OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Gemeinsam ins Internet mit Firewall und Proxy.
MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 13:16:06

Hallo Community,

ich habe ein komisches Phänomen.
Bei mir Läuft ein Debian 10 Server hinter einer Fritzbox 7362 SL mit offenen Ports 80 und 443. Das funktioniert auch sehr gut.
Jetzt habe ich noch einen Proxyserver (Privoxy) und OpenVPN installiert. Der Proxy läuft auf dem Port 8118.
Sobald ich mit OpenVPN eine Clientverbindung zu Cyberghost starte ist Apache nur noch lokal erreichbar. Der Proxy funktioniert aber sehr gut. Erst wenn ich OpenVPN stoppe ist die Apacheseite auf beiden Ports wieder erreichbar.

Der Aufbau einer Openvpn-Verbindung dürfte doch keinen Einfluss auf eingehende Ports haben oder?

netstat -nlp sagt:

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 20852/smbd
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 2169/perl
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 498/sshd
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 20852/smbd
tcp6 0 0 :::139 :::* LISTEN 20852/smbd
tcp6 0 0 :::80 :::* LISTEN 13208/apache2
tcp6 0 0 :::22 :::* LISTEN 498/sshd
tcp6 0 0 :::443 :::* LISTEN 13208/apache2
tcp6 0 0 :::445 :::* LISTEN 20852/smbd
udp 0 0 192.168.10.255:137 0.0.0.0:* 20864/nmbd
udp 0 0 192.168.10.250:137 0.0.0.0:* 20864/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 20864/nmbd
udp 0 0 192.168.10.255:138 0.0.0.0:* 20864/nmbd
udp 0 0 192.168.10.250:138 0.0.0.0:* 20864/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 20864/nmbd
udp 0 0 0.0.0.0:10000 0.0.0.0:* 2169/perl
udp 0 0 0.0.0.0:34741 0.0.0.0:* 25482/openvpn
Aktive Sockets in der UNIX-Domäne (Nur Server)
Proto RefCnt Flags Type State I-Node PID/Program name Pfad
unix 2 [ ACC ] STREAM HÖRT 26050 4343/gpg-agent /root/.gnupg/S.gpg-agent
unix 2 [ ACC ] STREAM HÖRT 26051 4343/gpg-agent /root/.gnupg/S.gpg-agent.extra
unix 2 [ ACC ] STREAM HÖRT 10811 1/init /run/systemd/fsck.progress
unix 2 [ ACC ] STREAM HÖRT 26052 4343/gpg-agent /root/.gnupg/S.gpg-agent.browser
unix 2 [ ACC ] STREAM HÖRT 26053 4343/gpg-agent /root/.gnupg/S.gpg-agent.ssh
unix 2 [ ACC ] SEQPAKET HÖRT 10817 1/init /run/udev/control
unix 2 [ ACC ] STREAM HÖRT 11352 1/init /run/systemd/private
unix 2 [ ACC ] STREAM HÖRT 82265 20864/nmbd /var/run/samba/nmbd/unexpected
unix 2 [ ACC ] STREAM HÖRT 105824 25429/systemd /run/user/1000/systemd/private
unix 2 [ ACC ] STREAM HÖRT 11361 1/init /run/systemd/journal/stdout
unix 2 [ ACC ] STREAM HÖRT 105830 25429/systemd /run/user/1000/gnupg/S.gpg-agent.browser
unix 2 [ ACC ] STREAM HÖRT 105833 25429/systemd /run/user/1000/gnupg/S.gpg-agent.extra
unix 2 [ ACC ] STREAM HÖRT 105835 25429/systemd /run/user/1000/gnupg/S.gpg-agent
unix 2 [ ACC ] STREAM HÖRT 105837 25429/systemd /run/user/1000/gnupg/S.gpg-agent.ssh
unix 2 [ ACC ] STREAM HÖRT 105839 25429/systemd /run/user/1000/gnupg/S.dirmngr
unix 2 [ ACC ] STREAM HÖRT 75917 1/init /var/run/pcscd/pcscd.comm
unix 2 [ ACC ] STREAM HÖRT 15596 1/init /var/run/dbus/system_bus_socket

irgenwelche ideen?

