Sicheres CS über ano VPN ???

[mickynapoli]

Hi,

danke für eure antworten.......
@RoterBaron
das stimmt, aber ich möchte es jetzt erstmal "irgendwie" zum laufen bekommen, werde anschließend sicherlich noch die ein oder andere Frage stellen.

@Lenny
Vielen Dank werde es mal testen

Bis später

Hi,

danke lenny soweit ich das hier sehe, hat das mit dem Tunnel geklappt.

Leider klappt das mit dem Portforwarden noch nicht ganz....sobald ich Server und Client openVPN aktiviere....verlieren alle clients die verbindung zum Server.... selbst wenn ich die neue bzw. aktuelle VPS Server IP eintrage......

habe auch die entsprechenden ports weitergeleitet auf den VPS über SSH Shell verbinung


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12000 -j DNAT --to 10.8.0.6


und dann noch routing auf dem server aktivieren


iptables -t nat -F POSTROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j MASQUERADE


habe das gleiche auch am Homeserver gemacht..... jedoch leitet er nicht weiter.

Danke nochmals

ifconfig
eth0 Link encap:Ethernet HWaddr 00:0d:b9:23:92:b8
inet addr:192.168.1.7 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe90::20d:c9fe:fe23:82a8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1433372 errors:0 dropped:0 overruns:0 frame:0
TX packets:1397682 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:235536350 (224.6 MiB) TX bytes:244821293 (233.4 MiB)
Interrupt:11 Base address:0xa000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:17742 errors:0 dropped:0 overruns:0 frame:0
TX packets:17742 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:18781869 (17.9 MiB) TX bytes:18781869 (17.9 MiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:1803 (1.7 KiB)

 

[kman]

AW: Sicheres CS über ano VPN ???

Auf dem VPS:

### OpenVPN
iptables -A INPUT -i $device -m state --state NEW -p udp --dport 1194 -j ACCEPT

# Allow TUN interface connections to OpenVPN server
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to VPS-IP

Und für die Port Weiterleitung noch:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 12000 -j DNAT --to 10.8.0.6:12000
iptables -A FORWARD -i eth0 -o tun0 -p tcp --dport 12000 -j ACCEPT

Auf dem Homeserver brauchst Du gar nichts mit iptables machen, falls nicht standartmäßig alles geblockt ist.

Lösch daher mal alle iptables regeln:

iptables -F

 

[lenny]

AW: Sicheres CS über ano VPN ???

@mickynapoli

mach es so wie es kman beschrieben hat. er war diesmal schneller ;=)
ev. musst du noch tun+/eth0 an deine gegebenheiten anpassen aber damit soll es laufen.

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

danke ! Euch beiden!

werde es versuchen, beim ersten befehl bekomme ich folgende fehlermeldung:

xxxxroot:~# iptables -A INPUT -i $device -m state --state NEW -p udp --dport 1194 -j ACCEPT

Bad argument `state'
Try `iptables -h' or 'iptables --help' for more information.

edit: habe $device mit tun+ ausgetauscht... ohne Fehlermeldung

alle anderen befehle funktionieren wunderbar!

hier mal die VPS ifconfig

xxxxroot:~# ifconfig
lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:400 (400.0 B) TX bytes:400 (400.0 B)

venet0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255. 255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:99477 errors:0 dropped:0 overruns:0 frame:0
TX packets:106799 errors:0 dropped:1 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10103431 (9.6 MiB) TX bytes:14268958 (13.6 MiB)

venet0:0 -00
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:108.256.xxx.xxx P-t-P:108.256.xxx.xxx Bcast:0.0.0.0 Mask: 255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

EDIT
bei mir steht nach verbindung auf dem VPS-SERVER

tun0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

und auf dem Homeserver:

tun0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.6 P-t-P:10.8.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

eth0

ist meine internet Netzwerkadresse!

 

[kman]

AW: Sicheres CS über ano VPN ???

statt $device muss dort dein netzwerk gerät rein. eth0 evtl. auch venet0

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

habe im vps server nun folgendes eingegeben!

root:~# iptables -A INPUT -i tun0 -m state --state NEW -p tcp --dport 1194 -j ACCEPT
root:~# iptables -A INPUT -i tun0 -j ACCEPT
root:~# iptables -A OUTPUT -o tun0 -j ACCEPT
root:~# iptables -A FORWARD -i tun0 -j ACCEPT
root:~# iptables -A FORWARD -i tun0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
root:~# iptables -t nat -A POSTROUTING -o tun0 -s 10.8.0.0/24 -j SNAT --to 108.xxx.xxx.xxx
root:~# iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 12000 -j DNAT --to 10.8.0.6:12000
root:~# iptables -A FORWARD -i tun0 -o tun0 -p tcp --dport 12000 -j ACCEPT

habe tun+ in tun0 geändert.... verbindung steht, aber meine clients sind dann alle offline nach aufbau der openvpn verbindung!

also wird noch nicht richtig weitergeleitet zum homeserver??

natürlich nutze ich dann in den client boxen die ip des VPS servers!

