Support Problem mit Routing und VPN

[ueker123]

N'abend,

ich habe einen kleinen VPN Server, KVM virtualisiert.
Ich möchte diesen Server dauerhaft durch eine VPN Verbindung schützen, dabei soll ein Port durchgeschaltet werden. (Anbieter ovpn.to)

Mein Problem ist, dass beim Herstellen sämtlicher Netzverkehr über den VPN Tunnel umgeleitet wird, sprich ich komme nicht mehr per SSH auf den Server und mir stehen auch sonstige Funktionen nicht mehr zur Verfügung (Webinterfaces, etc.)

Der Server ist halt nur noch über das tun0 Device erreichbar.

Welche Möglichkeiten habe ich gewisse Ports daran vorbeizuleiten, damit ich trotz vestehender openvpn Verbindung noch per SSH auf die Kiste komme?

Danke ;-)

ädit: So also ich hab das Problem zum Teil gelöst. Das Problem ist, dass das tun0 device automatisch als default gateway setzt.
Das lässt sich umgehen, indem man route-noexec in der config hinzufügt.
Meine Config sieht dann so aus:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Jetzt habe ich nur das Problem, dass ich es nicht hinbekomme die Anfragen vom tun device zum eth0 controller zu routen.
Da ich den Zugriff auf gewisse Ports beschränken wollte, hatte ich die Absicht per iptables script/nat zu routen.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Aber leider gehen die Anfragen nicht durch :-(

Hat jemand eine Idee?

 

[lenny]

Hast du am Server das Routing aktiviert ?

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

 

[ueker123]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Es handelt sich um den Dienst von ovpn.to.
Der Port ist freigeschaltet, rufe ich die IP+Port im Browser auf, sehe ich (ifconfig) am tun0 Device beim RX Paketzähler eine Änderung.
Die Anfrage scheint also beim tun0 Device anzukommen.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Nein es soll nicht zu einem anderen Rechner geleitet werden, sondern lediglich von tun0 Device auf das eth0 Device umgeleitet werden.
Also die Anfrage soll local bleiben.

Oder wäre damit folgendes zutreffender:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Welche IP ist dort bei -s (Quell-IP) einzusetzen? Die Ip des tun0 Devices oder die des eth0 Devices?

Irgendwie verwirrt mich jede Aussage die ich lese nur noch mehr :-(
Wie du vielleicht schon merkst, bin ich absolut kein Experte was Routing/Iptables angeht

 

[lenny]

Probier es mal so :
input von port 12345 erlauben

$FW -A INPUT -p tcp -m tcp -i tun0 --dport 12345 -j ACCEPT

forwarding von tun0 auf eth0 (und wieder zurück):
$FW -A FORWARD -i eth0 -o tun0 -p tcp -j ACCEPT
$FW -A FORWARD -i tun0 -o eth0 -p tcp -j ACCEPT

maskiere alles was über tun0 raus soll und von 192.x.y.z kommt mit der ipaddy des servers:
$FW -A POSTROUTING -s 192.168.?.0/24 -o tun0 -j MASQUERADE

portweiterleitung von 12345 auf ipadresse:54321
$FW -A PREROUTING -p tcp -m tcp --dport 12345 -j DNAT --to-destination 192.168.178.?:54321

ist alles für tcp , wenn damit klappt dann halt umschreiben für udp.**überleg**
teste das mal aus - ich werde das nachher auch mal testen ;=)

 

[lenny]

So bei mir klappt es mit den og iptables..