Danke schon mal im Voraus

Gruß

Martin

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 15:26:30

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 13:16:06
Sobald ich mit OpenVPN eine Clientverbindung zu Cyberghost starte
Mehr oder weniger als TomL zu VPN geschrieben hat, gibt's da wohl nicht zu schreiben:
TomL hat geschrieben: ↑ zum Beitrag ↑
12.01.2020 14:14:36
VPN-Anbieter hingegen überhaupt nicht. Der effektive und gleichzeitig einzige Erfolg eines VPN-Anbieters bezogen auf das ganz normale banale Surfen eines Kunden ist allein eine Geldumverteilung, und zwar von Deinem Konto auf das Konto des VPN-Anbieters, ohne dass dabei für Dich eine brauchbare Gegenleistung erbracht wird oder das in irgendeiner Form ein Ertrag für Dich damit verbunden ist. Ein vor diesem Hintergrund genutztes VPN hat keinerlei Einfluss auf erfolgreiche Anonymität oder kann die Deanonymisierung verhindern.

Guckstu:
https://www.golem.de/news/verschluessel ... 39973.html
Quelle: viewtopic.php?p=1227214#p1227214

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 17:00:27

Hallo,

die Vor- / bzw. Nachteile von VPN-Anbietern sind mir schon klar, jedoch hift mir deine Aussage leider nicht bei meinem Problem weiter.

Gruß

Martin

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von eggy » 08.04.2020 17:14:44

a) routen checken, ip r oder route -nv
b) schauen was auf dem port 80, einmal mit und einmal ohne, läuft lsof -i, nmap etc
c) apache config ansehen, mal schauen was bei listen steht

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 17:19:54

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 17:00:27
die Vor- / bzw. Nachteile von VPN-Anbietern sind mir schon klar, jedoch hift mir deine Aussage leider nicht bei meinem Problem weiter.
Deine Ursache liegt darin, dass dein VPN Anbieter mit Sicherheit sämtlichen Traffic durch's VPN routet... Das musst du ändern, sofern dies möglich ist. Deine VPN-Konfiguration fehlt ja leider, jJegliche Routing Informationen mit/ohne VPN in deinem Post fehlen, da bleibt bei den spärlichen Infos nur der Tipp auf das VPN zu verzichten.

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 20:15:16

Hallo du hast da schon Recht. Das habe ich gesehen.

Openvpn läuft über den Port 443 raus
da kommt https ja rein.

Hier die Config:

client
remote 4-1-de.cg-dialup.net 443
dev tun
proto udp
auth-user-pass /etc/openvpn/user.txt
resolv-retry infinite
redirect-gateway def1
persist-key
persist-tun
nobind
cipher AES-256-CBC
auth SHA256
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix 1200
verb 4
comp-lzo
ca ca.crt
cert client.crt
key client.key
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Ich habe bereist Port-share und den Multiplexer sslh probiert.
Hat aber beides nicht geklappt.

Leider lässt cyberghost nur TCP 443 oder UDP 443 zu. Daher wäre es interessant, ob ich den Port doch irgenwie doppelt nutzen kann.
Wäre es vielleicht Sinnvoll statt 443 für Apache am Server z.B. 444 zu nehemen? In der FritzBox könnte ich ja das Routing von 443 auf 444 umbiegen...
Was meinst du?

Gruß
Martin

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 20:22:31

Naja der Gedanke war gut aber hat so nicht funtioniert. Sobald OpenVPN läuft ist auch der Port 444 nicht von extern ansprechbar....
Zuletzt geändert von MKlaus am 08.04.2020 20:25:28, insgesamt 1-mal geändert.

