1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Problem mit Routing und VPN

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von ueker123, 9. Mai 2012.

  1. ueker123
    Offline

    ueker123 Ist oft hier

    Registriert:
    17. Dezember 2011
    Beiträge:
    141
    Zustimmungen:
    17
    Punkte für Erfolge:
    0
    N'abend,

    ich habe einen kleinen VPN Server, KVM virtualisiert.
    Ich möchte diesen Server dauerhaft durch eine VPN Verbindung schützen, dabei soll ein Port durchgeschaltet werden. (Anbieter ovpn.to)

    Mein Problem ist, dass beim Herstellen sämtlicher Netzverkehr über den VPN Tunnel umgeleitet wird, sprich ich komme nicht mehr per SSH auf den Server und mir stehen auch sonstige Funktionen nicht mehr zur Verfügung (Webinterfaces, etc.)

    Der Server ist halt nur noch über das tun0 Device erreichbar.

    Welche Möglichkeiten habe ich gewisse Ports daran vorbeizuleiten, damit ich trotz vestehender openvpn Verbindung noch per SSH auf die Kiste komme?

    Danke ;-)

    ädit: So also ich hab das Problem zum Teil gelöst. Das Problem ist, dass das tun0 device automatisch als default gateway setzt.
    Das lässt sich umgehen, indem man route-noexec in der config hinzufügt.
    Meine Config sieht dann so aus:


    Jetzt habe ich nur das Problem, dass ich es nicht hinbekomme die Anfragen vom tun device zum eth0 controller zu routen.
    Da ich den Zugriff auf gewisse Ports beschränken wollte, hatte ich die Absicht per iptables script/nat zu routen.

    Aber leider gehen die Anfragen nicht durch :-(

    Hat jemand eine Idee?
     
    Zuletzt bearbeitet: 10. Mai 2012
    #1
  2. phantom

    Nervigen User Advertisement

  3. lenny
    Offline

    lenny Freak

    Registriert:
    7. Februar 2011
    Beiträge:
    234
    Zustimmungen:
    266
    Punkte für Erfolge:
    63
    Hast du am Server das Routing aktiviert ?

    $FW -t nat -A PREROUTING -i tun0 -p tcp --dport 12345 -j DNAT --to 127.0.0.1
    $FW -t nat -A PREROUTING -i tun0 -p udp --dport 12345 -j DNAT --to 127.0.0.1

    Und wenn zu einem anderem Rechner geleitet wird wirds was schwieriger ;=) Dann hast du doppeltes NAT - das geht wohl bedarf allerdings einiges mehr an Configarbeit

     
    Zuletzt bearbeitet: 10. Mai 2012
    #2
  4. ueker123
    Offline

    ueker123 Ist oft hier

    Registriert:
    17. Dezember 2011
    Beiträge:
    141
    Zustimmungen:
    17
    Punkte für Erfolge:
    0
    Es handelt sich um den Dienst von ovpn.to.
    Der Port ist freigeschaltet, rufe ich die IP+Port im Browser auf, sehe ich (ifconfig) am tun0 Device beim RX Paketzähler eine Änderung.
    Die Anfrage scheint also beim tun0 Device anzukommen.

    Nein es soll nicht zu einem anderen Rechner geleitet werden, sondern lediglich von tun0 Device auf das eth0 Device umgeleitet werden.
    Also die Anfrage soll local bleiben.

    Oder wäre damit folgendes zutreffender:


    Welche IP ist dort bei -s (Quell-IP) einzusetzen? Die Ip des tun0 Devices oder die des eth0 Devices?

    Irgendwie verwirrt mich jede Aussage die ich lese nur noch mehr :-(
    Wie du vielleicht schon merkst, bin ich absolut kein Experte was Routing/Iptables angeht :D
     
    Zuletzt bearbeitet: 10. Mai 2012
    #3
  5. lenny
    Offline

    lenny Freak

    Registriert:
    7. Februar 2011
    Beiträge:
    234
    Zustimmungen:
    266
    Punkte für Erfolge:
    63
    Probier es mal so :
    input von port 12345 erlauben

    $FW -A INPUT -p tcp -m tcp -i tun0 --dport 12345 -j ACCEPT

    forwarding von tun0 auf eth0 (und wieder zurück):
    $FW -A FORWARD -i eth0 -o tun0 -p tcp -j ACCEPT
    $FW -A FORWARD -i tun0 -o eth0 -p tcp -j ACCEPT

    maskiere alles was über tun0 raus soll und von 192.x.y.z kommt mit der ipaddy des servers:
    $FW -A POSTROUTING -s 192.168.?.0/24 -o tun0 -j MASQUERADE

    portweiterleitung von 12345 auf ipadresse:54321
    $FW -A PREROUTING -p tcp -m tcp --dport 12345 -j DNAT --to-destination 192.168.178.?:54321

    ist alles für tcp , wenn damit klappt dann halt umschreiben für udp.**überleg**
    teste das mal aus - ich werde das nachher auch mal testen ;=)
     
    #4
  6. lenny
    Offline

    lenny Freak

    Registriert:
    7. Februar 2011
    Beiträge:
    234
    Zustimmungen:
    266
    Punkte für Erfolge:
    63
    So bei mir klappt es mit den og iptables..
     
    #5

Diese Seite empfehlen