Router/Gateway/Firewall (3 NICs, 1 WIFI, VPN)

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
chho
Beiträge: 6
Registriert: 10.02.2015 10:16:37

Router/Gateway/Firewall (3 NICs, 1 WIFI, VPN)

Beitrag von chho » 10.02.2015 10:58:14

Hallo zusammen,

ich bastel gerade an einem Gateway auf Debianbasis. Das Netzwerk sieht folgendermaßen aus:

Eth0: Kabelmodem -> Internet
Eth1: Lan 1
Eth2: Lan 2
Wlan0: Wifi Access Point

Über Wlan0 verbinden sich diverse Clients, per Lan 1 ist der Fernseher angeschlossen und an Lan 2 klemmt ein Rechner.
Ich möchte nun entweder Eth0 nutzen, für alle Clients oder aber Tun0 (Openvpn).

Kommunikation im Netz geht, surfen auch nur SMTP Verbindungen oder SSL gehen nicht, gem. DMESG.

Iptables:

NoPaste-Eintrag38285

Das Logging bringt folgendes (Auszug):

Code: Alles auswählen

Feb  9 21:58:12 voyage vmunix: [ 2167.047526] IN= OUT=tun0 SRC=80.79.230.85 DST=122.228.245.48 LEN=48 TOS=0x00 PREC=0x00 TTL=135 ID=43585 PROTO=TCP SPT=43585 DPT=10141 WINDOW=65535 RES=0x00 ECE SYN URGP=0 
Feb  9 21:58:12 voyage vmunix: [ 2167.096556] IN= OUT=tun0 SRC=80.79.230.85 DST=122.228.245.48 LEN=48 TOS=0x00 PREC=0x00 TTL=70 ID=10497 PROTO=TCP SPT=10497 DPT=10141 WINDOW=65535 RES=0x00 ECE SYN URGP=0 
Feb  9 21:58:12 voyage vmunix: [ 2167.145487] IN= OUT=tun0 SRC=80.79.230.85 DST=122.228.245.48 LEN=48 TOS=0x00 PREC=0x00 TTL=167 ID=60094 PROTO=TCP SPT=60094 DPT=10141 WINDOW=65535 RES=0x00 ECE SYN URGP=0 
Feb  9 21:58:12 voyage vmunix: [ 2167.195447] IN= OUT=tun0 SRC=80.79.230.85 DST=122.228.245.48 LEN=48 TOS=0x00 PREC=0x00 TTL=70 ID=10432 PROTO=TCP SPT=10432 DPT=10141 WINDOW=65535 RES=0x00 ECE SYN URGP=0 
Feb  9 21:58:12 voyage vmunix: [ 2167.255151] IN=tun0 OUT= MAC= SRC=17.151.225.39 DST=10.130.1.166 LEN=105 TOS=0x00 PREC=0x00 TTL=52 ID=54793 DF PROTO=TCP SPT=993 DPT=50078 WINDOW=79 RES=0x00 ACK PSH URGP=0 
Was ich nun nicht verstehe, wieso ich keine Verbindung zum SMTP Server herstellen kann, wo doch alle ausgehenden Verbindungen erlaubt sind.

Vielleicht habt Ihr ja eine Idee.

Vielen Dank vorab.

Benutzeravatar
ScyTheMan
Beiträge: 363
Registriert: 23.10.2004 15:09:14
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Router/Gateway/Firewall (3 NICs, 1 WIFI, VPN)

Beitrag von ScyTheMan » 11.02.2015 19:34:10

Könntest du auch noch die Ausgabe von iptables-save anhängen? Dann könnte man sehen, wie die angelegten Einträge tatsächlich ausschauen, insbesondere die verwendeten IP-Adressen. Erlaubt wird für tun0 ja angeblich $IPTABLES -A OUTPUT -o $EXTIF2 -s $EXTIP2 -d $UNIVERSE -j ACCEPT, eventuell ist für $EXTIP2 eine andere IP-Adresse als die 80.79.230.85 angegeben. Das würde erklären, warum die ausgehenden Pakete gedroppt werden (die ersten vier Zeilen in dmesg).

Bei der fünften dmesg-Zeile wird ein eingehendes Paket gedroppt. Eingehende Pakete sind für tunl0 nur aus den drei über $INTNET* definierten Netzen erlaubt, das Paket kommt aber aus einem anderen Bereich. Deswegen wird es gedroppt. Vielleicht musst du dort noch die OpenVPN-Gegenstelle erlauben? Weiß nicht wie das im Fall von OpenVPN genau aussieht.

chho
Beiträge: 6
Registriert: 10.02.2015 10:16:37

Re: Router/Gateway/Firewall (3 NICs, 1 WIFI, VPN)

Beitrag von chho » 12.02.2015 06:27:39

Hallo ScyTheMan,

die Ausgabe von iptables-save: NoPaste-Eintrag38295.
Dazu die aktuellen Einstellungen: NoPaste-Eintrag38296
Und letztlich die Ausgabe von dmesg: NoPaste-Eintrag38297

Verbindungen zu 993 und 443 funktionieren leider immer noch nicht, obwohl ich -d $EXTIP2 entfernt habe.

Ohne tun0 (also ohne die OpenVPN) Verbindung funktioniert alles einwandfrei.

Benutzeravatar
ScyTheMan
Beiträge: 363
Registriert: 23.10.2004 15:09:14
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Router/Gateway/Firewall (3 NICs, 1 WIFI, VPN)

Beitrag von ScyTheMan » 12.02.2015 18:36:46

chho hat geschrieben:die Ausgabe von iptables-save: NoPaste-Eintrag38295
Ja, wie erwartet ist für tun0 zu wenig freigegeben. Das erklärt, warum beispielsweise IN= OUT=tun0 SRC=10.130.0.65 DST=103.240.141.50 gedroppt wird. Ist der Tunnelendpunkt fest? Dann kannst du den noch mit als Ziel angeben.

Eingehend wiederum scheint für tun0 Verkehr von überall her zu kommen. Da hätte ich jetzt ebenfalls nur den Tunnelendpunkt als Quelladresse erwartet, aber scheinbar ist dem nicht so. Wenn du denkst, das das so richtig ist, dann könntest du eingehend für tun0 komplett freigeben.

chho
Beiträge: 6
Registriert: 10.02.2015 10:16:37

Re: Router/Gateway/Firewall (3 NICs, 1 WIFI, VPN)

Beitrag von chho » 12.02.2015 19:38:42

Hallo ScyTheMan, danke für die Antwort. Habe im Laufe des Tages die Regeln angepasst. Allgemein ist die Performance besser (load; Verbindungsaufbau Client).

Aktuelles Setup
firewall-strong.sh: NoPaste-Eintrag38302
iptables-save: NoPaste-Eintrag38303
dmesg (tun0 aktiv): NoPaste-Eintrag38304

Der Tunnelendpunkt ist m. E. nicht fix, der wird bei jeder Verbindung aufgelöst. Es könnte also auch passieren, dass sich die Quelladern ändert.
Ich müsste dann eine Überwachung der EXTIP2 realisieren und bei einer Änderung die Regeln aktualisieren.
Das möchte ich jedoch nicht.

Antworten