gelöst Raspberry HILFE selber ausgesperrt

[Shooter666]

Hallo zusammen ...

ich habe riesen scheisse gebaut ... Mein Pi lief ohne Probleme und alles Super ... nun dachte ich mir das ich ( da ich NordVPn besitze ) dieses einfach installiere ..
Hat auch alles soweit geklappt ... installation login ... alles super

und jetzt der Super GAU ....

ich habe den befehl: nordvpn set autoconnect on us2435

eingegeben ... hat er auch genommen dann habe ich
nordvpn connect
eingegben zum verbinden .....

Nun komme ich weder mit Putty noch uber firefox auf das ipc oder oscam webinterface ....
ich denke mal ich hätte vorher die Ports in die Whitelist eintragen müssen oder ???

Aber das wäre ja jetzt nicht das Problem mit dem eintragen aber ich habe mich förmlich komplett selbst ausgeschlossen ....

was kann ich jetzt machen ???? HILFE (((

 

[sodex]

Backup wieder herstellen ?
MfG

 

[Shooter666]

ja wenn ich eins hätte ....

habe es zum glück lösen können ..... puhh konnte einen Bildschirm und Tastatur anschließen man habe ich ein glück ....

jetzt ist das Problem, dass wenn ich in der whitelist meine ports von oscam freigebe ich trotzdem mit der box nicht connecten kann ...

 

[crazyfreak01]

Da wird dir deine whitelist nicht helfen können. NordVPN arbeitet mit Iptables. Diese Rules mußt du ändern, und Ausnahmen hinzufügen.

 

[Shooter666]

achso .. weil die Whitelist hat mir ja soweit geholfen, dass ich wieder auf IPC und OscamWebI komme das geht wieder auch bei bestehender VPN Verbindung ....

Wie kann ich das in die Iptables einfügen bzw. was genau muss ich da einfügen ?

Danke

 

[crazyfreak01]

Du kannst dir ja erstmal anzeigen lassen, was für iptables Rules aktiv sind, während NordVPN läuft. Gib mal ein:
"iptables -L"
Dann müsstest du diese Datei finden die NordVPN da laden tut. Die könntest du z.B. bearbeiten und Ausnahmen hinzufügen. Bei meiner dm920 sah das mal so aus:

Spoiler: iptables Ausnahmen

# Dropbear Port 22
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Dadurch bin ich mit SSH immer noch drauf gekommen. Das kannst du natürlich beliebich erweitern.

 

[Shooter666]

da kommt nur das hier:

> iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Aber ich habe doch iptables gar nicht installiert ... :/

also wie gesagt unter whitelist den WebIF Port hinzugefügt und den standart 80 dann komme ich auch bei bestehender VPN verbindung auf das IPC und oscWebIF ... jedoch kann kein client connecten


Ich möchte noch kurz ein wenig ausholen .... und zwar:
DynDNS ist auf der Fritte eingetragen, Port wurde freigegeben an die IP des PI`s in den cfg`s von dem client steht dann ... MEINEDOMAIN+Port ... und das geht ja auch alles so und läuft schon immer nur jetzt habe ich nordvpn installiert und möchte das ja auch nutzen ... aber sobald ich wie gesagt eine verbindung zu einem Server herstelle kann kein client mehr connecten

 

[elogugu]

Du hast den den Client von NordVPN benutzt bei connect setzt NordVPN Iptables selber ! einziger Weg Monitor anschließen und in desktop Booten oder generell Neustarten wenn du Glück hast in kein Auto start aktiviert und die Iptables nicht aktiv.

Aber dennoch entweder den NVPN Client nutzen oder manuell

 

[crazyfreak01]

Damit deine Clienten mit dem Raspi das Internet nutzen können, mußt du noch folgende iptables Rules erstellen:

Spoiler: iptables Forwarding

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Diese müssen bei jedem Systemstart vom Raspi auch geladen werden. Dann ist noch eine Änderung in der Datei "sysctl.conf" notwendig. Die findest du unter "etc". Folgende Zeile mußt du ändern und die Raute entfernen.

Spoiler: sysctl.conf

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Danach sollten deine Clienten auch eine VPN Verbindung haben.

