Hallo.
Ich hab hier einen PC mit Debian.
Diesen wollte ich nun mit einen OpenVPN Netzwerk verbinden.
Klappt sogar Prima. Ich kann von dem Geräte auf das andere Netzwerkzugreifen und auch das Internet von dort wird (wie gewünscht) weitergereicht
Doch diese VPN-Verbindung möchte ich auch an einem anderen Clienten benutzen. Deshalb dachte ich mir, ich nehme den Linux-PC einfach als Gateway und benutze diese kleine alte Notiz:
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o ovpn -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i ovpn -o eth0 -j ACCEPT
eth0 ist hier die Verbindung zum Lokalen Netzwerk und ovpn die OpenVPN Verbindung.
Nur leider funktioniert die Verbindung überhaupt nicht. Weder auf das andere Netzwerk noch das getunnelte Internet gibt es Zugriff. Es scheint so, als würde die iptables-Regel nicht greifen und sämtlicher Traffic geblockt werden.
Muss ich irgendeine Route vielleicht noch freigeben?
Oder würde das nur funktionieren, indem ich einen zweiten Netzwerkadapter benutze.
Vielleicht hab ich bei der Idee irgendwas übersehen?
Gateway über OpenVPN Client Verbindung bereitstellen
Re: Gateway über OpenVPN Client Verbindung bereitstellen
Ohne es jetzt ausprobiert zu haben müssten "eth0" und "ovpn" jeweils in Deinen iptables-rules vertauscht werden.
Denn Dein LAN-client eröffnet (in der Regel) die Verbindung zum Internet resp. zu den Clients im entfernten OpenVPN-Server-LAN.
Weiss nicht, ob das bereits genügt.
Willkommen im Forum.
Denn Dein LAN-client eröffnet (in der Regel) die Verbindung zum Internet resp. zu den Clients im entfernten OpenVPN-Server-LAN.
Weiss nicht, ob das bereits genügt.
Willkommen im Forum.
Re: Gateway über OpenVPN Client Verbindung bereitstellen
Die iptables-Regeln sind völlig überflüssig.
Wichtig ist, den Clients im jeweiligen LAN die Route mitzugeben, über die das jeweils andere LAN zu erreichen ist. Dazu kann man entweder statische Routen auf jedem Client setzten oder im Internetrouter (z.B. FritzBox) eine statische Route zum gegenüberliegenden LAN durch den VPN-Rechner setzen. Das muß dann auch jeweils auf beiden LANs passieren.
Voraussetzung hierbei ist auch, daß das lokale LAN, das remote LAN und die VPN-Strecke über eigene IP-Subnetze verfügen.
Wichtig ist, den Clients im jeweiligen LAN die Route mitzugeben, über die das jeweils andere LAN zu erreichen ist. Dazu kann man entweder statische Routen auf jedem Client setzten oder im Internetrouter (z.B. FritzBox) eine statische Route zum gegenüberliegenden LAN durch den VPN-Rechner setzen. Das muß dann auch jeweils auf beiden LANs passieren.
Voraussetzung hierbei ist auch, daß das lokale LAN, das remote LAN und die VPN-Strecke über eigene IP-Subnetze verfügen.
Re: Gateway über OpenVPN Client Verbindung bereitstellen
Nack!MSfree hat geschrieben:Die iptables-Regeln sind völlig überflüssig.
Du gehst hier stillschweigend von einer "Site-to-Site"-Konstellation aus, bei der LAN_hier und LAN_beim_Internetausgang gleichberechtigt sind.
Es kann aber gut sein, dass dies gar nicht so gewünscht ist, zumal neben dem entfernten LAN auch der Internetzugriff über den Tunnel erfolgen soll.
Re: Gateway über OpenVPN Client Verbindung bereitstellen
Dafür ist aber kein Masquerading nötig sondern nur eine Default-Route über den VPN-Gateway.dufty2 hat geschrieben:Nack!
Es kann aber gut sein, dass dies gar nicht so gewünscht ist, zumal neben dem entfernten LAN auch der Internetzugriff über den Tunnel erfolgen soll.
Re: Gateway über OpenVPN Client Verbindung bereitstellen
Danke euch beiden
Einmal umdrehen der iptables-devices sowie das eintragen der anderen Route zum VPN im entfernten Router (die VPN IP hatte ich für eine extra openvpn-instance geändert und dabei das total vergessen *errötet*) half es in Gang zu bekommen
Solche Routing-VPN-Geschichten machen echt Kopfschmerzen.
Ein Glück ist IPv6 nach wie vor kein Thema. Hier dürfte es nochmal deutlich komplizierter werden, diese gesamte Netzautomatik außer Betrieb zu nehmen um dann die Pakete so wie man möchte hin und her zu leiten.
Einmal umdrehen der iptables-devices sowie das eintragen der anderen Route zum VPN im entfernten Router (die VPN IP hatte ich für eine extra openvpn-instance geändert und dabei das total vergessen *errötet*) half es in Gang zu bekommen
Solche Routing-VPN-Geschichten machen echt Kopfschmerzen.
Ein Glück ist IPv6 nach wie vor kein Thema. Hier dürfte es nochmal deutlich komplizierter werden, diese gesamte Netzautomatik außer Betrieb zu nehmen um dann die Pakete so wie man möchte hin und her zu leiten.
Code: Alles auswählen
traceroute to www.debianforum.de (144.76.154.165), 30 hops max, 60 byte packets
1 192.168.200.1 (192.168.200.1) 158.228 ms 148.646 ms 164.321 ms
2 192.168.0.1 (192.168.0.1) 163.802 ms 163.246 ms 162.727 ms
...