[GELÖST] OpenVPN Client LAN Geräte Freigeben

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
SepDEB
Beiträge: 9
Registriert: 02.05.2018 17:18:52

[GELÖST] OpenVPN Client LAN Geräte Freigeben

Beitrag von SepDEB » 02.05.2018 17:30:02

Hallo,

Ich habe ein Debian (Raspbian) der in einem LAN verbunden ist. Er ist über das Internet mit einem OpenVPN Server verbunden.

Im LAN vom Raspbian ist jetzt ein Gerät, was freigegeben werden soll.

Freigabe Port 80 von tun0 zu Gerät Port 80

Code: Alles auswählen

#!/bin/bash
DESTIP=192.168.1.150
RASPIP=192.168.1.200
sudo iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 80 -j DNAT --to-destination $DESTIP
sudo iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80 -d $DESTIP -j SNAT --to-source $RASPIP
oder

Code: Alles auswählen

#!/bin/bash
DESTIP=192.168.1.150
RASPIP=192.168.1.200

iptables -A PREROUTING -t nat -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.150:80
iptables -A FORWARD -p tcp -d $DESTIP --dport 80 -j ACCEPT
iptables -A POSTROUTING -t nat -s $DESTIP -o eth0 -j MASQUERADE
Wie schaffe ich es, dass der OVPN Server auf das Gerät mit der IP .150 zugreifen kann?

Laut OVPN Server betreiber funktioniert es jetzt
Zuletzt geändert von SepDEB am 16.05.2018 09:29:48, insgesamt 1-mal geändert.

mat6937
Beiträge: 1520
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von mat6937 » 02.05.2018 20:52:59

SepDEB hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 17:30:02
Ich habe ein Debian (Raspbian) der in einem LAN verbunden ist. Er ist über das Internet mit einem OpenVPN Server verbunden.

Im LAN vom Raspbian ist jetzt ein Gerät, was freigegeben werden soll.

Wie schaffe ich es, dass der OVPN Server auf das Gerät mit der IP .150 zugreifen kann?
Auf dem OVPN-Server brauchst Du eine definierte Route (mit dem VPN-device/IP als gateway) in das LAN des Raspbian.

Auf dem Raspbian muss "net.ipv4.ip_forward=1" aktiviert sein und eine S-NAT (MASQUERADE) Regel mit source-Net das VPN-Subnet, konfiguriert sein.

Auf dem Router im LAN des Raspbian, muss eine statische Route in das VPN-Net, mit dem Raspbian als gateway konfiguriert sein.

SepDEB
Beiträge: 9
Registriert: 02.05.2018 17:18:52

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von SepDEB » 02.05.2018 21:00:32

mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 20:52:59

Auf dem OVPN-Server brauchst Du eine definierte Route (mit dem VPN-device/IP als gateway) in das LAN des Raspbian.

Auf dem Raspbian muss "net.ipv4.ip_forward=1" aktiviert sein und eine S-NAT (MASQUERADE) Regel mit source-Net das VPN-Subnet, konfiguriert sein.

Auf dem Router im LAN des Raspbian, muss eine statische Route in das VPN-Net, mit dem Raspbian als gateway konfiguriert sein.
Also die $RASPIP muss also die IP des tun0 sein?

oder meinst du das:

Code: Alles auswählen

#!/bin/bash
DESTIP=192.168.1.150
RASPIP=192.168.1.200
OVPNIP=10.x.x.x

iptables -A PREROUTING -t nat -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.150:80
iptables -A FORWARD -p tcp -d $DESTIP --dport 80 -j ACCEPT
iptables -A POSTROUTING -t nat -s $OVPNIP -o eth0 -j MASQUERADE
Zuletzt geändert von SepDEB am 02.05.2018 21:05:35, insgesamt 1-mal geändert.

mat6937
Beiträge: 1520
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von mat6937 » 02.05.2018 21:05:22

SepDEB hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 21:00:32
Also die $RASPIP muss also die IP des tun0 sein?
So genau weiß ich nicht was Du meinst. Aber wenn um die S-NAT-Regel geht, die sieht auf meinem Gerät z. B. so aus:

Code: Alles auswählen

iptables -t nat -I POSTROUTING 1 -o <output-Interface> -s 10.8.0.0/24 -j SNAT --to-source <IP-Adresse-output-Interface>
BTW: Ich habe genau die Konstellation die Du auch konfigurieren willst.

SepDEB
Beiträge: 9
Registriert: 02.05.2018 17:18:52

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von SepDEB » 02.05.2018 21:18:37

mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 21:05:22
SepDEB hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 21:00:32
Also die $RASPIP muss also die IP des tun0 sein?
So genau weiß ich nicht was Du meinst. Aber wenn um die S-NAT-Regel geht, die sieht auf meinem Gerät z. B. so aus:

Code: Alles auswählen

iptables -t nat -I POSTROUTING 1 -o <output-Interface> -s 10.8.0.0/24 -j SNAT --to-source <IP-Adresse-output-Interface>
BTW: Ich habe genau die Konstellation die Du auch konfigurieren willst.
Also der hinter dem OVPN-Server soll auf ein Controll-Unit (was eine Maschine kontrolliert) zugreifen können

meinst du es so?

