ghost-in-the-shell
Goto Top

OpenVPN unter FLI4L, Portweiterleitung auf den VPN-Client

Hallo Liebe Community,

ich bin ganz neu hier und hab auch direkt eine Frage die ungefähr den gleichen Schwierigkeitsgrad hat, wie eine Paranuß mit zwei Zahnstochern zu öffen :? Wer jetzt Angst bekommen hat, ließt besser nicht weiter :D

Die Gegebenheiten:

1. Ein FLI4L-Router an einem DSL Anschluss von T-Online (im Moment zu Testzwecken 1MBit, später 100MBit Glasfaser)

2. Ein paar Rechner hinter dem FLI4L Router auf die ich später zugreifen möchte (das hab ich schon hinbekommen).

3. Mein Laptop verbunden über eine DFÜ-Verbindung im GPRS/EDGE/UMTS bzw. HSDPA-Netz von Vodafone (Moobicent Flatrate).

4. Diverse Spieleserver oder z.B. mein FTP-Server der von außen Erreichbar sein soll. (Nein die Server müssen auf dem Laptop laufen und können nicht auf einem der Rechner hinter dem FLI4L installiert werden, das geht zwar, soll aber nicht so sein...)

Mein Problem:

Ich bekomme es nicht fertig von außen über den FLI4L zu meinem Laptop der ja über openVPN mit diesen verbunden ist, einen meiner Server anzusprechen. Quasi werden die Ports nicht richtig, bzw gar nicht weiter geleitet.

Evtl. relevante Auszüge aus den FLI4L-Configs:

"base.txt":  
...
#------------------------------------------------------------------------------
# Ether networks used with IP protocol:
#------------------------------------------------------------------------------
IP_NET_N='1'                   # number of IP ethernet networks, usually 1  
IP_NET_1='192.168.2.1/24'      # IP address of your n'th ethernet card and  
                               # netmask in CIDR (no. of set bits)
IP_NET_1_DEV='eth0'            # required: device name like ethX  

#------------------------------------------------------------------------------
# Additional routes, optional
#------------------------------------------------------------------------------
IP_ROUTE_N='1'                                              # number of additional routes  
IP_ROUTE_1='192.168.200.0/24 192.168.2.1'     # network/netmaskbits gateway  
IP_ROUTE_2='0.0.0.0/0 192.168.2.99'                # example for default-route  
...
PF_NEW_CONFIG='yes'                                     # new style packet filter config: yes/no  

    PF_INPUT_POLICY='REJECT'                          # be nice and use reject as policy  
    PF_INPUT_ACCEPT_DEF='yes'                       # use default rule set  
    PF_INPUT_LOG='no'                                     # don't log anything  
    PF_INPUT_LOG_LIMIT='3/minute:5'               # log 3 events per minute; allow a  
                                                                      # burst of 5 events
    PF_INPUT_REJ_LIMIT='1/second:5'                # reject 1 connection per second; allow  
                                                                      # a burst of 5 events; otherwise
                                                                      # drop packet
    PF_INPUT_UDP_REJ_LIMIT='1/second:5'        # reject 1 udp packet per second; allow  
                                                                      # a burst of 5 events; otherwise drop
                                                                      # packet
    PF_INPUT_N='3'  
    PF_INPUT_1='IP_NET_1 ACCEPT'                  # allow all hosts in the local  
                                                                      # network access to the router
    PF_INPUT_2='IP_ROUTE_1 ACCEPT'              # drop (or reject) samba access  
    PF_INPUT_2_COMMENT='VPN Traffic erlaubt'  # without logging, otherwise  
    PF_INPUT_3='22 ACCEPT BIDIRECTIONAL'    # the log file will be filled  
                                                                      # with useless entries

    PF_FORWARD_POLICY='REJECT'                   # be nice and use reject as policy  
    PF_FORWARD_ACCEPT_DEF='yes'                # use default rule set  
    PF_FORWARD_LOG='no'                               # don't log anything  
    PF_FORWARD_LOG_LIMIT='3/minute:5'         # log 3 events per minute; allow a  
                                                                      # burst of 5 events
    PF_FORWARD_REJ_LIMIT='1/second:5'          # reject 1 connection per second; allow  
                                                                      # a burst of 5 events; otherwise
                                                                       # drop packet
    PF_FORWARD_UDP_REJ_LIMIT='1/second:5'   # reject 1 udp packet per second;  
                                                                      # allow a burst of 5 events;
                                                                      # otherwise drop packet
    PF_FORWARD_N='3'  
    PF_FORWARD_1='tmpl:samba DROP'             # drop samba traffic if it tries  
                                        # to leave the subnet
    PF_FORWARD_2='IP_NET_1 ACCEPT'                             # accept everything else  
    PF_FORWARD_3='IP_ROUTE_1 ACCEPT BIDIRECTIONAL'  

