Debian Maschine als Gateway

[Nikke94]

Hallo Leute,

Ich habe heute eine Frage an euch zu einer Art Leitfaden. Ich arbeite seit neustem mit einem VMWare ESXi 5.5 Hypervisor. Ich habe dort mehrere Maschinen und möchte unter anderem auch ein "internes" Netzwerk einrichten mit einem VPN Gateway. Dazu brauche ich also eine Debian Maschine, die also an einem Interface die öffentliche IP hat und an einem Interface eine interne NetzwerkIP mit DHCP Server.

Aktuell habe ich eine Debian 6 Distribution, war in der Lage dem System auf dem einen Interface die öffentliche Failover IP zuzuweisen und Internetzugriff herzustellen. Auf dem zweiten Interface Habe ich dann eine interne Netwerk IP vergeben und einen DHCP Server geschaltet.

Leider weiß ich nun nicht mehr weiter, da ich mit Debian sonst nur als Webserver arbeite. Ich habe es bereits mit einer bridge probiert, um erst einmal Internet für alle internen Geräte herzustellen - aber das klappt leider nicht so. Dann gibt es da noch IP Tables? Aber ich kenne mich nicht so gut aus. Kann mir jemand einen groben Leitfaden geben, was ich in welcher Reihenfolge machen muss und wozu? Wie man die Schritte dann durchführt kann ich sicher googlen.

Vielen lieben Dank,
Niklas

[BerndHohmann]

Ich habe heute eine Frage an euch zu einer Art Leitfaden. Ich arbeite seit neustem mit einem VMWare ESXi 5.5 Hypervisor. Ich habe dort mehrere Maschinen und möchte unter anderem auch ein "internes" Netzwerk einrichten mit einem VPN Gateway.

Du hast nicht so recht beschrieben, was Du bewirken möchtest - deshalb muss ich nachfragen.

Ist dieses "Interne Netzwerk" nur für die Kommunikation der VMs untereinander (ggf über mehrere physikalische Hosts) gedacht?

Oder möchtest Du das VPN nutzen um darüber zb. von Deinem Laptop aus auf die VMs zuzugreifen? (wenn ja, welche Betriebssysteme werden da virtualisiert?)

Bernd

[Six]

Ein Gateway richtest du ein, indem du

• Mindestens zwei Schnittstellen einrichtest, z. B. eth0 auf eine interne IP und eth1 auf eine externe IP.
• Dann aktivierst du forwarding: net.ipv4.ip_forward=1 in die /etc/sysctl.conf,
• Dann konfigurierst du iptables:

  Code: Alles auswählen

  iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -i eth0 -o eth1 -j ACCEPT
  iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  iptables -P OUTPUT ACCEPT
  iptables -P INPUT DROP
  

Das sollte es schon sein.

[maltris]

Das was Six empfohlen hat ist so ziemlich genau das was du da machen möchtest. Ich habe sowas mal in nicht-virtueller Form durchgeführt, siehe [1]. Den Fritzbox-Teil einfach weglassen.
Wenn du das ganze über ein virtuelles Tunnelinterface routen möchtest, einfach eth1 (der zweite Adapter) mit tun0 oder wie auch immer dein Tunnelinterface heißt, ersetzen.

Wichtig wäre am Ende aus Sicherheitsgründen noch, dass du eventuelle Verbindungen an das Original-Interface vom Gateway vermeidest. Sonst kann es eventuell passieren, dass dir der Tunnel abschmiert und automatisch auf eine nicht-VPN-Verbindung gewechselt wird. (nicht getestet, aber sicher ist sicher)
In meiner Anleitung habe ich das so realisiert:

Das blocken der Möglichkeit von eth0:0 an eth0 zu kommunizieren, also über die Verbindung ohne Tunnel wird geblockt mit:

Code: Alles auswählen

iptables -A FORWARD  -s 192.168.178.0/24 -i eth0:0 -o eth0 -m conntrack --ctstate NEW -j REJECT

[1] http://maltris.org/jeglichen-traffic-ub ... -4334.html

Viel Erfolg