zwei Standorte mit OpenVPN verbinden

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 29.08.2018 16:51:17

Eine kurze Idee... Könnte es an dem CA Zertifikat liegen? Muss hier evtl ein zusammengeführtes (root & intermediate) CHAIN Zertifikat verwendet werden?

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 29.08.2018 17:32:02

Und genau das war das Problem! Das chain File ausgetauscht und schon ging es! :-)
Super schon mal und vielen vielen Dank für deine HILFE! :-)

Jetzt muss ich nur noch eins hinbekommen. Und zwar das ein Client PC über den VPNClient das VPNServer Netzwerk erreichen kann.

mat6937
Beiträge: 1091
Registriert: 09.12.2014 10:44:00

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von mat6937 » 29.08.2018 19:46:05

joe2017 hat geschrieben: ↑ zum Beitrag ↑
29.08.2018 17:32:02
Jetzt muss ich nur noch eins hinbekommen. Und zwar das ein Client PC über den VPNClient das VPNServer Netzwerk erreichen kann.
Dazu brauchst Du aktiviertes Forwarding und S-NAT (MASQUERADE) im VPN-Client und die statische Route in der FritzBox (Router) des VPN-Client.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 30.08.2018 12:02:26

Perfekt! Jetzt hab ich alles hinbekommen. Vielen Dank für deine Hilfe. Das hat mir sehr geholfen! Auf jeden Fall ein Fettes Lob an dich!

Ich werde nach meinen Tests hier noch mal meine gesamte Konfiguration posten. Vielleicht gibt es ja jemand, der ebenfalls einen VPN Tunnel aufbauen muss und somit eine kleine Anleitung hat.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 30.08.2018 14:36:44

Eine letzte Frage hätte ich jetzt noch bezüglich der Firewall.

Ich wollte an meinem Server und an meinem Client jetzt einfach alles bis auf den SSH und VPN Port blocken. Hierzu habe ich folgendes auf meinem Server eingerichtet.

Code: Alles auswählen

IPTABLES="/sbin/iptables"
IP6TABLES="/sbin/ip6tables"

sudo $IPTABLES -F
sudo $IPTABLES -t nat -F
sudo $IPTABLES -t mangle -F
sudo $IPTABLES -X
sudo $IPTABLES -t nat -X
sudo $IPTABLES -t mangle -X
sudo $IPTABLES -Z
sudo $IPTABLES -t nat -Z
sudo $IPTABLES -t mangle -Z

sudo $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -s ManagedIPClient -d $ipv4 -j ACCEPT
sudo $IPTABLES -A INPUT -m state --state NEW -p udp --dport 1194 -j ACCEPT

sudo $IPTABLES -P INPUT DROP
sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -P OUTPUT DROP

sudo $IP6TABLES -P INPUT DROP
sudo $IP6TABLES -P OUTPUT DROP
sudo $IP6TABLES -P FORWARD DROP
Jedoch funktioniert das alles nicht so wirklich. Ich denke das ich hier noch etwas mit dem FORWARD konfigurieren muss.

mat6937
Beiträge: 1091
Registriert: 09.12.2014 10:44:00

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von mat6937 » 30.08.2018 14:48:33

joe2017 hat geschrieben: ↑ zum Beitrag ↑
30.08.2018 14:36:44

Code: Alles auswählen

sudo $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 22 -s ManagedIPClient -d $ipv4 -j ACCEPT
sudo $IPTABLES -A INPUT -m state --state NEW -p udp --dport 1194 -j ACCEPT
Jedoch funktioniert das alles nicht so wirklich. Ich denke das ich hier noch etwas mit dem FORWARD konfigurieren muss.
Sämtlicher Traffic für lo- und tun+-Interface solltest Du erlauben. In der OUTPUT chain solltest auch NEW-Traffic zusätzlich erlauben.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 30.08.2018 15:10:30

Das habe ich eingetragen. Jedoch kann ich z.B. keine RDP Verbindung aufbauen. Wenn ich FORWARD auf ACCEPT stelle funktioniert das.