    PF_POSTROUTING_N='1'  
    PF_POSTROUTING_1='IP_NET_1 MASQUERADE'              # masquerade traffic leaving  
    PF_POSTROUTING_2='IP_ROUTE_1 MASQUERADE'          # the subnet  
                                            

    PF_PREROUTING_N='0'  
    PF_PREROUTING_1='22 ACCEPT'  

    PF_USR_CHAIN_N='0'  

Ende "base.txt"  

"proxy.txt"  
...
#------------------------------------------------------------------------------
# Optional package: SS5 (Generic Socks proxy)
#------------------------------------------------------------------------------
OPT_SS5='yes'                                              # install ss5 sock4/5 proxy  
    SS5_LISTEN_N='1'                                     # number off interfaces to listen on  
    SS5_LISTEN_1='IP_NET_1_IPADDR:8050'  

    SS5_ALLOW_N='1'                                      # open firewall for hosts and networks  
    SS5_ALLOW_1='IP_NET_1'  

Ende "proxy.txt"  

"openvpn.txt"  
...
##-----------------------------------------------------------------------------
## OPT_OPENVPN - used only if OPT_OPENVPN='yes' 
##-----------------------------------------------------------------------------

OPT_OPENVPN='yes'          # 'yes' or 'no' it's your choice  

OPENVPN_FEATURES='full'    # The OpenVPN daemon is really big. To allow using  
                          # OpenVPN with a floppy you can choose between 3
                          # different OpenVPN daemons with different chipers,
                          # digests and TLS support.

OPENVPN_WEBGUI='yes'	  # install a web gui to start/stop/control openvpn  

OPENVPN_N='1'             # number of openvpn configurations  

OPENVPN_1_NAME='Tunnel'  
OPENVPN_1_LOCAL_PORT='10000'  
OPENVPN_1_SECRET='key.secret'  
OPENVPN_1_TYPE='tunnel'  
OPENVPN_1_REMOTE_VPN_IP='192.168.200.2'  
OPENVPN_1_LOCAL_VPN_IP='192.168.200.1'  
OPENVPN_1_ROUTE_N='0'  
OPENVPN_1_PF_FORWARD_N='1'  
OPENVPN_1_PF_FORWARD_1='ACCEPT'  
OPENVPN_1_PF_INPUT_N='1'  
OPENVPN_1_PF_INPUT_1='if:VPNDEV:any 0.0.0.0/0 ACCEPT'  

Ende "openvpn.txt"  
Ein kleines Bild zur Veranschaulichung meines Problems:
(Bitte habt Nachsicht, ich hatte in Kunst immer ne vier :cry: )

Und jetzt viel Spaß beim rätseln und helfen. Selbstverständlich sind auch aktive Beteiligungen, sprich Eingriff ins Netzwerk, soweit es der Problemlösung dient willkommen. Ich bin sicher kein Genie auf dem Gebiet, aber auch der einäugige ist König unter den Blinden und auch der brauch mal ein zweites oder drittes Auge 8)
Schon mal vielen Dank im voraus.
Das Bild: Klick mich

Content-Key: 85600

Url: https://administrator.de/contentid/85600

Ausgedruckt am: 28.03.2024 um 07:03 Uhr

Mitglied: aqui
aqui 16.04.2008 um 08:52:42 Uhr
Goto Top
Ports werden da auch nicht weitergeleitet. Der FLI4L terminiert ja die OpenVPN Session bzw. den Open VPN Tunnel und leitet dann alle daten transparent ins lokale LAN. Ports muss man bei einem OpenVPN Konzept niemals weiterleiten !! Da hast du wohl was falsch verstanden zum Thema VPN.
Wahrscheinlich genauso wie bei deiner Paranuss, denn dort nimmt man auch keine Zahnstocher sondern einen anständigen Nussknacker !!! Dann klappt das auch...

Hier kannst du ganz genau nachlesen wie man dein Problem elegant löst:

http://www.arnowelzel.de/wiki/fli4l/openvpn
Mitglied: aqui
aqui 19.04.2008 um 12:08:10 Uhr
Goto Top
Über einen Proxy dürfte das in der Tat nicht funktionieren. Das klappt nur bei normalem Routing via NAT so wie es der Fli4L ja auch in Natura macht... !