Routing über VPN bei gleichzeitigen Zugriff auf NFS

[NightStalk3r]

Hallo zusammen,

ich beschäftige mich um bisschen zu lernen und VPN/IPTables zu verstehen mit den Thema VPN Routing. Ich versuche mal zu beschreiben was ich vorhabe:
PC 1 Standardgateway auf "VPN Port IP" ---> VPN Server mit 2 Netzwerkkarten, 1x für "VPN Port" und eine für das interne LAN
PC 1 ---> Freigabe auf NFS Freigabe im LAN

Was habe ich bereits hinbekommen ?
PC 1 Standardgateway auf "VPN Port IP" ---> VPN Server mit 1 Netzwerkkarte "VPN Port", IP Ranges für PC 1 und LAN gleich (Was nicht so toll ist)
PC 1 ---> Freigabe auf NFS Freigabe im LAN
Es läuft, aber lediglich mit einer Netzwerkkarte. IPs im gleichen Bereich. VPN wird geroutet, NFS geht.
Aber, wenn das VPN aussteigt merkt man das nicht.

Debian 9
Tap0 = VPN
enp1s0 = Lan IP (192.168.0.XXX)
enp2s0 = ggf. zweite NIC

So sehen meine IP Tables aus:

# Generated by iptables-save v1.6.0 on Sat Feb 9 09:01:12 2019
*nat
:PREROUTING ACCEPT [15:1671]
:INPUT ACCEPT [15:1671]
:OUTPUT ACCEPT [1:40]
:POSTROUTING ACCEPT [1:40]
-A POSTROUTING -o tap0 -j MASQUERADE
COMMIT
# Completed on Sat Feb 9 09:01:12 2019
# Generated by iptables-save v1.6.0 on Sat Feb 9 09:01:12 2019
*filter
:INPUT ACCEPT [32:7503]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:552]
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp1s0 -p icmp -j ACCEPT
-A INPUT -i enp1s0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i enp1s0 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Feb 9 09:01:12 2019

Ich hätte eigentlich auch kein Problem bei einer NIC zu bleiben. Nur habe ich irgendwie keine Ahnung wie man den Traffic sperrt. Da hänge ich jetzt seit Stunden.
Viele Anleitungen und IPTables habe ich ausprobiert. Mit einer NIC, mit zwei NIC. Bei Zwei hat gar nichts funktioniert.
Das Einzige was bei zwei NIC funktioniert hat: Durch die unterschiedlichen IP Ranges natürlich keine Verbindung in das LAN wenn VPN getrennt. Aber NFS geht eben auch nicht.

Ich habe jetzt auch kein Problem mich da reinzulesen - wenn mir das jetzt jemand hinschreibt, sozusagen ohne Kommentar, habe ich nichts gelernt.

Danke schon mal für eure Hilfe

[bluestar]

Ich habe jetzt auch kein Problem mich da reinzulesen - wenn mir das jetzt jemand hinschreibt, sozusagen ohne Kommentar, habe ich nichts gelernt.

Bevor du dich mit iptables Regeln abkämpfst würde ich dir zu einem Frontend (z.B. Shorewall) raten. Die Dokumentation dazu ist auch recht gut http://shorewall.net/Documentation_Index.html

[NightStalk3r]

Hi,

Danke für den Link. Shorewall sagt mir was. Mal vor Ewigkeiten ausprobiert.
Ich schaus mir nochmal ganz genau an.

[TomL]

Leider ist mir nicht so richtig klar, was Du eigentlich willst und was Du dafür wirklich brauchst. Du sprichst von Routing, nutzt aber ein Tap-Device, was imho eher fürs Bridging gedacht ist. Ich glaube (weiss es aber nicht genau), dafür braucht man dann auch gar keine Iptables-Regeln, weil sich ja alles im gleichen Subnet befindet.

Paketfilter-Regeln brauchts aber beim Routing und der Verwendung von Tun-Devices, weil es da unterschiedliche Netze sind. Ich würde also mit der Shorewall lieber noch mal warten und erst mal erklären, was überhaupt ganz am Ende hinten rauskommen soll. Und wenn es völlig egal ist, ob Du 1 oder 2 NICs nutzen willst/kannst, dann scheint mir, dass das eigentliche Ziel noch gar nicht klar definiert ist. Wenn das bekannt ist, kann man vermutlich dann auch einen Rat geben, wo der Anfang eines solchen Unterfangens liegt.

ich beschäftige mich um bisschen zu lernen und VPN/IPTables zu verstehen mit den Thema VPN Routing.

