Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

[21a]

Hallo ! Ich habe mir ein VPS gemietet und auf diesen Openvpn installiert. Mit meinem Raspberry, auf dem Oscam läuft, kann ich ohne Probleme auf diesen Vps per Openvpn verbinden und bekomme auch eine Ip zugewiesen.
Leider scheiter ich daran die Ports vom Vps auf die Himbeere (Homeserver) weiterzuleiten.
Die Pings zwischen Vps (10.8.0.1) und Homeserver (10.8.0.6) sehen gut aus. Hätte gern mein Newcamd über die VPS Server IP erreichbar, da meine diversen Diablos mit dyndns Adressen ein Problem haben. Probiert habe ich schon follgendes :

Auf dem VPS :
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 188.241.***.***
iptables -t nat -A PREROUTING -p tcp -i venet0:0 --dport 53**-j DNAT --to 10.8.0.6:53**
iptables -A FORWARD -p tcp -i venet0:0 -d 10.8.0.6 --dport 53** -j ACCEPT

Auf dem Homeserver :
iptables -A INPUT -i tun0 -p tcp --dport 53** -j ACCEPT


Für Tipps oder Lösungsvorschläge wäre ich dankbar

MfG 21a

Die Openvpn.conf auf dem VPS

Spoiler

dev tun
proto tcp
port 53**
ca /etc/openvpn/easy-rsa2/keys/ca.crt
cert /etc/openvpn/easy-rsa2/keys/server.crt
key /etc/openvpn/easy-rsa2/keys/server.key
dh /etc/openvpn/easy-rsa2/keys/dh1024.pem
user root
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 20*.**.***.***"
push "dhcp-option DNS 20*.**.***.***"

log-append /var/log/openvpn
comp-lzo
keepalive 10 120

Und meine Clientvps.conf

Spoiler

dev tun
client
proto tcp
remote 188.241.***.***
port 53**
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert himbeere.crt
key himbeere.key
comp-lzo
verb 3

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Sieht auf den ersten Blick gut aus, aber der Port 53** in der Config ist nicht der, den du bei iptables nutzt oder?

Aus wie vielen Netzen kommen denn die Diablos?

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Nene, also der Openvpn port unterscheidet sich vom Newcamd Port, liegen nur nahe beisam.

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Funktioniert denn das SNAT?
IP Forwarding aktiviert?
Gibt es noch mehrere iptables Regeln? Stehen obige an der richtigen Stelle?

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Funktioniert denn das SNAT?

Was meinste denn genau?

Ip Forwarding hab ich auf beiden Rechnern in der "sysctl.conf" aktiviert.

Ich verwende nur die oben geposteten Iptables, ob an der richtigen Stelle bin ich überfragt. Haue diese einfach in Putty rein.

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Kannst du von dem Raspberry ins Netz funken?
Wurde das Gateway auf den Tunnel gesetzt?

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Ob ich ins Netz funken kann hab ich noch nicht getestet, ich mach mal rasch n traceroute obs übern vps läuft. Als ich ich mit meinem Windows Rechner testweise zum VPN verbunden war hat er die gleiche ip angenommen und ich konnte über die VPS Ip surfen. Wenn du das meinst..

Das Gateway im Pi meinste sicherlich? Da hab ich nichts verändert. Hab auch kein Plan wie..

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Poste mal vom Pi ein:
netstat -rn wenn der Tunnel steht.
Openvpn sollte das Standard Gateway auf den Tunnel umbiegen, geht aber nicht immer.

Und dann mal gucken was ein traceroute sagt.

Prüfe auch mal ob der Pi die IP dann über haupt bekommt auf die du weiterleiten willst.

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Netstat gibt mir follgendes aus :
Ziel Router Genmask Flags MSS Fenster irtt Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
188.241.***.*** 192.168.2.1 255.255.255.255 UGH 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Auch im Log vom Pi, wenn ich mit dem Vps verbinde, steht

Wed Mar 5 19:35:16 2014 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Wed Mar 5 19:35:16 2014 /sbin/route add -net 188.241.***.*** netmask 255.255.255.255 gw 192.168.2.1
SIOCADDRT: File exists
Wed Mar 5 19:35:16 2014 ERROR: Linux route add command failed: external program exited with error status: 7
Wed Mar 5 19:35:16 2014 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.5
Wed Mar 5 19:35:16 2014 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.5
Wed Mar 5 19:35:16 2014 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.5

Der error ist mir grad das erste mal aufgefallen :O


ifconfig sagt mir das der Pi die 10.8.0.6 auf tun0 bekommt, auf die ich weiterleiten will.

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Hast du die Route auf die 188.241.***.*** manuell gesetzt?

Das Problem ist, das du zwei Standard Gateways hast und somit deswegen das Portforwarding nicht funktioniert.

Daher liegt das Problem nicht bei den iptables regeln.

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Ne die Route habe ich nicht manuell gesetzt.

Hm okay, dann kann ich ja dort Weitersuchen. Also muss ich quasi bei meinem Pi das StandartGateway auf 10.8.0.1 setzten und dann sollte es theoretisch laufen?

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Ja genau. Das macht aber eigentlich openvpn. Aber da scheint es ja Probleme zu geben.

Bau mal den Tunnel ab und mach dann nochmal ein netstat -rn und schau ob die Route zum 188 noch steht.

Bin gerade nur am Handy und da ist das alles was schwieriger. Schaue nochmal über alles wenn ich am PC Sitze.

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Das probier ich mal...
Bei abgebautem Tunnel erhalte ich follgendes

Ziel Router Genmask Flags MSS Fenster irtt Iface
188.241.***.*** 192.168.2.1 255.255.255.255 UGH 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Alles klaro, danke dir schonmal für deine Hilfe

 

[pr0j3ctx]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Jetzt bin ich gerade irritiert.

Wenn der VPN Weg ist hast du gar kein Standard GW mehr. Nur eine Route zu deinem vServer. Das ist ok und geht auch.

Aber warum hast du dann zwei wenn der VPN steht. Wenn du gar kein standard GW eingerichtet hast kann openvpn das auch nicht ersetzen.

Hast du das alles nach einer Anleitung aufgesetzt? Wenn ja welche?

Poste bitte noch die /etc/network/interfaces vom Pi.

Gesendet von meinem Nexus 4 mit Tapatalk

 

[21a]

AW: Openvpn Routing mit iptables | vps > homeserver | Port forwarding läuft nicht

Hm das mit den Standard GWs ist wirklich komisch, schaue ich mir gleich nochmal an.

Die Ip vergabe macht bei mir Berryboot da ich anfangs noch nen xbmc paralell installiert hatte, daher ist die interfaces leer,

"# Static network configuration handled by Berryboot
iface eth0 inet manual

auto lo
iface lo inet loopback
"

In der Berrybootconfig steht follgendes
"ipv4=192.168.2.53/255.255.255.0/192.168.2.1"

Den Vpn habe ich nach dieser Anleitung installiert "http://www.df.eu/de/service/df-faq/cloudserver/anleitungen/openvpn-server-installieren-debian-ubuntu/" und die Configs halt entsprechend angepasst.