OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Gemeinsam ins Internet mit Firewall und Proxy.
MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:00:49

JA ok sorry, war da sehr unpreziese.

da es ein privates Netzwerk ist sind alle Rechner im selben Subnet.
Wenn ich von meinem Laptop im gleichen Netzwerk auf den Server zugreife geht es problemlos.
Wenn ich vom Laptop die externe IP oder den Domainnamen (zeigt von einem DynDNS-Anbieter auf mein IP) eingebe, funktioniert es nur wenn OpenVPN nicht aktiv ist.

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:07:44

Der Apache-Server ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar? Oder läuft für den Zugriff aus dem Internet via DDNS evtl auch ein OpenVPN?

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 21:13:08

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:42:47
bluestar hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:35:42
MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:15:16

Code: Alles auswählen

redirect-gateway def1
Da hast du den Salat, du leitest sämtlichen Traffic in dein VPN um .... Das musst du nach deinen Vorstellungen/Wünschen anpassen.
Ja, das ist eine mögliche Ursache... aber, dieser Parameter sollte eigentlich nur TCP-Pakete umleiten, die eine DADDR außerhalb des LANs haben, also alle Paket für den klassischen Fall "Default-GW", weil der Emfänger im LAN nicht bekannt ist.
Es werden auch UDP und sämtliche anderen Protokolle durch das VPN geleitet.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 08.04.2020 21:16:20

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 20:51:13

Wie kann ich das manuell einstellen ?
Wenn du die Option redirect-gateway ... nicht entfernen willst, dann bleibt dir noch die Option über iptables/nft-Regeln die Pakete zu markieren und „rule based routing“ zu nutzen.

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:19:42

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:07:44
Der Apache-Server ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar? Oder läuft für den Zugriff aus dem Internet via DDNS evtl auch ein OpenVPN?
Ja er ist (bei ruhender OpenVPN-Verbindung (auf diesem Server) zum VPN-Dienster) direkt vom Internet unter der öffentlichen IP Deines DSL-Routers erreichbar. der Dynamic DNS Anbieter wanderlt nur den Namen in meine Aktuelle IP des Routers um. Immer wenn sich die FritzBox ins Internet einwählt, macht sie ein Update beim DynDNS anbierter.

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:28:57

Dann ist also im DSL-Router (der Fritte) der TCP-Port 443 direkt auf die IP-Adresse des Apache-Servers umgeleitet. Und weil ja ohne VPN-Client diese Pakete im Apache ankommen, ist diese Route ja scheinbar grundsätzlich ok. Das heisst, die Fritte muss die DADDR (die ja von außerhalb kommend derzeit auf die Fritte zeigt) durch die IP des Apache ersetzen (DNAT), damit das Paket auch dort ankommt. Also muss auf dem Server irgendwer irgendwas mit den Paketen anstellen. Kann es sein, dass da noch irgendwelche Paketfilter-Regeln etwas verbiegen?

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:34:39

bluestar hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:13:08
Es werden auch UDP und sämtliche anderen Protokolle durch das VPN geleitet.
Ja, aber imho immer nur für Pakete, die ein Fall fürs Def-GW wären, also auf eine unbekannte (im lokalen Netzwerk) Zieladresse verweisen. Der Apache hat aber keine unbekannte Zieladresse, weil er sich im lokalen LAN befindet, als wäre er auch kein Fall für den Redirect.

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:42:37

TomL hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:28:57
Dann ist also im DSL-Router (der Fritte) der TCP-Port 443 direkt auf die IP-Adresse des Apache-Servers umgeleitet. Und weil ja ohne VPN-Client diese Pakete im Apache ankommen, ist diese Route ja scheinbar grundsätzlich ok. Das heisst, die Fritte muss die DADDR (die ja von außerhalb kommend derzeit auf die Fritte zeigt) durch die IP des Apache ersetzen (DNAT), damit das Paket auch dort ankommt. Also muss auf dem Server irgendwer irgendwas mit den Paketen anstellen. Kann es sein, dass da noch irgendwelche Paketfilter-Regeln etwas verbiegen?
Ja genau so ist es.
Ich habe Debian frisch installiert. Also sollte alles auf Standard eingestellt sein. Weitere Paketfilter-Regeln sind mir nicht bekannt.
Warscheinlich hat es dann doch etwas mit dem redirect-gateway def1 zu tun. Rausnehmen kann ich es nicht, dann wählt er sich nich mehr zu Cyberghost ein.
Bleibt warscheinlich nur die iptables Variante übrig...

TomL

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von TomL » 08.04.2020 21:47:54

MKlaus hat geschrieben: ↑ zum Beitrag ↑
08.04.2020 21:42:37
Bleibt warscheinlich nur die iptables Variante übrig...
Ja, das würde ich mal prüfen, ob und welche Regeln gesetzt sind.

Kannst Du vorab einfach mal einen kleinen Test durchführen?
redirect-gateway def1
ersetzen mit
redirect-gateway block-local
... und dann das Verhalten testen.


Siehe: https://community.openvpn.net/openvpn/w ... n24ManPage

MKlaus
Beiträge: 11
Registriert: 08.04.2020 10:58:44

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von MKlaus » 08.04.2020 21:57:23

ok Danke erstmal. Werde mich da mal einarbeiten.

Schönen Abend...

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von bluestar » 09.04.2020 00:01:18

Du solltest auch direkt ne Firewall auf deinem Server aufbauen, schließlich willst du deinem VPN Anbieter dein LAN preis geben. Über‘s VPN läuft der Traffic schließlich direkt an der Fritzbox-Firewall vorbei.

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: OpenVPN verhindert Zugriff auf Apache2 aus dem Internet

Beitrag von pferdefreund » 14.04.2020 09:55:06

Ich würde es mal mit einem Zugriff testen, der nicht ! über den eigenen Router läuft. Hatte ich auch mal - externe IP aus Lan aufgerufen - Server nicht erreichbar - per Telefon der Tocher über mobile Daten unter Umgehung des eigenen Routers - hat problemlos funktioniert. Soll doch mal ein Kumpel wirklich extern zugreifen, ob es dann fruchtet. Bei mir war es wohl so, dass der Router nur echte externe Zugriffe weitergeleitet hat, die von Intern eben halt nicht - warum auch immer.

Antworten