6
IP tables bei LANCOM-Router VPN
Ich möchte für meine VPN-Clients den LAN/WAN-Zugriff erlauben.
Der VPN-Server ist bei mir separat im Netzwerk, also NICHT der Standard-Gateway (LANCOM-Router).
Der Standard-Gateway/Router hat die IP 192.168.2.1.
Die LAN-Clients haben die IP 192.168.2.0/24.
Die VPN-Clients erhalten die IP-Adresse 10.8.0.x.
Nun muss ich den Traffic vom VPN-Subnet 10.8.0.x ins LAN (192.168.2.0/24) und wieder zurück erlauben. Dazu möchte ich folgende Einstellungen vornehmen:
iptables -I FORWARD -i tun0 -o eth0 \
-s 10.8.0.0/24 -d 192.168.2.0/24 \
-m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED \
-j ACCEPT
Wer kann mir für einen LANCOM-Router sagen, wo/wie ich diese IP tables konfigurieren kann? Über die Weboberfläche habe ich die Einstellungsmöglichkeit nicht gefunden.
Der VPN-Server ist bei mir separat im Netzwerk, also NICHT der Standard-Gateway (LANCOM-Router).
Der Standard-Gateway/Router hat die IP 192.168.2.1.
Die LAN-Clients haben die IP 192.168.2.0/24.
Die VPN-Clients erhalten die IP-Adresse 10.8.0.x.
Nun muss ich den Traffic vom VPN-Subnet 10.8.0.x ins LAN (192.168.2.0/24) und wieder zurück erlauben. Dazu möchte ich folgende Einstellungen vornehmen:
iptables -I FORWARD -i tun0 -o eth0 \
-s 10.8.0.0/24 -d 192.168.2.0/24 \
-m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED \
-j ACCEPT
Wer kann mir für einen LANCOM-Router sagen, wo/wie ich diese IP tables konfigurieren kann? Über die Weboberfläche habe ich die Einstellungsmöglichkeit nicht gefunden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 594833
Url: https://administrator.de/contentid/594833
Printed on: May 7, 2024 at 04:05 o'clock
6 Comments
Latest comment
IP Tables ist eine reine Linuxsache und LANCOM-Router haben mit Linux so viel zu tun, wie ein Weizenbrötchen mit einer Bahnschiene.
Willst du normales Routing betreiben oder was ist dein Ziel? LANCOM-Router sind in erster Linie Router und keine Firewalls, daher ist erstmal alles erlaubt, außer man verbietet es über die integrierte Firewall. Dadurch benötigt man, wenn die Firewall nicht bereits verändert wurde, die entsprechenden Routen in der Routingtabelle.
Willst du normales Routing betreiben oder was ist dein Ziel? LANCOM-Router sind in erster Linie Router und keine Firewalls, daher ist erstmal alles erlaubt, außer man verbietet es über die integrierte Firewall. Dadurch benötigt man, wenn die Firewall nicht bereits verändert wurde, die entsprechenden Routen in der Routingtabelle.
Mein Ziel ist, den VPN-Clients LAN/WAN-Zugriff zu gewähren.
Ich komme bisher von extern nur auf den VPN-Server selbst, erreiche aber nicht andere Geräte in dem LAN.
In der Firewall fahre ich eine "DENY-ALL"-Strategie.
Wo finde ich denn die Routingtabelle, von der du sprichst, und was trage ich dort ein?
Ich komme bisher von extern nur auf den VPN-Server selbst, erreiche aber nicht andere Geräte in dem LAN.
In der Firewall fahre ich eine "DENY-ALL"-Strategie.
Wo finde ich denn die Routingtabelle, von der du sprichst, und was trage ich dort ein?
Die Routingtabelle ist unter IP-Router und da trägst du dann das Subnetz deines VPN mit der entsprechenden Subnetzmaske und der IP-Adresse des Routers, der dafür zuständig ist (vermutlich dein VPN-Ding), ein. Maskierung aus. Auf deinem VPN-Ding dann entweder eine Default-Route auf den LANCOM oder nur das LAN-Subnetz.
Ich werde das gleich mal ausprobieren. Aber eine Frage zum Verständnis.
Mit dem Eintrag im LANCOM (d.h. Subnetz VPN und IP-Adresse des 'VPN-Dings' als Router) lege ich ja nur die Route für Pakete vom LAN zum VPN-Client fest.
Muss im LANCOM nicht noch eine Route für Pakete vom VPN-Subnetz zum LAN eingerichtet werden?
Mit dem Eintrag im LANCOM (d.h. Subnetz VPN und IP-Adresse des 'VPN-Dings' als Router) lege ich ja nur die Route für Pakete vom LAN zum VPN-Client fest.
Muss im LANCOM nicht noch eine Route für Pakete vom VPN-Subnetz zum LAN eingerichtet werden?
Nein, muss nicht, weil der LANCOM sein eigenes Netz kennt. Man stellt ja auch keine Straßenschilder auf, die am Ziel stehen und auf das Ziel zeigen.
... Routingbasics ...
... Routingbasics ...
Danke, es hat funktioniert, indem ich die eine einzige Route eingetragen habe.
Bin gerade dabei, die Routingbasics aufzubauen.
Falls jemand an dem gleichen Punkt ist: Mein VPN-Server hatte eine eigene Firewall. Die muss auch den Traffic ins LAN lassen. Also daher die VPN-Server-Firewall für die VPN-Clients öffnen.
Bin gerade dabei, die Routingbasics aufzubauen.
Falls jemand an dem gleichen Punkt ist: Mein VPN-Server hatte eine eigene Firewall. Die muss auch den Traffic ins LAN lassen. Also daher die VPN-Server-Firewall für die VPN-Clients öffnen.
