Port 9981 durch VPN in neuem Subnetz erreichen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
CBG
Beiträge: 95
Registriert: 16.12.2013 22:53:07

Port 9981 durch VPN in neuem Subnetz erreichen

Beitrag von CBG » 20.10.2017 21:50:42

Hi Leute,

ich hab mir einen Raspi 2 mit Debian 9 aufgesetzt und openvpn erfolgreich in Betrieb genommen.

Ich kann mich verbinden (TLS)
Ich kann namensaufösungen machen
aber ich kann nicht an meinem anderen Raspi im Netzwerk an Port 9981 per OpenVPN ( iPhone ) verbinden.


iPhone6s OpenVPN -> openvpn server ( vpnpi ) und 10.8.0.0/24 -> 192.168.2.0/24 Netz
alles regular also..

ipv4 forward = 1

ipv6 gloabl deaktiviert

crontab (root)
@reboot sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE



Woran kann es liegen, dass ich im 192.168.2.0 netz nicht den Port 9981 oder 9982 an einem Host ereichen!??!

LG

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Port 9981 durch VPN in neuem Subnetz erreichen

Beitrag von jeff84 » 20.10.2017 23:15:39

Kannst du im 192.168.er Netz irgendwas erreichen, also zum Beispiel per Ping? Wird eine Route für das Netz zum iPhone gepushed?

CBG
Beiträge: 95
Registriert: 16.12.2013 22:53:07

Re: Port 9981 durch VPN in neuem Subnetz erreichen

Beitrag von CBG » 20.10.2017 23:20:57

jeff84 hat geschrieben: ↑ zum Beitrag ↑
20.10.2017 23:15:39
Kannst du im 192.168.er Netz irgendwas erreichen, also zum Beispiel per Ping? Wird eine Route für das Netz zum iPhone gepushed?
Hi,

nein pingen kann ich nichts.... irgendwie...

Ich habe eben bemerkt, dass DNS ausfällt, kurze Zeit nachdem der VPN etabliert ist.

ich habe übrigens mit netfilter und den iptables herumgespielt...

Hier mal ein Auszug meiner openvpn.log:
Fri Oct 20 23:11:54 2017 89.15.237.166:53379 Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Oct 20 23:11:54 2017 89.15.237.166:53379 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Oct 20 23:11:54 2017 89.15.237.166:53379 Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Fri Oct 20 23:11:54 2017 89.15.237.166:53379 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Oct 20 23:11:54 2017 89.15.237.166:53379 [client2] Peer Connection Initiated with [AF_INET]89.15.237.166:53379
Fri Oct 20 23:11:54 2017 client2/89.15.237.166:53379 MULTI_sva: pool returned IPv4=10.8.0.10, IPv6=(Not enabled)

Fri Oct 20 23:11:56 2017 client2/89.15.237.166:53379 PUSH: Received control message: 'PUSH_REQUEST'
Fri Oct 20 23:11:56 2017 client2/89.15.237.166:53379 SENT CONTROL [client2]: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,redirect-gateway def1,dhcp-option DOMAIN Speedport_W_724V_09011603_05_012,dhcp-option DNS 192.168.2.1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.10 10.8.0.9,peer-id 0' (status=1)

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: Port 9981 durch VPN in neuem Subnetz erreichen

Beitrag von jeff84 » 21.10.2017 13:10:29

Noch mal zum Verständnis:

Der Pi ist dein OpenVPN Server, mit dem du dich vom Client (iphone) verbinden magst?
Der Pi hat auf dem tun/Tap Interface des VPN eine 10.8.0.X anliegen und an eth0 eine 192.168.2.Y?
Vom iphone ist, wenn das VPN aufgebaut ist nichts mehr zu erreichen?
CBG hat geschrieben: ↑ zum Beitrag ↑
20.10.2017 21:50:42
crontab (root)
@reboot sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sicher, dass das eth0 ist?

CBG
Beiträge: 95
Registriert: 16.12.2013 22:53:07

Re: Port 9981 durch VPN in neuem Subnetz erreichen

Beitrag von CBG » 22.10.2017 10:19:48

Hi,

ja ich bin sicher, dass es eth0 ist.

Danke für deine Bemühungen aber ich kann folgendes Berichten:

iPhone -> VPN-Raspi = OK
Iphone -> VPN Raspi -> 192.168.2.0/ Netz = OK
Iphone -> VPN Raspi -> 192.168.2.1 ( Speedport Router ) -> Internet = OK

Es läuft alles ein Ping geht auch auf diverse Geräte vom 10.8.0.0/24 Netz ins 192.168.2.0/24 Netz

Nur ein Raspi ( LibreElec mit Kodi 17.3 und einem TVHeadend Server:9981 & :9982 ) geht nicht.

Naja muss also an dem Ding liegen! Daher erledigt.

Ich danke euch und dir für den Input.

Case erl.

LG

Antworten