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 20:23:35

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16
Openvpn läuft über den Port 443 raus
da kommt https ja rein.
Nein, eigentlich nicht.... https ist TCP, deine VPN-Conf ist UDP. Und eigentlich ist eher die Server-Conf interessant. BTW, was steht nach dem Start des Client-OpenVPN in der resolv.conf?
Sobald ich mit OpenVPN eine Clientverbindung zu Cyberghost starte ist Apache nur noch lokal erreichbar.
Vom Client ist er nicht via DNS erreichbar...?... oder auch nicht via IP?
Zuletzt geändert von TomL am 08.04.2020 20:29:54, insgesamt 1-mal geändert.

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 20:27:16

Hallo Tom,

ja das stimmt. hmm.
Welche Server-Conf meinst du? Openvpn ist ja nur als Client aktiv. MEinst du Apache?

In der update-resolve-conf steht:

#!/bin/bash
#
# Parses DHCP options from openvpn to update resolv.conf
# To use set as 'up' and 'down' script in your openvpn *.conf:
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf
#
# Used snippets of resolvconf script by Thomas Hood and Chris Hanson.
# Licensed under the GNU GPL. See /usr/share/common-licenses/GPL.
#
# Example envs set from openvpn:
#
# foreign_option_1='dhcp-option DNS 193.43.27.132'
# foreign_option_2='dhcp-option DNS 193.43.27.133'
# foreign_option_3='dhcp-option DOMAIN be.bnc.ch'
#

if [ ! -x /sbin/resolvconf ] ; then
logger "[OpenVPN:update-resolve-conf] missing binary /sbin/resolvconf";
exit 0;
fi

[ "$script_type" ] || exit 0
[ "$dev" ] || exit 0

split_into_parts()
{
part1="$1"
part2="$2"
part3="$3"
}

case "$script_type" in
up)
NMSRVRS=""
SRCHS=""
foreign_options=$(printf '%s\n' ${!foreign_option_*} | sort -t _ -k 3 -g)
for optionvarname in ${foreign_options} ; do
option="${!optionvarname}"
echo "$option"
split_into_parts $option
if [ "$part1" = "dhcp-option" ] ; then
if [ "$part2" = "DNS" ] ; then
NMSRVRS="${NMSRVRS:+$NMSRVRS }$part3"
elif [ "$part2" = "DOMAIN" ] ; then
SRCHS="${SRCHS:+$SRCHS }$part3"
fi
fi
done
R=""
[ "$SRCHS" ] && R="search $SRCHS
"
for NS in $NMSRVRS ; do
R="${R}nameserver $NS
"
done
echo -n "$R" | /sbin/resolvconf -a "${dev}.openvpn"
;;
down)
/sbin/resolvconf -d "${dev}.openvpn"
;;
esac

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 20:31:04

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:27:16
ja das stimmt. hmm.
Welche Server-Conf meinst du? Openvpn ist ja nur als Client aktiv. MEinst du Apache?
Entschuldige, Du hast Recht... ich habe in falscher Richtung gedacht. Ich hatte oben noch eine Frage angehängt.... schau mal....

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 20:32:24

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:23:35
Vom Client ist er nicht via DNS erreichbar...?... oder auch nicht via IP?
Nein leider auch nicht von der ip aus.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 20:35:42

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16

Code: Alles auswählen

redirect-gateway def1
Da hast du den Salat, du leitest sämtlichen Traffic in dein VPN um .... (Ergo klemmst du dich auch komplett von deinem LAN ab) Das musst du nach deinen Vorstellungen/Wünschen anpassen.
MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16
Leider lässt cyberghost nur TCP 443 oder UDP 443 zu. Daher wäre es interessant, ob ich den Port doch irgenwie doppelt nutzen kann.
Wäre es vielleicht Sinnvoll statt 443 für Apache am Server z.B. 444 zu nehemen? In der FritzBox könnte ich ja das Routing von 443 auf 444 umbiegen...
Fehlendes Verständnis für den Unterschied zwischen Server / Client ....
1) Dein VPN verbindet sich als Client ausgehenden über 443 UDP mit deinem VPN-Provider....
2) Das tangiert deine Portfreigaben eingehend TCP 443 auf Apache nicht die Bohne.
MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16
Was meinst du?
Einfach in die Materie einarbeiten, z.B. wenn du den Salat in deiner VPN Konfig weglässt, dann läuft halt nix mehr durch's VPN, also musst du danach manuell festlegen, was über das VPN erreicht werden soll... Die OpenVPN Manage erklärt dir wie man IP-Bereiche durch's VPN routen kann.

