Mario885 hat geschrieben: 03.04.2019 14:11:53
Nochmal zum Verständnis:
Ich habe einen 1und1 vServer gemietet, der eine feste statische öffentliche IP hat.
Dieser stellt den OpenVPN-Server (bereit). Als weiterer einziger zusätzlicher Dienst (abgesehen von den Debian 9 Standard-Diensten)
ist ufw eingerichtet und aktiviert. Hier werden jedoch die benötigten Porst definitiv zugelassen (443, 80, 993, 587, 110 etc.).
Das beantwortet aber nicht die Frage, ob das incomminig oder outgoing Traffic ist. Und ob diese Portfreigaben bei einem VPN-Tunnel in dieser Form überhaupt notwendig sind, ist für mich immer noch fragwürdig.
Konkret soll der in den iptables konfigurierte Fraffic eigentlich in beide Richtungen. HTTP, HTTPs, IMAP etc. soll ja in beide Richtugnen möglich sein.
Ich halte von solchen Malen-nach-Zahlen-Anleitungen nicht sehr viel, weil sie nicht das für so ein Netz notwendige Wissen herstellen. Deshalb schick ich Dir mal einen Link zu meiner Anleitung von Paketfilter und OpenVPN per PN. Das ist ist nicht in 5 Minuten eingerichtet, aber ich hoffe, dass es das notwenige Hintergrundwissen vermittelt.
Danke im Voraus. Hoffe damit kann ich das Problem endlich lösen.
Und ich halte auch von der UFW nicht sehr viel. Wenn man kontrollieren kann, was sie tut, braucht man sie nicht, weil man dann direkt den Paketfilter einstellen kann. Und wenn mans nicht kontrollieren kann, hat man möglichweise auch keine Vorstellungen darüber, welche Faktoren diese FW völlig neutralisieren können.
Bin wie gesagt kein wirklicher Linux Crack, versuche mir aber soweit es möglich ist, mir das Wissen zu beschaffen bzw. anzueignen. Hier und da tuhe ich mich aber etwas schwer (wie man im konkreten Fall merkt). Sorry
Und ich weiß jetzt nicht, wie man auf "LAN-Server" kommt (vielleicht missversteh ich das gerade), aber mein 1und1 Server steht direkt im Netz, hat ne öffentliche IP und per OpenVPN über tun0 die einzige Verbindung zu meinem VPN-Client (vServer ( Hyper V) hier bei mir zu Hause). Wie man da dann auf "LAN-Server" kommt, weiß ich jetzt nicht.
Weil Du den Begriff LAN-Server zu eng defininierst. Ein LAN-Server definiert sich nicht durch einen Standort, sondern durch seine Funktionalität. Und sobald eine Maschine Clients mit Services versorgt und die Clients sich innerhalb des gleichen Subnetzes befinden oder via Bridge verbunden sind, ist er meiner Meinung nach ein LAN-Server. Der Unterschied von LAN zu WAN besteht darin, dass LAN-Services vom WAN isoliert sind und das man "Club-Mitglied" sein muss. Durch den VPN-Tunnel integriert sich ein entfernter Client-Host mehr oder weniger in das Subnetz des VPN-Server-Host.... wird damit also Club-Mitglied des LANs, in welchem der Server werkelt.
Sag ich doch. missverstanden. Ich rede da dann halt doch eher von VPN-Client und VPN-Server. Ist für die Unterscheidung besser 8zumal wir bei der Verbindugn an sich von virtuellen Adaptern reden). Aber grundsätzlich gebe ich Dir Recht.
Hoffe das war nun verständlich genug erläutert.
Nicht wirklich, Du sprichst von 1&1-Server als VPN-Server und von VPN-Clients auf einem vServer zuhause. VPN-Clients laufen meiner Meinung nach auf Enduser-Geräten und weniger auf einem vServer. Sind 2 Server im Spiel würde ich jetzt vermuten, es ist eine site-2-site-Verbindung, wo sich hinter den VPN-Hosts noch weitere Clients verbergen.
1und1 = vServer auf einem virtualisierer (z.B. VMWAre) bei 1und1 (= der VPN-Server)
Mein Server zu Hause ist ein Debian 9 Server (=der VPN-Client) der als virtuelle Maschine in Hyper V auf einem Server 2016 Host läuft, welcher wiederum Bare-Metall auf einem HP Microserver läuft.