 

[Shooter666]

So habe die befhele kopiert und mit nano in der sysctl.conf die # entfernt .... jedoch geht es immer noch nicht ...

Muss ich hier die IP anpassen oder so ?
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Du hast den den Client von NordVPN benutzt bei connect setzt NordVPN Iptables selber ! einziger Weg Monitor anschließen und in desktop Booten oder generell Neustarten wenn du Glück hast in kein Auto start aktiviert und die Iptables nicht aktiv.

Aber dennoch entweder den NVPN Client nutzen oder manuell

Habe ich hinbekommen ... mit Monitor habe ich den autostart ausgeschlatet und konnte die VPN verbindung trennen .... somit ging alles wieder

 

[crazyfreak01]

Überprüfe nochmal mit "ifconfig" wie deine Netzwerkschnittstelle heißt. Das mußt du dann natürlich auch noch anpassen. Wenn die "sysctl.conf" bearbeitet wurde muß die neu geladen werden. Ich weiß jetzt grad den Befehl dazu nicht.
Am besten Raspi neu starten und die iptables Rules ausführen. Um den Autostart der iptables kannst du dich kümmern wenns läuft.

 

[Shooter666]

das kommt dann:

Spoiler

ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.88.11 netmask 255.255.255.0 broadcast 192.168.88.255
ether dc:a6:32:01:55:6e txqueuelen 1000 (Ethernet)
RX packets 12193 bytes 2021210 (1.9 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 6290 bytes 2377093 (2.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Lokale Schleife)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Aber nur zum verständnis .... mein client ist nicht im heimnetzwerk sondern connectet von ausserhalb über dyndns adresse und portfreigabe auf der Fritzbox

 

[crazyfreak01]

Dein Netzwerkadapter ist auch "eth0". Also stimmt soweit. Jedoch erscheint kein Netzwerkadapter "tun0". Also läuft auch kein VPN auf dem Raspi. Mit "ifconfig" sollte es dann so in etwa aussehen:

Spoiler: ifconfig

eth0 Link encap:Ethernet HWaddr 00:09:34:48:AE:43
inet addr:192.168.178.30 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::209:34ff:fe48:ae43/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:24215 errors:0 dropped:0 overruns:0 frame:0
TX packets:10264 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:9918210 (9.4 MiB) TX bytes:2059429 (1.9 MiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:388 (388.0 B) TX bytes:388 (388.0 B)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.1.11 P-t-P:10.8.1.11 Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:4338 errors:0 dropped:0 overruns:0 frame:0
TX packets:3696 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:5716684 (5.4 MiB) TX bytes:202617 (197.8 KiB)

 

[Shooter666]

Sry ich hatte eben den VPN Server ausgeschaltet .... deshalb stand da nix ...

hier nochmal mit aktivem VPN

Spoiler

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.88.11 netmask 255.255.255.0 broadcast 192.168.88.255
ether dc:a6:32:01:55:6e txqueuelen 1000 (Ethernet)
RX packets 26351 bytes 4341943 (4.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 13709 bytes 5323363 (5.0 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Lokale Schleife)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 10.7.2.5 netmask 255.255.255.0 destination 10.7.2.5
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 500 (UNSPEC)
RX packets 103 bytes 30066 (29.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 397 bytes 23954 (23.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ich sehe auch im IPC WebIF das sich die öfentliche IP adresse ändert sobald ich die VPn verbindung herstelle .... mhhh


Hatte als versuch auch mal das Protocol von UDP auf TCP umgestellt ...

Spoiler

nordvpn settings
Technology: OPENVPN
Protocol: TCP
Firewall: disabled
Kill Switch: disabled
CyberSec: disabled
Obfuscate: disabled
Notify: disabled
Auto-connect: enabled
IPv6: disabled
DNS: disabled

 

[crazyfreak01]

Sieht soweit erstmal alles gut aus. Mit einem Client von außerhalb hab ich das aber auch noch nicht getestet. Kann eigentlich nur noch an den iptables liegen. Ich glaube NordVPN nutzt auch diesen sogenannten "KillSwitch".
Falls der aktiviert ist, nimm den mal raus. Das sind auch iptables die einen Zugriff von außerhalb verhindern.