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 20:42:47

bluestar hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:35:42
MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16

Code: Alles auswählen

redirect-gateway def1
Da hast du den Salat, du leitest sämtlichen Traffic in dein VPN um .... Das musst du nach deinen Vorstellungen/Wünschen anpassen.
Ja, das ist eine mögliche Ursache... aber, dieser Parameter sollte eigentlich nur TCP-Pakete umleiten, die eine DADDR außerhalb des LANs haben, also alle Paket für den klassischen Fall "Default-GW", weil der Emfänger im LAN nicht bekannt ist. Alle Pakete mit einer DADDR innerhalb des LANs sollten nicht darunter fallen, sondern ganz normal innerhalb des LAN "kreisen".

Also, zunächst mal würde ich annehmen, dass ein LAN-interner Zugriff (SADDR und DADDR liegen im gleichen Subnet) nicht durchs VPN geroutet wird. Wenn wirklich alles durchs redirected'te Def-GW gehen würde, wäre der Rechner auch nicht mehr via SSH oder NFS oder CIFS oder sonst via eines der üblichen Protokolle erreichbar. Wo ist der Unterschied in der Erreichbarkeit via TCP bei SSH, NFS, CIFS oder HTTPS? :roll:

Gibts da noch irgendwelche "regulierenden" Paketfilterregeln?

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 20:51:13

JA intern klappt alles perfekt.
nur von extern komme ich dann nicht mehr auf den Server.
sobald ich openVPN stoppe geht es wieder über die externe ip oder dyndns

Wie kann ich das manuell einstellen ?

Gruss Martin

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 20:56:06

Du müsstest auch mal Dein Verständnis von intern, extern und lokal erklären....

intern = in einem lokalen Netzwerk, im gleichen Subnet oder nur auf dem Rechner?
extern = von einem anderen Rechner im lokalen Netzwerk oder via DDNS über das Internet?
lokal = lokal auf dem Rechner oder im lokalen Netzwerk?

Ich verstehe eigentlich überhaupt nicht, von welchem Gerät, was sich unter welchen Bedingungen wo befindet, der Apache-Server nicht erreicht werden kann, der sich unter welchen Bedingungen wo befindet.... :roll:

DDNS heisst, wenn ich das gerade gelesen habe, und sofern das auch eine geroutete OpenVPN-Verbindung ist, dass das ein eigenes Subnetz hat.... welches natürlich ein anderes als das heimische Netz ist.... insofern kanns da schon einen Konflikt mit DADDR geben, weil das VPN-Subnet eben nicht das Heim-Subnet ist, in dem der Apache liegt. Ich weiss jetzt gar nicht, ob man das ohne Analyse am Bildschirm (z.B. mit tcpdump) lösen kann....

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:00:49

JA ok sorry, war da sehr unpreziese.

da es ein privates Netzwerk ist sind alle Rechner im selben Subnet.
Wenn ich von meinem Laptop im gleichen Netzwerk auf den Server zugreife geht es problemlos.
Wenn ich vom Laptop die externe IP oder den Domainnamen (zeigt von einem DynDNS-Anbieter auf mein IP) eingebe, funktioniert es nur wenn OpenVPN nicht aktiv ist.

