OpenVPN port forwarding iptables

Gemeinsam ins Internet mit Firewall und Proxy.
DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 28.01.2020 19:03:13

mat6937 hat geschrieben: ↑ zum Beitrag ↑
28.01.2020 17:55:28
Mit welchem Tool hast Du den UDP-Portscan gemacht?

Versuch mal mit einem TCP-Portscan, denn das ist einfacher und hier im Test nicht relevant (ob TCP oder UDP).
https://www.ipfingerprints.com/portscan.php
habe damit gescannt, funktioniert aber, das ist nicht das problem

habe grade nochmal mit tcp gescannt, ist aber auch nichts angekommen

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 09:31:01

DJannik hat geschrieben: ↑ zum Beitrag ↑
28.01.2020 19:03:13
habe grade nochmal mit tcp gescannt, ist aber auch nichts angekommen
Wie stellst Du fest, dass nichts ankommt? Über das Web-Tool oder schaust Du an "vorderster Stelle" mit einem dafür geeigneten Tool auf deinem Windows-PC, nach? Kannst Du im VPN-Server (tun0-Interface) nachschauen, ob dort während des TCP-Scans, Datenpakete durch gereicht werden?

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 11:11:54

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 09:31:01
Wie stellst Du fest, dass nichts ankommt? Über das Web-Tool oder schaust Du an "vorderster Stelle" mit einem dafür geeigneten Tool auf deinem Windows-PC, nach? Kannst Du im VPN-Server (tun0-Interface) nachschauen, ob dort während des TCP-Scans, Datenpakete durch gereicht werden?
Ja, habe direkt auf dem Client nachgeschaut. Habe jetzt grade am tun0 Interface gecaptured, da werden die Pakete auf jeden Fall zu 10.8.0.2 weitergereicht.
Das heißt jetzt muss ich nur noch rausfinden, warum die auf dem Client nicht ankommen. Vielleicht wird ja auch der Port geändert aber eigentlich sollte das auskommentierte "nobind" in der Client-config genau das verhindern, wenn mich nicht alles täuscht. An der Firewall kann es auch nicht liegen, die hab ich nämlich gestern extra zum Testen deaktiviert.

Habe grad beim Googlen noch was gefunden von wegen POSTROUTING im nat-table mit SNAT, aber das würde ja nur Pakete betreffen die den Server dann wieder verlassen oder?

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 11:34:33

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 11:11:54
Ja, habe direkt auf dem Client nachgeschaut. Habe jetzt grade am tun0 Interface gecaptured, da werden die Pakete auf jeden Fall zu 10.8.0.2 weitergereicht.
Das heißt jetzt muss ich nur noch rausfinden, warum die auf dem Client nicht ankommen.
Naja, die Datenpakete kommen auf dem Client schon an, denn die 10.8.0.2 (tun0) ist doch auf dem Client, oder?

Der Client (Windows-PC) leitet diese nur nicht weiter an den lauschenden Dienst (daemon).

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 14:40:25

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 11:34:33
Naja, die Datenpakete kommen auf dem Client schon an, denn die 10.8.0.2 (tun0) ist doch auf dem Client, oder?
Der Client (Windows-PC) leitet diese nur nicht weiter an den lauschenden Dienst (daemon).
Ich bin ein Stück weitergekommen, die Pakete kommen auf dem Client an, du hast Recht, nur nicht auf dem ursprünglichen Port, sondern auf einem ganz anderen.
Habe gestern nur den einen Port gecaptured aber dann macht das auch Sinn. Fast alle Anfragen werden am Clienten zwischen Port 50000-60000 verarbeitet, die Zuweisung scheint zufällig zu erfolgen. Die Ursache dafür liegt aber am OVPNServer, das bestätigt ein Capturing auf dem Server.
Ich muss OVPN also dazu bringen, die gleichen Ports zu verwenden, wenn das geschafft ist, ist alles gut.

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 14:51:52

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 14:40:25
Fast alle Anfragen werden am Clienten zwischen Port 50000-60000 verarbeitet, die Zuweisung scheint zufällig zu erfolgen. Die Ursache dafür liegt aber am OVPNServer, das bestätigt ein Capturing auf dem Server.
Ich muss OVPN also dazu bringen, die gleichen Ports zu verwenden, wenn das geschafft ist, ist alles gut.
Das verstehe ich nicht. Geht es evtl. um einen source-Port (mit dem tun-Interface) auf deinem Client, weil Du schreibst, zwischen 50000 und 60000.
Du hast doch auf deinem Client einen bestimmten (definierten) lauschenden Port konfiguriert? Warum kann dieser lauschende Port auf dem Client, vom Server aus nicht erreicht werden?

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 16:09:59

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 14:51:52
Das verstehe ich nicht. Geht es evtl. um einen source-Port (mit dem tun-Interface) auf deinem Client, weil Du schreibst, zwischen 50000 und 60000.
Du hast doch auf deinem Client einen bestimmten (definierten) lauschenden Port konfiguriert? Warum kann dieser lauschende Port auf dem Client, vom Server aus nicht erreicht werden?
Bei den randomizten Ports waren viele fortlaufend, könnte gut sein dass das ein Sicherheits-Feature ist. Und das hatte nichts mit dem Portscan oder sonst was zu tun, ich hab einfach ein bisschen Traffic produziert und der meiste ist eben über diese Portrange gelaufen, Remote Ports waren natürlich die entsprechenden Service-Ports.

