OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
JA ok sorry, war da sehr unpreziese.
da es ein privates Netzwerk ist sind alle Rechner im selben Subnet.
Wenn ich von meinem Laptop im gleichen Netzwerk auf den Server zugreife geht es problemlos.
Wenn ich vom Laptop die externe IP oder den Domainnamen (zeigt von einem DynDNS-Anbieter auf mein IP) eingebe, funktioniert es nur wenn OpenVPN nicht aktiv ist.
da es ein privates Netzwerk ist sind alle Rechner im selben Subnet.
Wenn ich von meinem Laptop im gleichen Netzwerk auf den Server zugreife geht es problemlos.
Wenn ich vom Laptop die externe IP oder den Domainnamen (zeigt von einem DynDNS-Anbieter auf mein IP) eingebe, funktioniert es nur wenn OpenVPN nicht aktiv ist.
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Der Apache-Server ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar? Oder läuft für den Zugriff aus dem Internet via DDNS evtl auch ein OpenVPN?
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Es werden auch UDP und sämtliche anderen Protokolle durch das VPN geleitet.TomL hat geschrieben:08.04.2020 20:42:47Ja, das ist eine mögliche Ursache... aber, dieser Parameter sollte eigentlich nur TCP-Pakete umleiten, die eine DADDR außerhalb des LANs haben, also alle Paket für den klassischen Fall "Default-GW", weil der Emfänger im LAN nicht bekannt ist.bluestar hat geschrieben:08.04.2020 20:35:42Da hast du den Salat, du leitest sämtlichen Traffic in dein VPN um .... Das musst du nach deinen Vorstellungen/Wünschen anpassen.
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Wenn du die Option redirect-gateway ... nicht entfernen willst, dann bleibt dir noch die Option über iptables/nft-Regeln die Pakete zu markieren und „rule based routing“ zu nutzen.
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Ja er ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar. der Dynamic DNS Anbieter wanderlt nur den Namen in meine Aktuelle IP des Routers um. Immer wenn sich die FritzBox ins Internet einwählt, macht sie ein Update beim DynDNS anbierter.TomL hat geschrieben:08.04.2020 21:07:44Der Apache-Server ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar? Oder läuft für den Zugriff aus dem Internet via DDNS evtl auch ein OpenVPN?
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Dann ist also im DSL-Router (der Fritte) der TCP-Port 443 direkt auf die IP-Adresse des Apache-Servers umgeleitet. Und weil ja ohne VPN-Client diese Pakete im Apache ankommen, ist diese Route ja scheinbar grundsätzlich ok. Das heisst, die Fritte muss die DADDR (die ja von außerhalb kommend derzeit auf die Fritte zeigt) durch die IP des Apache ersetzen (DNAT), damit das Paket auch dort ankommt. Also muss auf dem Server irgendwer irgendwas mit den Paketen anstellen. Kann es sein, dass da noch irgendwelche Paketfilter-Regeln etwas verbiegen?
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Ja, aber imho immer nur für Pakete, die ein Fall fürs Def-GW wären, also auf eine unbekannte (im lokalen Netzwerk) Zieladresse verweisen. Der Apache hat aber keine unbekannte Zieladresse, weil er sich im lokalen LAN befindet, als wäre er auch kein Fall für den Redirect.bluestar hat geschrieben:08.04.2020 21:13:08Es werden auch UDP und sämtliche anderen Protokolle durch das VPN geleitet.
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Ja genau so ist es.TomL hat geschrieben:08.04.2020 21:28:57Dann ist also im DSL-Router (der Fritte) der TCP-Port 443 direkt auf die IP-Adresse des Apache-Servers umgeleitet. Und weil ja ohne VPN-Client diese Pakete im Apache ankommen, ist diese Route ja scheinbar grundsätzlich ok. Das heisst, die Fritte muss die DADDR (die ja von außerhalb kommend derzeit auf die Fritte zeigt) durch die IP des Apache ersetzen (DNAT), damit das Paket auch dort ankommt. Also muss auf dem Server irgendwer irgendwas mit den Paketen anstellen. Kann es sein, dass da noch irgendwelche Paketfilter-Regeln etwas verbiegen?
Ich habe Debian frisch installiert. Also sollte alles auf Standard eingestellt sein. Weitere Paketfilter-Regeln sind mir nicht bekannt.
Warscheinlich hat es dann doch etwas mit dem redirect-gateway def1 zu tun. Rausnehmen kann ich es nicht, dann wählt er sich nich mehr zu Cyberghost ein.
Bleibt warscheinlich nur die iptables Variante übrig...
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Ja, das würde ich mal prüfen, ob und welche Regeln gesetzt sind.
Kannst Du vorab einfach mal einen kleinen Test durchführen?
redirect-gateway def1
ersetzen mit
redirect-gateway block-local
... und dann das Verhalten testen.
Siehe: https://community.openvpn.net/openvpn/w ... n24ManPage
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
ok Danke erstmal. Werde mich da mal einarbeiten.
Schönen Abend...
Schönen Abend...
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Du solltest auch direkt ne Firewall auf deinem Server aufbauen, schließlich willst du deinem VPN Anbieter dein LAN preis geben. Über‘s VPN läuft der Traffic schließlich direkt an der Fritzbox-Firewall vorbei.
-
- Beiträge: 3792
- Registriert: 26.02.2009 14:35:56
Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet
Ich würde es mal mit einem Zugriff testen, der nicht ! über den eigenen Router läuft. Hatte ich auch mal - externe IP aus Lan aufgerufen - Server nicht erreichbar - per Telefon der Tocher über mobile Daten unter Umgehung des eigenen Routers - hat problemlos funktioniert. Soll doch mal ein Kumpel wirklich extern zugreifen, ob es dann fruchtet. Bei mir war es wohl so, dass der Router nur echte externe Zugriffe weitergeleitet hat, die von Intern eben halt nicht - warum auch immer.