFO
# Provides:          ForceVPN
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Force VPN connection
# Description:       Internet only works over VPN-Connection
### END INIT INFO

# Author: Igor Scheller <igor.scheller@igorshp.de>

PATH=/sbin:/usr/sbin:/bin:/usr/bin
DESC="Force the internet connection to route through a VPN"
IPT=/sbin/iptables
VPN=123.123.123.123
NAME=${0##*/}

is_root()
{
	if [ "$(id -u)" != "0" ]; then
		echo "This script must be run as root!" 1>&2
		exit 1
	fi
}

do_start()
{
	is_root
	echo "Enabling $NAME"

	if [ ! -f /tmp/iptables.bak ];then
		#Backup old
		iptables-save > /tmp/iptables.bak

		# Basic rules from http://www.linuxquestions.org/questions/linux-security-4/force-all-internet-traffic-through-tun0-vpn-interface-896458/
		#Flush rules
		$IPT -F
		$IPT -X

		#Default policies and define chains
		$IPT -P OUTPUT DROP
		$IPT -P INPUT DROP
		$IPT -P FORWARD DROP

		#Allow input from tun0 and lo ONLY
		$IPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
		$IPT -A INPUT -i lo -j ACCEPT
		$IPT -A INPUT -i tun0 -m conntrack --ctstate NEW -j ACCEPT
		$IPT -A INPUT -j DROP

		#Allow output from lo and tun0 ONLY
		$IPT -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
		$IPT -A OUTPUT -o lo -j ACCEPT
		$IPT -A OUTPUT -o tun0 -m conntrack --ctstate NEW -j ACCEPT
		$IPT -A OUTPUT -d $VPN -m conntrack --ctstate NEW -j ACCEPT
		$IPT -A OUTPUT -j DROP
		echo "  Done"
	else
		echo "  Already enabled"
	fi

	return 0
}

do_stop()
{
	is_root
	echo "Disabling $NAME"

	if [ -f /tmp/iptables.bak ];then
		cat /tmp/iptables.bak | iptables-restore
		rm /tmp/iptables.bak
		echo "  Done"
	else
		echo "  Already disabled"
	fi

	return 0
}

do_restart() {
	do_stop
	do_start
	return 0
}

do_status() {
	echo "Status of $NAME:"

	if [ -f /tmp/iptables.bak ];then
		echo "  Active"
	else
		echo "  Not active"
	fi

	return 0
}

case "$1" in
	start)
		do_start
	;;
	stop)
		do_stop
	;;
	status)
		do_status
	;;
	restart|force-restart)
		do_restart
	;;
	*)
		echo "Usage: $0 {start|stop|status|restart}" >&2
		exit 3
	;;
esac

exit 0

Gespeichert wird mit Strg+O, und zum Schließen benutzt man Strg+X.
Nun muss das Script nur noch ausführbar gemacht werden, das geht mit sudo chmod +x /etc/init.d/forcevpn und der automatische Start beim Systemstart aktiviert werden sudo update-rc.d forcevpn defaults. Um den automatischen Start wieder zu Deaktivieren, reicht ein sudo update-rc.d -f forcevpn remove. Natürlich kann man das Script auch manuell mit sudo service forcevpn start und sudo service forcevpn stop starten und stoppen.

Wenn man in der Konfiguration des VPNs den server mit einer Domain eingetragen hat, muss man in die Datei /etc/hosts am Ende noch ein 198.51.100.157 myvpn.domain hinzufügen.

Das war es auch schon, jetzt fehlt nur noch der (eigene) openVPN-Server 😉

Shorturl Kategorie: Tutorials, Web Tags:

Über Igor Scheller

Kontakt: Twitter Facebook Google+

Über mich gibt es nicht viel zu sagen ;) Ich bin Technikbegeistert, mich interessiert eigentlich alles was irgendwie etwas mit Computern, Elektronik, Programmieren und Technik zu tun hat, und manchmal schreibe ich auch darüber. Wenn du mehr wissen wilst, kannst du es mir ja Mailen :D (Oder in die Kommentare schreiben (oder per Snailmail senden))

Es sind leider keine Kommentare vorhanden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.