Ich konnte es noch nicht ausprobieren, aber vielleicht ist "setenv FORWARD_COMPATIBLE 1" meine Lösung, bin mir nicht sicher ob die Option das oder etwas anderes bewirkt.
Werde das aber auch noch mit den Optionen --bind und --local testen, vielleicht hilft ja was davon.

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 17:24:05

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 16:09:59
..., aber vielleicht ist "setenv FORWARD_COMPATIBLE 1" meine Lösung, bin mir nicht sicher ob die Option das oder etwas anderes bewirkt.
Wo setzt Du diese Option? Ich denke dein Windows-PC wird das Problem sein, denn wenn Server und Client als OS Linux haben, wird diese Option nicht benötigt.

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 17:45:13

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 17:24:05
Wo setzt Du diese Option? Ich denke dein Windows-PC wird das Problem sein, denn wenn Server und Client als OS Linux haben, wird diese Option nicht benötigt.
kann man in der client-config setzen, aber war auch ohne Erfolg
--bind und --local waren auch ohne Erfolg :?

https://s19.directupload.net/images/200129/2qqlgf3r.png
der markierte ist ein portscan auf tcp 27015, kommt aber eben nicht auf port 27015 an

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 18:00:38

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 17:45:13
der markierte ist ein portscan auf tcp 27015, kommt aber eben nicht auf port 27015 an
Wenn der Portscan nicht ankommt, dann kann man doch auch nicht sagen, dass ein bestimmter Portscan (hier auf tcp 27015) auf einem anderen Port (der markierte) ankommt. Wie hast Du festgestellt, dass der Markierte für den destination-Port 27015 bestimmt war? Wenn doch, was sollte/könnte die Datenpakete auf den anderen (markierten) Port umgeleitet haben?

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:06:55

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:00:38
Wenn der Portscan nicht ankommt, dann kann man doch auch nicht sagen, dass ein bestimmter Portscan (hier auf tcp 27015) auf einem anderen Port (der markierte) ankommt. Wie hast Du festgestellt, dass der Markierte für den destination-Port 27015 bestimmt war? Wenn doch, was sollte/könnte die Datenpakete auf den anderen (markierten) Port umgeleitet haben?
Doch doch, dass der Portscan ankommt hab ich schon vor ein paar Beiträgen geschrieben
Port 27015 wird eben bis zu 10.8.0.2 auf meinem Server weitergereicht, aber auf meinem Client landet er random zwischen 50000-60000

Ich hab eben nur den einen Port gescannt und weiß das die IP der Portscan ist

Gibt keine Anhaltspunkte warum das so ist, mit Konfigurationen meinerseits hats jedenfalls nix zu tun, es landen ja wie gesagt und wie du auch sehen kannst fast alle Pakete lokal in dieser Range.

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 18:12:13

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:06:55
Port 27015 wird eben bis zu 10.8.0.2 auf meinem Server weitergereicht, ...
In deinem 1. Beitrag hast Du geschrieben, dass der Client die IP-Adresse 10.8.0.2 hat. Jetzt schreibst Du, dass der Server diese IP-Adresse hat?

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:16:10

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:12:13
In deinem 1. Beitrag hast Du geschrieben, dass der Client die IP-Adresse 10.8.0.2 hat. Jetzt schreibst Du, dass der Server diese IP-Adresse hat?
Das Paket wird ja auf meinem Server durch iptables von ens3/public ip nach 10.8.0.2 übergeben, stimmt schon alles so, war vielleicht ein komischer satzbau
Client-IP ist 10.8.0.2, hat sich nichts geändert

mat6937
Beiträge: 1526
Registriert: 09.12.2014 10:44:00

Re: OpenVPN port forwarding iptables

Beitrag von mat6937 » 29.01.2020 18:26:25

DJannik hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:16:10

Das Paket wird ja auf meinem Server durch iptables von ens3/public ip nach 10.8.0.2 übergeben, stimmt schon alles so,
Wenn Du eine DNAT-Regel dafür benutzt, hast Du dort auch den dst.-Port angegeben? Z. B. so:

Code: Alles auswählen

... -j DNAT --to-destination 10.8.0.2:27015
?

DJannik
Beiträge: 15
Registriert: 13.06.2016 18:13:09

Re: OpenVPN port forwarding iptables

Beitrag von DJannik » 29.01.2020 18:29:12

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.01.2020 18:26:25
Wenn Du eine DNAT-Regel dafür benutzt, hast Du dort auch den dst.-Port angegeben?
Hab ich genau so gemacht

Code: Alles auswählen

iptables -t nat -A PREROUTING -i ens3 -p udp --dport 27015 -j DNAT --to-destination 10.8.0.2:27015
Wird auch weitergegeben (Portscan / Capture an tun0)

Code: Alles auswählen

18:30:23.730644 IP (tos 0x0, ttl 51, id 24877, offset 0, flags [DF], proto TCP (6), length 48)
    ec-s2.easterncraft.net.45226 > 10.8.0.2.27015: Flags [S], cksum 0xd2b0 (correct), seq 1042516778, win 29200, options [mss 1460,nop,nop,sackOK], length 0

Antworten