Gateway über OpenVPN Client Verbindung bereitstellen

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Filinimum
Beiträge: 10
Registriert: 13.09.2016 17:08:03

Gateway über OpenVPN Client Verbindung bereitstellen

Beitrag von Filinimum » 13.09.2016 17:51:20

Hallo.

Ich hab hier einen PC mit Debian.

Diesen wollte ich nun mit einen OpenVPN Netzwerk verbinden.

Klappt sogar Prima. Ich kann von dem Geräte auf das andere Netzwerkzugreifen und auch das Internet von dort wird (wie gewünscht) weitergereicht

Doch diese VPN-Verbindung möchte ich auch an einem anderen Clienten benutzen. Deshalb dachte ich mir, ich nehme den Linux-PC einfach als Gateway und benutze diese kleine alte Notiz:

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o ovpn -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i ovpn -o eth0 -j ACCEPT

eth0 ist hier die Verbindung zum Lokalen Netzwerk und ovpn die OpenVPN Verbindung.

Nur leider funktioniert die Verbindung überhaupt nicht. Weder auf das andere Netzwerk noch das getunnelte Internet gibt es Zugriff. Es scheint so, als würde die iptables-Regel nicht greifen und sämtlicher Traffic geblockt werden.

Muss ich irgendeine Route vielleicht noch freigeben?

Oder würde das nur funktionieren, indem ich einen zweiten Netzwerkadapter benutze.

Vielleicht hab ich bei der Idee irgendwas übersehen?

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Gateway über OpenVPN Client Verbindung bereitstellen

Beitrag von dufty2 » 13.09.2016 19:58:20

Ohne es jetzt ausprobiert zu haben müssten "eth0" und "ovpn" jeweils in Deinen iptables-rules vertauscht werden.
Denn Dein LAN-client eröffnet (in der Regel) die Verbindung zum Internet resp. zu den Clients im entfernten OpenVPN-Server-LAN.
Weiss nicht, ob das bereits genügt.

Willkommen im Forum.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Gateway über OpenVPN Client Verbindung bereitstellen

Beitrag von MSfree » 13.09.2016 20:05:04

Die iptables-Regeln sind völlig überflüssig.

Wichtig ist, den Clients im jeweiligen LAN die Route mitzugeben, über die das jeweils andere LAN zu erreichen ist. Dazu kann man entweder statische Routen auf jedem Client setzten oder im Internetrouter (z.B. FritzBox) eine statische Route zum gegenüberliegenden LAN durch den VPN-Rechner setzen. Das muß dann auch jeweils auf beiden LANs passieren.

Voraussetzung hierbei ist auch, daß das lokale LAN, das remote LAN und die VPN-Strecke über eigene IP-Subnetze verfügen.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Gateway über OpenVPN Client Verbindung bereitstellen

Beitrag von dufty2 » 13.09.2016 20:15:18

MSfree hat geschrieben:Die iptables-Regeln sind völlig überflüssig.
Nack!

Du gehst hier stillschweigend von einer "Site-to-Site"-Konstellation aus, bei der LAN_hier und LAN_beim_Internetausgang gleichberechtigt sind.

Es kann aber gut sein, dass dies gar nicht so gewünscht ist, zumal neben dem entfernten LAN auch der Internetzugriff über den Tunnel erfolgen soll.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Gateway über OpenVPN Client Verbindung bereitstellen

Beitrag von MSfree » 13.09.2016 20:35:22

dufty2 hat geschrieben:Nack!

Es kann aber gut sein, dass dies gar nicht so gewünscht ist, zumal neben dem entfernten LAN auch der Internetzugriff über den Tunnel erfolgen soll.
Dafür ist aber kein Masquerading nötig sondern nur eine Default-Route über den VPN-Gateway.

Filinimum
Beiträge: 10
Registriert: 13.09.2016 17:08:03

Re: Gateway über OpenVPN Client Verbindung bereitstellen

Beitrag von Filinimum » 13.09.2016 20:41:48

Danke euch beiden :-)

Einmal umdrehen der iptables-devices sowie das eintragen der anderen Route zum VPN im entfernten Router (die VPN IP hatte ich für eine extra openvpn-instance geändert und dabei das total vergessen *errötet*) half es in Gang zu bekommen :-)

Solche Routing-VPN-Geschichten machen echt Kopfschmerzen.

Ein Glück ist IPv6 nach wie vor kein Thema. Hier dürfte es nochmal deutlich komplizierter werden, diese gesamte Netzautomatik außer Betrieb zu nehmen um dann die Pakete so wie man möchte hin und her zu leiten.

Code: Alles auswählen

traceroute to www.debianforum.de (144.76.154.165), 30 hops max, 60 byte packets
 1  192.168.200.1 (192.168.200.1)  158.228 ms  148.646 ms  164.321 ms
 2  192.168.0.1 (192.168.0.1)  163.802 ms  163.246 ms  162.727 ms
...

Antworten