Debian > Docker > Ubuntu Container > VPN Client > IP nicht übernommen

[bivvo]

Hallo zusammen,

ich hab Ubuntu in einem Docker-Container auf Debian laufen, um über diesen eine VPN-Verbindung anderen Docker-Containern zur Verfügung zu stellen.

Die VPN-Verbindung über OpenVPN zu meinem externen NAS funktioniert, aber: der VPN Client, also der Ubuntu container, erhält keine IP aus dem „fremden“ Netzwerk - er hat die lokale von Debian.

Daher schätze ich, dass die OpenVPN-Konfiguration im noch nicht ganz rund ist. Das Web war dabei bisher wenig behilflich.

Wie bekomme ich eine "remote" IP des OpenVPN-Server-Standorts zugewiesen?

Die VPN *.ovpn Konfiguration sieht so aus:

Code: Alles auswählen

dev tun
tls-client
remote xxx.synology.me 1194
dhcp-option DNS 1.1.1.1
pull
proto tcp-client
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
...

Beim VPN Server ist jeweils hier ein Häkchen gesetzt:

X) Komprimierung auf der VPN-Verknüpfung verwenden
X) Clients den Server-LAN-Zugriff erlauben

[bivvo]

Ich hab mittlerweile rausgefunden, dass mit folgender, aktivierter Einstellung die "fremd-IP" zugewiesen wird:

Code: Alles auswählen

redirect-gateway def1

Was nicht funktioniert, ist das Port-Forwarding über das VPN. Dazu folgender Versuch, der aber keinen Erfolg brachte:

Code: Alles auswählen

iptables -t nat -A PREROUTING -d <CONTAINERIP> -p tcp --dport 57280 -j DNAT --to-dest 10.8.0.6:57280
iptables -t filter -A INPUT -p tcp -d 10.8.0.6 --dport 57280 -j ACCEPT

Vermutlich ist CONTAINERIP nicht korrekt hier. Außerdem wird das Ganze ja nicht dauerhaft funktionieren, wenn die IPs sich täglich erneuern und/oder die interne VPN-IP 10.8.0.6 sich ändert, weil eine neue VPN-Verbindung hergestellt wird.
Hmm.

[bivvo]

OpenVPN output:

Code: Alles auswählen

root@84a97a88bd00:/# openvpn --config /mnt/vpn/VPNConfig.ovpn --auth-user-pass /mnt/vpn/auth.conf
Tue Feb 15 10:29:43 2022 OpenVPN 2.4.7 aarch64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Tue Feb 15 10:29:43 2022 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Tue Feb 15 10:29:43 2022 TCP/UDP: Preserving recently used remote address: [AF_INET]87.xxx.xxx.134:1194
Tue Feb 15 10:29:43 2022 Attempting to establish TCP connection with [AF_INET]87.xxx.xxx.134:1194 [nonblock]
Tue Feb 15 10:29:44 2022 TCP connection established with [AF_INET]87.xxx.xxx.134:1194
Tue Feb 15 10:29:44 2022 TCP_CLIENT link local: (not bound)
Tue Feb 15 10:29:44 2022 TCP_CLIENT link remote: [AF_INET]87.xxx.xxx.134:1194
Tue Feb 15 10:29:45 2022 [***.synology.me] Peer Connection Initiated with [AF_INET]87.xxx.xxx.134:1194
Tue Feb 15 10:29:46 2022 TUN/TAP device tun0 opened
Tue Feb 15 10:29:46 2022 /sbin/ip link set dev tun0 up mtu 1500
Tue Feb 15 10:29:46 2022 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Tue Feb 15 10:29:46 2022 Initialization Sequence Completed

IP-Tables Einstellungen:

Code: Alles auswählen

iptables -t nat -A POSTROUTING --out-interface tun0 -j MASQUERADE
iptables -A FORWARD --in-interface venet0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i venet0 -m tcp --dport 57280 -j DNAT --to-destination 10.8.0.6:57280
iptables -t nat -A PREROUTING -p tcp -i venet0 -m tcp --dport 57282 -j DNAT --to-destination 10.8.0.6:57282

Hat noch nichts gebracht. Kann jemand helfen?