Code: Alles auswählen

#!/bin/bash
DESTIP=192.168.1.150
RASPIP=192.168.1.200
OVPNIP=10.x.x.x
OUTPUTIF=eth0
OUTIFIP=192.168.1.200

iptables -A PREROUTING -t nat -i tun0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.150:80
iptables -A FORWARD -p tcp -d $DESTIP --dport 80 -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o $OUTPUTIF -s 10.8.0.0/24 -j SNAT --to-source $OUTIFIP
#iptables -A POSTROUTING -t nat -s $OVPNIP -o eth0 -j MASQUERADE
OUTIFIP is die interne IP des Raspbian oder die von tun0?
und OUTPUTIF ist tun0 oder die eth0 ?

mat6937
Beiträge: 1520
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von mat6937 » 02.05.2018 21:24:04

SepDEB hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 21:18:37
meinst du es so?
So kommen wir nicht weiter. Poste vom OVPN-Server die Ausgaben von:

Code: Alles auswählen

route -n
iptables -nvx -L -t nat
und vom Raspbian die Ausgaben von:

Code: Alles auswählen

sysctl net.ipv4.ip_forward
iptables -nvx -L FORWARD
iptables -nvx -L -t nat

SepDEB
Beiträge: 9
Registriert: 02.05.2018 17:18:52

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von SepDEB » 03.05.2018 10:33:42

mat6937 hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 21:24:04
So kommen wir nicht weiter. Poste vom OVPN-Server die Ausgaben von:

Code: Alles auswählen

route -n
iptables -nvx -L -t nat
und vom Raspbian die Ausgaben von:

Code: Alles auswählen

sysctl net.ipv4.ip_forward
iptables -nvx -L FORWARD
iptables -nvx -L -t nat
auf den OPVN Server komme ich nicht rauf. Ich glaube nicht, dass der Betreiber mir die Daten zusendet. also muss ich es ohne Configurationsinfos vom Server weiterfahren.

mat6937
Beiträge: 1520
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von mat6937 » 03.05.2018 10:59:55

SepDEB hat geschrieben: ↑ zum Beitrag ↑
03.05.2018 10:33:42
auf den OPVN Server komme ich nicht rauf.
Dann verstehe ich deine Frage aus deinem 1. Beitrag:
Wie schaffe ich es, dass der OVPN Server auf das Gerät mit der IP .150 zugreifen kann?
nicht so richtig. Was genau willst Du machen?

SepDEB
Beiträge: 9
Registriert: 02.05.2018 17:18:52

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von SepDEB » 03.05.2018 11:24:27

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.05.2018 10:59:55
SepDEB hat geschrieben: ↑ zum Beitrag ↑
03.05.2018 10:33:42
auf den OPVN Server komme ich nicht rauf.
Dann verstehe ich deine Frage aus deinem 1. Beitrag:
Wie schaffe ich es, dass der OVPN Server auf das Gerät mit der IP .150 zugreifen kann?
nicht so richtig. Was genau willst Du machen?
der VPN Server ist nicht meiner bzw. habe ich keinen Zugriff auf die Maschine, ich kann mich auf den Server per Client einloggen. Der Betreiber will/soll auf die 192.168.1.150 zugreifen können.
Der Betreiber des Servers soll die Controll Unit (.150)

mat6937
Beiträge: 1520
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von mat6937 » 03.05.2018 11:28:41

SepDEB hat geschrieben: ↑ zum Beitrag ↑
03.05.2018 11:24:27
Der Betreiber will/soll auf die 192.168.1.150 zugreifen können.
OK, dann soll der Betreiber des Servers seinen Server entsprechend konfigurieren. Was für ein Betreiber ist das? Evtl. eine Privatperson oder ein "professioneller" Betreiber?

SepDEB
Beiträge: 9
Registriert: 02.05.2018 17:18:52

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von SepDEB » 03.05.2018 13:10:36

mat6937 hat geschrieben: ↑ zum Beitrag ↑
03.05.2018 11:28:41
SepDEB hat geschrieben: ↑ zum Beitrag ↑
03.05.2018 11:24:27
Der Betreiber will/soll auf die 192.168.1.150 zugreifen können.
OK, dann soll der Betreiber des Servers seinen Server entsprechend konfigurieren. Was für ein Betreiber ist das? Evtl. eine Privatperson oder ein "professioneller" Betreiber?
es ist ein Professioneller Betreiber.

Eventuell kann man hiermit es vereinfachen
http://www.partow.net/programming/tcpproxy/index.html

tcpproxy_server <local_ip> <local_port> <forward host ip> <forward port> <max connections>
tcpproxy_server IP_des_tun0 80 192.168.1.150 80 5

Benutzeravatar
DynaBlaster
Beiträge: 957
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: OpenVPN Client LAN Geräte Freigeben

Beitrag von DynaBlaster » 15.05.2018 19:42:30

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -I PREROUTING -t nat -i tun0 -p tcp -d ip.des.opvnp-clients.raspbian --dport 80 -j DNAT --to-destination 192.168.1.150:80
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -I FORWARD -o tun0 -i eth0 -j ACCEPT
# die PREROUTING-Regel muesste eigentlich reichen
#iptables -I POSTROUTING -t nat -o tun0 -s 192.168.1.150 .j SNAT --to-source ip.des.opvnp-clients.raspbian
Der OpenVPN-Server-Betreiber darf allerdings nicht 192.168.1.150:80 nutzen sondern muss ip.des.opvnp-clienets.raspbian:80 nutzen, damit das alles geht. Wenn bei denen natürlich auch ein LAN hinter dem OpenVPN-Server ist und die versuchen, über einen Client in diesem LAN auf ip.des.opvnp-clienets.raspbian:80 zuzugreifen, wird es komplizierter und du/wir können da nix machen ohne deren Netz zu kennen. Was auch hilfreich wäre, wären tcpdump-Mitschnitte auf dem Rasbian, wenn die Leute aus dem Netz des OpenVPN-Servers versuchen, ip.des.opvnp-clients.raspbian:80 anzusprechen

Antworten