[gelöst] openVPN Script Installation FORWARDING

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[gelöst] openVPN Script Installation FORWARDING

Beitrag von joe2017 » 16.03.2020 12:29:01

Hallo zusammen,

ich habe gerade ein kleines Problem und benötige mal kurz eure Hilfe.
Ich habe einen Server auf welchem ich OpenVPN mittels openvpn-installer.sh installiert habe.
Bis hier hin alles gut. Ich kann mich mit meinem Client auch über das Internet verbinden und teilweise auf das Netz zugreifen.
Hier mein Problem.

Mein server hat zwei Netzwerkkarten.
eth0: pubicIP (Bsp. 22.22.22.22)
eth1: privatIP (Bsp. 192.168.1.1)

Nachdem ich mich mit dem Openvpn Client auf meinem Windows Rechner verbunden habe, kann ich mit ssh auf die privatIP zugreifen.
Jetzt möchte ich eine RDP Verbindung auf einen anderen Rechner innerhalb dieses Netzes (192.168.1.0/24) herstellen. Leider funktioniert dies nicht.
Ich habe diverse iptables forwarding Einträge getestet. Leider ohne Erfolg.

Meine Einstellungen an den Chains hab ich noch nicht verändert. Das kommt zum Schluss
Aktuelle Einstellung:

Code: Alles auswählen

sudo iptables -P INPUT ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
Wenn ich meine IP https://www.wieistmeineip.de/ abfrage, habe ich wie erwartet die IP 22.22.22.22.
Zuletzt geändert von joe2017 am 24.03.2020 15:56:05, insgesamt 1-mal geändert.

Benutzeravatar
orcape
Beiträge: 1525
Registriert: 07.11.2008 18:37:24
Wohnort: 50°36'23.99"N / 12°10'20.66"E

Re: openVPN Script Installation FORWARDING

Beitrag von orcape » 16.03.2020 14:21:48

Hi,
wie sieht Deine OpenVPN-Server.conf aus? Hast Du dort einen "push route" Eintrag auf das interne LAN drin?
Gruß orcape

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: openVPN Script Installation FORWARDING

Beitrag von joe2017 » 16.03.2020 14:27:41

Hi und anbei meine config

Code: Alles auswählen

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS x.x.x.x"
push "dhcp-option DNS x.x.x.x"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve secp384r1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_qBwCu405diacZ9IhySU.crt
key server_qBwCu405diacZ9IhySU.key
auth SHA384
cipher AES-256-GCM
ncp-ciphers AES-256-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
status /var/log/openvpn/status.log
verb 3
Und hier die aktuelle Firewall Config.

Code: Alles auswählen

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
15753 2345K ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194
  812 66680 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
14392 1426K ACCEPT     all  --  tun0   eth0    0.0.0.0/0            0.0.0.0/0
10502   15M ACCEPT     all  --  eth0   tun0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  *      tun0    0.0.0.0/0            0.0.0.0/0            udp spt:1194 state ESTABLISHED
 1044  654K ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp spt:1194 state ESTABLISHED
  200 44877 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:3389
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1058 63858 MASQUERADE  all  --  *     eth0    10.8.0.0/24          0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Natürlich wird das später alles nachgeschärft. Ist aktuell nur ein Test.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: openVPN Script Installation FORWARDING

Beitrag von joe2017 » 16.03.2020 16:42:48

Eine Rückroute in den jeweiligen Internet Routern (Bsp. FritzBox) kann ich auch nicht eintragen.
Ich weiß ja nicht in welchem Netz sich ein Client befindet. Hierbei handelt es sich um Homeoffice Plätze welche mit Ihrer Privaten Internetverbindung eine Verbindung aufbauen.

Somit muss ich das Routing in der Server/Client Config einstellen können.

Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: openVPN Script Installation FORWARDING

Beitrag von DynaBlaster » 16.03.2020 20:30:42

Code: Alles auswählen

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1058 63858 MASQUERADE  all  --  *     eth0    10.8.0.0/24          0.0.0.0/0
Hier wird das VPN-Transfernetz auf die öffentliche IP genattet, also ins Internet auf die öffentliche IP 22.22.22.22. Ich vermute mal, das der VPN-Server nicht das Standard-Gateway für die Rechner im Netz 192.168.1.0/24 ist, denn sonst müsste der Zugriff von einem eingewählten VPN-Client nach 192.168.1.x klappen - vorausgesetzt der Client wählt sich selbst ein und erhält ne IP 10.8.0.x. Wenn das nen Site-to-Site-Setup ist das ne andere Geschichte, dann gehts nur mir Rückrouten oder halt Nat auf dem VPN-Server.

Wenn 192.168.1.0/24-Clients nen anderes Standard-Gateway nutzen, müsste ne Route auf diesem Gateway nach 10.8.0.0/24 via 192.168.1.1 reichen - was die sauberste Lösung wäre.

Wenn's NAT sein muss, dann sowas hier

Code: Alles auswählen

iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -d 192.168.1.0/24 -o eth1 -j SNAT --to 192.168.1.1
Syntax ist ggf. nicht korrekt, aber ich denke, es wird klar, wo die Reise hingehen soll. Ersetze bei allen Paketen aus den VPN-Netz die Source-IP durch 192.168.1.1 und schicke den Kram weiter.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: openVPN Script Installation FORWARDING

Beitrag von joe2017 » 24.03.2020 15:55:52

Hallo zusammen und Danke für eure Mithilfe!
Ich hatte leider die letzten Tage etwas Stress was Ihr sicherlich verstehen könnt.

Ich wollte euch noch mitteilen wo der Fehler lag. Das push route in der Server Config hat irgendwie nicht funktioniert.
Nachdem ich die Route in der Client Config und ein Masquerade am Server für mein Netz eingetragen hatte, hat alles bestens funktioniert.

Danke für eure Tipps. Die haben mir weitergeholfen. :THX:

Antworten