TomL hat geschrieben: 03.04.2019 10:27:02
bluestar hat geschrieben: 02.04.2019 21:49:04
TomL, du bist auf der falschen Fährte, ...
Den Gedanken hatte ich auch schon ....
bluestar hat geschrieben: 02.04.2019 21:49:04
Sein Setup hat mit VPN-Server/-Client nichts zu tun, er will über einen „wie auch immer schlecht/falsch konfigurierten“ OpenVPN Tunnel Dienste im LAN über DNAT vom Ende des Tunnels anbieten. Von Point-to-Point und von /32 Netzen hat er dabei noch nix gehört.
Vielleicht kapier ich wirklich nicht, worums geht. Kannst Du mir denn kurz erklären, warum mein Setup anders ist... ?... bei dem irgendwelche Clients irgendwelche Dienste auf dem VPN-Server (der auch LAN-Server ist) nutzen? Also bei mir nutzen jedenfalls auch unsere VPN-Clients einzelne Dienste auf der anderen Seite des Tunnels... die andere Seite ist bei mir der VPN-Server. Welche laufenden (!) Dienste bietet denn der Server hier bei diesem Problem explizit an? Und warum braucht es so ein Heckmeck mit Routen und krusen Paketfilter-Regeln, wenn doch das VPN die Clients (via NAT) einfach ins Netz auf der anderen Seite des Tunnels integrieren kann? Ist das hier ein variables Roadwarrior-Setup oder eine konstante Site-to-Site-Installation? Oder ist es hier auf der Client-Seite ein Mischmasch mit prinzipieller Verwendung des lokalen Netzes, aber einzelne Services via VPN?
@TomL:
Glaube nicht, dass du so auf der falschen Fährte bist.
@BlueStar:
Glaube her Du vertstehst was falsch. (Oder ich irre mich extrem).
Nochmal zum Verständnis:
Ich habe einen 1und1 vServer gemietet, der eine feste statische öffentliche IP hat.
Dieser stellt den OpenVPN-Server (bereit). Als weiterer einziger zusätzlicher Dienst (abgesehen von den Debian 9 Standard-Diensten)
ist ufw eingerichtet und aktiviert. Hier werden jedoch die benötigten Ports definitiv zugelassen (443, 80, 993, 587, 110 etc.), es sei denn ich müsste der Firewall noch irgendwo mitteilen, dass da z.B. auf dem "Rückweg" vom VPN-Client (tun0) zum ens192 (echtes LAN-Interface des vServers bei 1und1) auch entsprechend die Ports verwendet werden dürfen/müssen.
Für mich sieht es halt so aus, dass da irgendwie nur etwas blockiert wird, das traceroute etc. alles raus kommt und auch ping und Namensauflösung funktioniert. Es bleibt einfach irgendwie etwas auf der Strecke. Habe ich einen Port vergessen, der erforderlich wäre für Web. Aber wäre mir sehr neu...
Bezüglich Einrichtung des VPN:
Hier habe ich vorwiegend folgende Quelle verwendet:
https://www.cyberciti.biz/faq/howto-set ... 16-04-lts/
und zusätzlich hier:
https://www.df.eu/de/support/df-faq/clo ... an-ubuntu/
Gemäß der Quellen, ist der Client eingerichtet.
Hier läuft aktuell auch nur ufw als zusätzlicher Dienst, sowie der Mailserver (im Rohbau) mit dem entsprechenden Webserver (Roh).
Bis auf die statische IP-Konfiguration, die Einrichtung des OpenVPN am Client, die zuletzt gepostete Anpassung in network/interfaces und die Konfiguration der ufw mit den gleichen Ports, wie am vServer bei 1und1, ist da nichts weiter konfiguriert.
Und ich weiß jetzt nicht, wie man auf "LAN-Server" kommt (vielleicht missversteh ich das gerade), aber mein 1und1 Server steht direkt im Netz, hat ne öffentliche IP und per OpenVPN über tun0 die einzige Verbindung zu meinem VPN-Client (vServer ( Hyper V) hier bei mir zu Hause). Wie man da dann auf "LAN-Server" kommt, weiß ich jetzt nicht.
Letzten Sachstand habe ich gestern Abend geschrieben. Mit den Tables an, geht Zugriff auf Webserver etc. jedoch wieder kein http-Zugriff vomVPN-Client (vServer bei mir). Also kein Ap update oder wget oder what ever.
Hoffe das war nun verständlich genug erläutert.