Code: Alles auswählen

sudo $IPTABLES -P FORWARD ACCEPT
Jedoch möchte ich nicht alles forwarden. Ich möchte lediglich RDP forwarding einstellen. Hierzu hab ich folgendes angelegt.

Code: Alles auswählen

sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
Das wiederum funktioniert auch nicht. Irgendwo ist noch der Denkfehler?

mat6937
Beiträge: 1091
Registriert: 09.12.2014 10:44:00

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von mat6937 » 30.08.2018 15:15:35

joe2017 hat geschrieben: ↑ zum Beitrag ↑
30.08.2018 15:10:30
Jedoch möchte ich nicht alles forwarden. Ich möchte lediglich RDP forwarding einstellen. Hierzu hab ich folgendes angelegt.

Code: Alles auswählen

sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
Das wiederum funktioniert auch nicht. Irgendwo ist noch der Denkfehler?
Dann ohne "-m state --state NEW" und zusätzlich den Port 3389 auch zusätzlich als source-Port konfigurieren. Welche (evtl. dynamische) Ports noch benutzt werden kann ich nicht sagen. Ich würde die default policy der FORWARD und der OUTPUT chains auf ACCEPT belassen.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 30.08.2018 15:38:47

Prinzpiell hast du hier Recht. Forwarding ACCEPT würde das ganze vereinfachen. Aber Sicherheitstechnisch ist die Vorgabe lediglich den RDP Port zu öffnen.
Eigentlich sollte ein einfaches FORWARD auf den TCP Port 3389 doch ausreichen? Funktioniert aber nicht. Fehlt bei dem FORWARD noch etwas?

Code: Alles auswählen

sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
Das hier hat übrigens auch nicht funktioniert

Code: Alles auswählen

sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -A FORWARD -p tcp --dport 3389 -j ACCEPT

mat6937
Beiträge: 1091
Registriert: 09.12.2014 10:44:00

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von mat6937 » 30.08.2018 20:32:00

joe2017 hat geschrieben: ↑ zum Beitrag ↑
30.08.2018 15:38:47
Funktioniert aber nicht. Fehlt bei dem FORWARD noch etwas?

Code: Alles auswählen

sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
Das hier hat übrigens auch nicht funktioniert

Code: Alles auswählen

sudo $IPTABLES -P FORWARD DROP
sudo $IPTABLES -A FORWARD -p tcp --dport 3389 -j ACCEPT
Dir ist noch nicht klar welche Aufgabe die FORWARD chain hat. Es geht nicht um weiterleiten, sondern eher um durchreichen und das in bzw. aus beiden Richtungen. D. h. wenn es einen destination-Port 3389 gibt, dann gibt es zwangsläufig auch einen source-Port 3389.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 31.08.2018 09:03:05

Ja das ist mir schon bewußt. Jedoch wenn ich die Ports öffne geht es ja ebenfalls nicht.
Selbst für INPUT, OUTPUT und FORWARD funktioniert nicht.

Code: Alles auswählen

sudo $IPTABLES -A FORWARD -p tcp --dport 3389 -j ACCEPT
sudo $IPTABLES -A INPUT -p tcp --dport 3389 -j ACCEPT
sudo $IPTABLES -A OUTPUT -p tcp --dport 3389 -j ACCEPT
Kann es vielleicht daran liegen, das mein Client hinter dem Tunnel steht?
RDP-Client (Out 3389) -> VPN-Client (Out 1194) -> VPN-TUNNEL -> VPN-Server (In 1194 - hier konfiguriere ich gerade die Firewall) -> RDP-Server (In 3389)

mat6937
Beiträge: 1091
Registriert: 09.12.2014 10:44:00

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von mat6937 » 31.08.2018 09:35:28

