VPN und IPTABLES

[heinzelrumpel]

Hallo,

ich baue mir gerade einen kleinen Router/Firewall auf Debian Basis. Darauf läuft u.A OpenVPN- Dieses verbindet sich mit einem kostenpflichtigen VPN Dienst. Beim Start wird der gesamte Datenverkehr über den Dienst geleitet. Ich nehme an, dass serverseitig die Option "push-redirect-gateway" gesetzt ist. Nun möchte ich aber vermeiden, dass alle Clients aus dem LAN über diesen VPN geroutet werden. Z.B. die FireTV BOX sollte das nicht machen, da sonst das Blocking von Amazon wirkt.

Nun meine Frage. Wenn ein Client nun die Firewall/Router nutzt, wird dann auch der Forwarding Traffic automatisch durch das VPN geroutet? Ich vermute mal JA. Wie kann ich es hinbekommen, mit IPTABLES, dass Datenverkehr von einer MAC-Adresse am VPN vorbei geht? Die WAN-Schnittstelle liegt hinter einer FritzBOX, die sich mit dem ISP verbindet.

Könnte dies funktionieren?

FRITZ=192.168.1.1
WAN= 192.168.1.27
LAN=192.168.178.200
TUN0=10.30.1.29
FIRETV=XX:XX:XX:XX:A0

Code: Alles auswählen

iptables -t nat -A PREROUTING -i $LAN -m --mac-source $FIRETV --DNAT --to-destination $FRITZ

Eine generelle Masquerading rule, dass alles maskiert, was aus WAN rausgeht existiert bereits

Ciao, Heinzelrumpel

[orcape]

Hi,
der Client sendet normalerweise seine Anfrage ins Netz und sollte somit trotz Iptables eine Antwort erhalten.
Beim Server sehe das anders aus, der braucht ein Portforwarding für den OpenVPN-Port.
Gruss orcape

[mat6937]

.... Z.B. die FireTV BOX sollte das nicht machen,... Die WAN-Schnittstelle liegt hinter einer FritzBOX, die sich mit dem ISP verbindet.

Konfiguriere in der FireTV BOX, die FritzBox als gateway für die default route (... evtl. mit einer besseren metric als es die aktuelle default route der FireTV BOX z. Zt. hat).

Ist z. Zt. die FritzBox, von der FireTV BOX aus, erreichbar?

[heinzelrumpel]

Hi
ich glaube ich hab das Szenario nicht richtig skizziert.

ISP --> Fritzbox(192.168.1.1) <------->[192.168.1.27 Firewall 192.168.178.200]<--->FireTV(192.168.178.47)

Das FireTV hat keinen direkten Zugriff auf FritzBox und soll es auch nicht. Die Firewall stellt eine Verbindung per OpenVPN mit einem VPM-Dienst her und der gesamte Verkehr geht von der Firewall durch diesen Tunnel. Bisher habe ich nur den lokalen Verkehr getestet. Ich weiss halt nicht, ob Pakete, die geforwarded werden, auch automatisch durch den Tunnel gehen. Falls ja, dann würde ich mit einer DNAT Regel an der Firewall die Pakete des FireTV an 192.168.1.1 umleiten, um VPN zu umgehen.

[sdh82]

Evtl. hilft dir Policy Based Routing.
"Wenn ein Paket in Firewall aus FireTV kommt, dann leite es via FritzBox weiter."

[heisenberg]

Ich habe das zwar selbst noch nicht so oft verwendet, aber mit iproute2(Befehle ip route und ip rule) kannst Du für verschiedene Quell-IP-Adressen verschiedene Routen setzen.

D. h. im Zusammenhang mit einer festen IP des FireTV ist das eine mögliche Lösung.

[orcape]

Hi,
da Du mit Fritzbox und nachgeschalteter Firewall eigentlich eine Routerkaskade mit 2 separaten Netzen (192.168.1.0/192.168.178.0) betreibst, würde ich einfach den auf der Firewall terminierten OpenVPN-Client nur für alles nutzen, was an privatem, über VPN zu sichernden Hardware vorhanden ist. Was hindert Dich daran, z.B. die FireTV BOX ins Netz der Fritte zu stellen, die dann noch nicht einmal mitbekommt, das es einen VPN-Service gibt.
Somit hättest Du, die für Dein Sicherheitsverlangen beste Lösung, in der Hoffnung, das auf Deinen VPN-Provider Verlass ist.
Gruß orcape