[Gelöst] PPTP / VPN traffic über Failover IP leiten

[xattr]

Hi.

Ich habe einen Server mit 2 IPv4 Adressen. Eine ist die primäre IP über die diverse Dienste laufen, und die zweite IP ist eine "Failover IP" die ich ausschließlich für das VPN nutzen möchte.

Der Server hat 1 NIC, und ich habe beide IPs an das interface gebunden. Ich kann den Server also über beide IPs pingen.

Wenn ich mich per PPTP zur Failover IP des Servers verbinde, funktioniert das einwandfrei, und ich kann ganz normal im Websurfen usw. Das Problem: Die primäre IP erscheint als source meines VPN traffics, nicht die Failover IP.

Ich möchte folgendes erreichen:

Eine PPTP / VPN Verbindung soll nur über die Failover IP zustande kommen, und die Failover IP soll als quelle erscheinen wenn über das VPN z.b. gesurft wird.

configs:

sysctl

Code: Alles auswählen

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_syncookies=1
net.ipv4.ip_forward=1
#net.ipv6.conf.all.forwarding=1
net.ipv4.conf.all.log_martians = 0
vm.swappiness = 10

interfaces

Code: Alles auswählen

auto lo
iface lo inet loopback

auto em0
iface em0 inet static
        address PRIMÄRE_IP
        netmask 255.255.255.0
        broadcast a.b.c.d
        gateway a.b.c.d
        dns-nameservers a.b.c.d 

iface em0 inet static
       address FAILOVER_IP
       netmask 255.255.255.0

pptpd.conf (poptop)

Code: Alles auswählen

localip 10.0.0.254

remoteip 10.0.0.100-200

listen FAILOVER_IP

firewall regel:

Code: Alles auswählen

iptables -A INPUT -i em0 -p tcp --dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o em0 -p tcp --sport 1723 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i em0 -p gre -j ACCEPT
iptables -A OUTPUT -o em0 -p gre -j ACCEPT

iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j ACCEPT 

iptables -t nat -A POSTROUTING -o em0 -s 10.0.0.254 -j SNAT --to-source FAILOVER_IP

iptables -A FORWARD -i ppp0 -o em0 -j ACCEPT
iptables -A FORWARD -i em0 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Hat irgendjemand einen Tipp oder weis was ich falsch mache? Danke.

[GregorS]

Ich habe ... Hat irgendjemand einen Tipp oder weis was ich falsch mache? Danke.

Ich habe ehrlich gesagt schon Probleme, wenn ich versuche, Dein Setup nachzuvollziehen. Kannst Du das mal als ASCII-Art zeigen?

Gruß

Gregor

[wanne]

Eine PPTP / VPN Verbindung soll nur über die Failover IP zustande kommen, und die Failover IP soll als quelle erscheinen wenn über das VPN z.b. gesurft wird.

Ich nehme an das soll so funktionieren:

Code: Alles auswählen

Client(Browser)<10.0.0.X]---VPN----[10.0.0.254>VPN-Server<FAILOVER_IP]---INTERNET----[a.b.c.d>Webserver

Prinzipiell willst du die Zeile

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o em0 -s 10.0.0.254 -j SNAT --to-source FAILOVER_IP

In die Umwandeln:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o em0 -s 10.0.0.0/24 -j SNAT --to-source FAILOVER_IP

Der Absender ist ja nicht der Server selsbt, sondern der Client.
Problem an der sache dürfte sein, dass dein VPN vermutlich selbst irgend welche Regeln Erstellt. (Sonst hätte die sache so gar nicht statt mit falscher IP funktioneirt.)

Poste entsprechend mal

Code: Alles auswählen

iptables-save
ip r
ip a

Wahrscheinlich musst du da noch an der Konfiguration rumpfuschen, dammit der aufhört dir dein System zu verstellen. Wobei ich in der Manpage dazu ncihts finde.

PS: Wenn du schon erst bei 100 anfängst, würde ich das doch gleich zu 128 ändern. Dann liegt dein VPN voll in 10.0.0.128/25. Dann kannst du das untere Subnetz für andere Zwecke nutzen.

[Blackbox]

Bei der Gelegenheit sei erwähnt, dass PPTP als gebrochen gilt und durch L2TP ausgetauscht werden sollte.

[xattr]

Eine PPTP / VPN Verbindung soll nur über die Failover IP zustande kommen, und die Failover IP soll als quelle erscheinen wenn über das VPN z.b. gesurft wird.

Ich nehme an das soll so funktionieren:

Code: Alles auswählen

Client(Browser)<10.0.0.X]---VPN----[10.0.0.254>VPN-Server<FAILOVER_IP]---INTERNET----[a.b.c.d>Webserver

ganz genau, so soll es funktionieren.

Prinzipiell willst du die Zeile

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o em0 -s 10.0.0.254 -j SNAT --to-source FAILOVER_IP

In die Umwandeln:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o em0 -s 10.0.0.0/24 -j SNAT --to-source FAILOVER_IP

Der Absender ist ja nicht der Server selsbt, sondern der Client.
Problem an der sache dürfte sein, dass dein VPN vermutlich selbst irgend welche Regeln Erstellt. (Sonst hätte die sache so gar nicht statt mit falscher IP funktioneirt.)

das ist die lösung! ich habe .254 in .0/24 geändert und es läuft genau wie ich es will. genial! DANKE!!!!!

P.S.: ich weis dass PPTP unsicher ist, es geht aber nicht um sicherheit, sondern um das umgehen von geolocation. außerdem ist ein pptp-server ist super simpel zu konfigurieren und praktisch mit jedem endgerät kompatibel. trotzdem danke für den hinweis.

[wanne]

P.S.: ich weis dass PPTP unsicher ist, es geht aber nicht um sicherheit, sondern um das umgehen von geolocation. außerdem ist ein pptp-server ist super simpel zu konfigurieren und praktisch mit jedem endgerät kompatibel.

Ja. In sachen einfache konfigurierbarkeit könnte sich da echt so manche VPN-Software ne scheibe abschneiden...