joe2017 hat geschrieben: ↑ zum Beitrag ↑
31.08.2018 09:03:05
Ja das ist mir schon bewußt. Jedoch wenn ich die Ports öffne geht es ja ebenfalls nicht.
Dann versuch mal Folgendes: Temporär die default policy der FORWARD chain auf ACCEPT lassen und den Traffic in der FORWARD chain lediglich loggen (mit iptables und dem target LOG) über einen geeigneten Zeitraum. So kannst Du feststellen welche Ports, Interfaces und IP-Adressen aus deiner Konstellation die FORWARD chain passieren und danach das Blocken/Freigeben für diese chain entsprechend konfigurieren.

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 11.09.2018 17:46:21

Ich hätte noch mal eine Frage zu dem Routing.

Standort A = 10.5.0.0 - 255.255.0.0
OpenVPN Server = 10.5.0.10
FritzboxServer = 10.5.0.254

Standort B = 192.168.0.0 - 255.255.255.0
OpenVPN Client = 192.168.0.10
FritzboxClient = 192.168.0.254


Ich möchte das Routing direkt in dem OpenVPN Server und Client (Debian Server) konfigurieren. Ich habe meine Routen in den FritzBoxen ausgetragen und folgendes in meinen beiden Servern konfiguriert.
VPNServer /etc/network/interfaces

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
        address 10.5.0.10/16
        gateway 10.5.0.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 10.5.0.254
        up route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.5.0.10
        up route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.5.0.10
VPNClient /etc/network/interfaces

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
        address 192.168.0.10/24
        gateway 192.168.0.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 192.168.0.254
        up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.10
        up route add -net 10.5.0.0 netmask 255.255.0.0 gw 192.168.0.10
Was jetzt aktuell funktioniert:
Client (VPNServer Seite) zu VPNClinet
Client (VPNServer Seite) zu Client (VPNClient Seite)
Clinet (VPNClient Seite) zu VPNServer

Was nicht funktioniert:
Clinet (VPNClient Seite) zu Client (VPNServer Seite)
Hier funktioniert das Routing anscheinend nicht korrekt. Woran könnte dies liegen?
Zuletzt geändert von joe2017 am 12.09.2018 09:02:36, insgesamt 1-mal geändert.

dufty2
Beiträge: 1506
Registriert: 22.12.2013 16:41:16

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von dufty2 » 11.09.2018 20:16:48

Angegeben hast Du
OpenVPN Server = 10.5.0.10

In Deiner config steht aber
address 10.5.0.0/16

Vertippt? Absicht?

10.5.0.0/16 ist die sog. Network-ID und dürfte so eigentlich gar nicht verwendet werden,
eigentlich ...

Code: Alles auswählen

$  ipcalc 10.5.0.0/16
Address:   10.5.0.0             00001010.00000101. 00000000.00000000
Netmask:   255.255.0.0 = 16     11111111.11111111. 00000000.00000000
Wildcard:  0.0.255.255          00000000.00000000. 11111111.11111111
=>
Network:   10.5.0.0/16          00001010.00000101. 00000000.00000000
HostMin:   10.5.0.1             00001010.00000101. 00000000.00000001
HostMax:   10.5.255.254         00001010.00000101. 11111111.11111110
Broadcast: 10.5.255.255         00001010.00000101. 11111111.11111111

joe2017
Beiträge: 229
Registriert: 07.08.2017 14:29:51

Re: zwei Standorte mit OpenVPN verbinden

Beitrag von joe2017 » 12.09.2018 09:02:15

dufty2 hat geschrieben: ↑ zum Beitrag ↑
11.09.2018 20:16:48
Angegeben hast Du
OpenVPN Server = 10.5.0.10

In Deiner config steht aber
address 10.5.0.0/16

Vertippt? Absicht?
Guten Morgen, das ist natürlich ein Tippfehler. Entschuldige. Ich bessere das in meinem Post gleich aus. Danke.

Antworten