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:07:44

Der Apache-Server ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar? Oder läuft für den Zugriff aus dem Internet via DDNS evtl auch ein OpenVPN?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 21:13:08

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:42:47
bluestar hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:35:42
MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16

Code: Alles auswählen

redirect-gateway def1
Da hast du den Salat, du leitest sämtlichen Traffic in dein VPN um .... Das musst du nach deinen Vorstellungen/Wünschen anpassen.
Ja, das ist eine mögliche Ursache... aber, dieser Parameter sollte eigentlich nur TCP-Pakete umleiten, die eine DADDR außerhalb des LANs haben, also alle Paket für den klassischen Fall "Default-GW", weil der Emfänger im LAN nicht bekannt ist.
Es werden auch UDP und sämtliche anderen Protokolle durch das VPN geleitet.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 21:16:20

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:51:13

Wie kann ich das manuell einstellen ?
Wenn du die Option redirect-gateway ... nicht entfernen willst, dann bleibt dir noch die Option über iptables/nft-Regeln die Pakete zu markieren und „rule based routing“ zu nutzen.

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:19:42

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:07:44
Der Apache-Server ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar? Oder läuft für den Zugriff aus dem Internet via DDNS evtl auch ein OpenVPN?
Ja er ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar. der Dynamic DNS Anbieter wanderlt nur den Namen in meine Aktuelle IP des Routers um. Immer wenn sich die FritzBox ins Internet einwählt, macht sie ein Update beim DynDNS anbierter.

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:28:57

Dann ist also im DSL-Router (der Fritte) der TCP-Port 443 direkt auf die IP-Adresse des Apache-Servers umgeleitet. Und weil ja ohne VPN-Client diese Pakete im Apache ankommen, ist diese Route ja scheinbar grundsätzlich ok. Das heisst, die Fritte muss die DADDR (die ja von außerhalb kommend derzeit auf die Fritte zeigt) durch die IP des Apache ersetzen (DNAT), damit das Paket auch dort ankommt. Also muss auf dem Server irgendwer irgendwas mit den Paketen anstellen. Kann es sein, dass da noch irgendwelche Paketfilter-Regeln etwas verbiegen?

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:34:39

bluestar hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:13:08
Es werden auch UDP und sämtliche anderen Protokolle durch das VPN geleitet.
Ja, aber imho immer nur für Pakete, die ein Fall fürs Def-GW wären, also auf eine unbekannte (im lokalen Netzwerk) Zieladresse verweisen. Der Apache hat aber keine unbekannte Zieladresse, weil er sich im lokalen LAN befindet, als wäre er auch kein Fall für den Redirect.

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:42:37

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:28:57
Dann ist also im DSL-Router (der Fritte) der TCP-Port 443 direkt auf die IP-Adresse des Apache-Servers umgeleitet. Und weil ja ohne VPN-Client diese Pakete im Apache ankommen, ist diese Route ja scheinbar grundsätzlich ok. Das heisst, die Fritte muss die DADDR (die ja von außerhalb kommend derzeit auf die Fritte zeigt) durch die IP des Apache ersetzen (DNAT), damit das Paket auch dort ankommt. Also muss auf dem Server irgendwer irgendwas mit den Paketen anstellen. Kann es sein, dass da noch irgendwelche Paketfilter-Regeln etwas verbiegen?
Ja genau so ist es.
Ich habe Debian frisch installiert. Also sollte alles auf Standard eingestellt sein. Weitere Paketfilter-Regeln sind mir nicht bekannt.
Warscheinlich hat es dann doch etwas mit dem redirect-gateway def1 zu tun. Rausnehmen kann ich es nicht, dann wählt er sich nich mehr zu Cyberghost ein.
Bleibt warscheinlich nur die iptables Variante übrig...

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:47:54

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:42:37
Bleibt warscheinlich nur die iptables Variante übrig...
Ja, das würde ich mal prüfen, ob und welche Regeln gesetzt sind.

Kannst Du vorab einfach mal einen kleinen Test durchführen?
redirect-gateway def1
ersetzen mit
redirect-gateway block-local
... und dann das Verhalten testen.


Siehe: https://community.openvpn.net/openvpn/w ... n24ManPage

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:57:23

ok Danke erstmal. Werde mich da mal einarbeiten.

Schönen Abend...

Antworten