 

[lenny]

AW: Sicheres CS über ano VPN ???

root:~# iptables -A INPUT -i tun0 -m state --state NEW -p tcp --dport 1194 -j ACCEPT

schon hier der erste Fehler - der vps soll neue eingehende verbindungen über inetinterface auf port 1194 erlauben.
du hast ihm gestattet neue eingehende verbindungen über sein virtuelles tun-interface auf port 1194 zu aktzeptieren.

root:~# iptables -A INPUT -i venet0:0 -m state --state NEW -p tcp --dport 1194 -j ACCEPT << so wäre es richtig


Der nächste Fehler:

root:~# iptables -A FORWARD -i tun0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

hier forwardet er tun0 auf tun0 << irgendwie sinnlos.

besser :
iptables -A FORWARD -i tun0 -o venet0:0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i venet0:0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

und so weiter -> nimm die iptables von kman und passe die Schnittstellen an deine Gegebenheiten an - dann funktioniert das auch.

 

[kman]

AW: Sicheres CS über ano VPN ???

icht überall tun0 rein! manches muss auch auf eth0 bzw. das passende ethernet device!

root:~# iptables -A INPUT -i tun0 -m state --state NEW -p tcp --dport 1194 -j ACCEPT

Hier bedeutet -i input, d.h. es kommt über tun0 rein. Bei dieser regel geht es aber um die vpn verbindung ansich, hier soll der port 1194 geöffnet werden.
Also muss dort eth0 bzw. venet0 oder venet0:0 hin. Weiß nicht wie es bei Deiner VPS heisst, denke aber das venet0:0 richtig ist. Weil es ja über das NEtzwerkinterface (aus dem internet) rein kommt und nicht über die vpn verbindung (tun0),
die besteht ja zu dem zeitpunkt noch nicht.

tun+ bedeutet übrigens alle tun devices (tun* quasi), falls man mehrere hat.


Also nochmal:

Auf dem VPS:


iptables -A INPUT -i venet0:0 -m state --state NEW -p udp --dport 1194 -j ACCEPT


iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT


iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o venet0:0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i venet0:0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -o venet0:0 -s 10.8.0.0/24 -j SNAT --to VPS-IP




iptables -t nat -A PREROUTING -i venet0:0 -p tcp --dport 12000 -j DNAT --to 10.8.0.6:12000
iptables -A FORWARD -i venet0:0 -o tun0 -p tcp --dport 12000 -j ACCEPT

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

danke,

verstehe immer etwas mehr..... habe die oben zitierten befehle im VPS Server eingegeben!
Allerdings verbindet keine client box?
Die client boxen haben die direkte IP-vom VPS-Server im augenblick.
die Firewall von meinem Homeserver ist deaktiviert..... ums erstmal ans laufen zu bekommen
Habe ich etwas vergessen??

 

[kman]

AW: Sicheres CS über ano VPN ???

Der Port 12000 ist auch dein cs port?

die vpn steht aber? installier mal elinks und teste dann mit "elinks utrace.de" was da für ne IP angezeigt wird.

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

danke nochmals,

habe mir
apt-get install links
installiert
beim ausführen mit "links utrace.de" kommt meine ip
nach dem starten des Openvpn clients steht da nur making connection und das die ganze Zeit also wird doch nicht ganz verbunden!

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

ok soweit sogut....

jedoch dieser befehlt will nicht:


iptables -A INPUT -i venet0:0 -m state --state NEW -p udp --dport 1194 -j ACCEPT

Warning: weird character in interface `venet0:0' (No aliases, :, ! or *).

Doppelpunkt geht anscheind nicht...aber device ist richtig venet0:0 seht selbst???

:/etc/openvpn# ifconfig
lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:400 (400.0 B) TX bytes:400 (400.0 B)

tun0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:208 errors:0 dropped:0 overruns:0 frame:0
TX packets:235 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:14288 (13.9 KiB) TX bytes:23513 (22.9 KiB)

venet0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:9118 errors:0 dropped:0 overruns:0 frame:0
TX packets:7743 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:753028 (735.3 KiB) TX bytes:3354551 (3.1 MiB)

venet0:0
Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:109.xxx.xxx.xxx P-t-P:108.xxx.xxx.xxx Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

tunnel wird jetzt aufgebaut....
mit befehl "links utrace.de" geprüft ip 108.xxx.xxx.xxx

??

 

[kman]

AW: Sicheres CS über ano VPN ???

Probier mal mit venet0, alle venet0:0 ersetzen.

 

[mickynapoli]

AW: Sicheres CS über ano VPN ???

vielen Dank es sollte jetzt laufen!!

jetzt will ich nur noch wenn möglich den SSH port weiterleiten damit ich mich vom VPS auf den HomeServer verbinden kann

ist das so richtig??

iptables -t nat -A PREROUTING -i venet0 -p tcp --dport 22 -j DNAT --to 10.8.0.6:MEIN-SSH-PORT

 

[kman]

Denke schon.

Aber was sollte das fürn sinn haben?

Verbinde doch direkt zum homeserver.

Gesendet von meinem GT-I9100 mit Tapatalk