Die Teilaspekte Iptables und Routing sind hier nicht mehr, als wirklich nur Teilaspekte, die beide eigentlich einer höheren Sache dienen, aber trotzdem auch völlig losgelöst von VPN relevant sind/sein können. Um das zu differenzieren, sollte man deswegen hier auch das tatsächlich angestrebte Ziel kennen, bevor man sich mit den Problemen irgendwelcher Teilaspekte befasst.

[NightStalk3r]

Hallo Tomi,

Der Rechner mit dem VPN Service verbindet sich als Client zum VPN Anbieter.

Was ist das Ziel ? Nichts illegales oder verbotenes.
Ziel wird irgendwann mal (Dann natürlich ohne Zugriff aufs Heimnetzwerk) ein WLAN für jedermann/frau. Was die natürlich treiben..... und bei unserer unklaren Gesetzeslage.... lieber ein VPN und die Bandbreite noch beschränken.

Das Netzwerk hinter dem VPN Gateway soll praktisch komplett über das VPN gehen. Aber die Rechner in diesem Netzwerk sollen gleichzeitig auf Netzwerkfreigaben zugreifen dürfen.
Wenn sich das VPN verbindet, wird eine dynamisch Route erstellt (die sich eben nach dem reconnect ändern könnte).

Jetzt hab ich eine Lösung gefunden die sowas von einfach ist:
In der Fritzbox Regeln erstellen, TCP, UDP etc etc. Portrange von 1-1193 und 1194-65536 verbieten. Leider geht es nicht zwei Regeln zu erstellen (Alle Ports verbieten, VPN Port erlauben). Aber nicht tragisch.
Jetzt hat das Gateway Zugriff aufs Heimnetzwerk, und alles andere wo ins Netz will geht übers VPN.

Die Lösung ist glaube ich halbwegs brauchbar. Theoretisch könnte man das auf dem VPN Gateway mit ufw abbilden, wenn die Firewall mit zwei NICs klarkommt. Denn ich brauche die ja nur für eine NIC.
Ggf. Noch ein VLan, das kann auch mein Switch. So sollte auch genug Sicherheit da sein.

[TomL]

Das Netzwerk hinter dem VPN Gateway soll praktisch komplett über das VPN gehen.

Also wenn Du meinst, die Clients aus dem lokalen Netzwerk gehen komplett allesamt nur über einen VPN-Anbieter ins Internet.... dann vermute ich, dass Du dabei noch nicht an die Konsequenzen gedacht hast.
Wenn es wirklich anonym sein soll, dürfen die Client-PCs im LAN nichts im Internet tun, was eine Identifikation erfordert. Darunter fallen dann solche Sachen wie Online-Banking, Internet-Shops, Mail-Postfächer, Online-Foren, Facebook, Twitter, usw..... das müsstest Du dann alles unterbinden. Im Grunde genommen können sie damit eigentlich nur lesen und gucken, sonst nix. Ansonsten wäre das nur eine verschlüsselte Leitung auf einer verschlüsselten Leitung, und zwar ohne Anonymität. Bezogen auf einen angestrebten Datenschutz hat das vermutlich auch keine Auswirkung... letztlich isses also blanker Unsinn.

Aber ich hoffe, dass sich dazu noch jemand mit mehr Kenntnissen äußert. Ich selber nutze keinen VPN-Anbieter, weil ich das für suspekt halte und denen misstraue. Ich glaube, der beste Weg wirklich alle Daten, jeglichen Traffic eines bestimmten Anwenders zu bekommen, ist, wenn mans schafft, ihn zu einem VPN-Anbieter zu locken... weil wirklich auch noch das letzte Daten-Bit durch dieses Nadelöhr muss und dem Mit-Leser wirklich gar nichts mehr entgeht. Ich weiss grad gar nicht, ob man solche VPNs vielleicht nicht auch schon fast als selbst-installierten MITM sehen kann....