ueba3ba
Goto Top

Debain VPN mit Securepoint S2S SSL-Client - Traffic umleiten

Hallo allerseits.

Mit der Anleitung vom Andy:

https://www.andysblog.de/securepoint-utm-site-to-site-ssl-vpn-mit-debian ...

habe ich eine VPN Verbindung auf meinen vServer bei Ionos mit der RC100 von Securepoint herstellen können.
Die UTM verbindet sich als S2S-Client mit dem vServer auf dem openvpn installiert ist.

Die UTM läuft in einer HyperV Umgebung auf meinem Lokalen Rechner.

ETH0 von der UTM hat via DHCP eine Adresse von meiner Fritte bekommen.
192.168.178.24

Die UTM wurde in der FritzBox als Exposed-Host eingetragen.

Auserdem läuft noch eine Windows Server 2022 Instanz auf dem HyperV, die mit dem zweiten vSwitch(nur Intern)
verbunden ist. Als Server-Rolle ist der IIS installiert,

Die Server 2022 Instanz hat die IP: 192.168.175.254

Die VPN Verbindung wurde erfolgreich hergestellt und ein Ping vom vServer zum Win 2022 Server
funktioniert super.

Jetzt möchte ich den Traffic, der am vServer an Port 80 ankommt durch den Tunnel zum Win 2022 Server umleiten.

Habe ich am vServer so konfiguriert:

iptables -t nat -A PREROUTING -i ens192 -p tcp --dport 80 -j DNAT --to-destination 192.168.175.254:80 

Rufe ich die IP des vServers im Browser ab, sollte sich eigentlich der IIS melden. Es passiert aber nichts.

Der vServer soll später alle SMTP Anfragen an ein Proxmox Mailgateway senden.


An alle VPN Profis: Habe ich etwas falsch gemacht oder etwas vergessen??
utm3
utm2
utm1

Content-ID: 4998053098

Url: https://administrator.de/forum/debain-vpn-mit-securepoint-s2s-ssl-client-traffic-umleiten-4998053098.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

aqui
aqui 17.12.2022 aktualisiert um 18:24:54 Uhr
Goto Top
Das Problem wird sein das der IIs bzw. dessen VM als Default Gateway den lokalen Router eingetragen hat. Als Absender IPs kommen ja öffentliche IP Adressen via OVPN Tunnel bei ihm an und die Rückroute wird dann sehr wahrscheinlich nicht über den VPN Tunnel zurück zum vServer gesendet sondern über den lokalen Router ins Internet zum Absender. Der IIs "weiss" ja nicht das er diesen Traffic auch via VPN Tunnel zurück routen muss und forwardet ihn schlicht und einfach aufs lokale Gateway.
Der sendende TCP 80 Client dort "sieht" dann das sein TCP 80 Paket mit einer ganz anderen Absender IP zurückkommt (lokaler Internet Router statt vServer) und verwirft sofort diese Session mit dem Ergebnis was du siehst.

Diese Problematik und seine einfache Lösung ist in diesem Thread umfassend beschrieben worden!
Hier eine ähnliche Problematik mit Wireguard Tunnel.
Ueba3ba
Ueba3ba 17.12.2022 um 18:24:29 Uhr
Goto Top
Vieln Dank aqui. Schau ich direkt mal an.
aqui
aqui 17.12.2022 um 18:25:50 Uhr
Goto Top
Wie immer sind tcpdump und/oder Wireshark hier deine besten Freunde. 😉
Ueba3ba
Lösung Ueba3ba 17.12.2022 um 18:48:06 Uhr
Goto Top
Danke aqui, nach dem mir tcpdump keine Ausgabe auf Port 80 lieferte, hab ich doch mal in den Firewall Einstellungen des vServers auf der Ionos Seite geschaut. Dort musste ich feststellen das Port 80 nicht freigegeben war.

Hab dort Port 80 freigegeben und siehe da:

Der IIS ist erreichbar, Traffic wird korrekt durch meinen VPN Tunnel zu dem Win 2022 Server umgeleitet.

Ich werde demnächst ein HowTo verfassen: Feste IP mit vServer
Oder so ähnlich werde ich das HowTo nennen.

Es geht mir einfach darum, einen Mail Server betreiben zu können ohne Business DSL Anschluss mit fester IP.

Wird glaub ich für viele Leute interesant sein.

Hab ja jetzt 2 Wochen Urlaub.

Schöne Weihnachten wünsche ich allen und einen guten Rutsch ins neue Jahr.
utm4
michi1983
michi1983 17.12.2022 um 19:32:51 Uhr
Goto Top
Hallo,

dann bitte doch den Thread als gelöst markierenn und schönen Urlaub.

Wie kann ich einen Beitrag als gelöst markieren?

Gruß
aqui
aqui 18.12.2022 aktualisiert um 00:08:12 Uhr
Goto Top
Feste IP mit vServer
Du meinst wenn man Opfer eines das hier?!
Ueba3ba
Ueba3ba 20.12.2022 um 00:15:21 Uhr
Goto Top
Ja genau. Bin leider Opfer von DS-Lite geworden. Konnte ich nun mit einem vServer, VPN und Traffic Umleiten umgehen.
aqui
aqui 20.12.2022 um 11:18:07 Uhr
Goto Top
Bin leider Opfer von DS-Lite geworden.
Das "wird" man ja nicht einfach sondern entscheidet sich bewusst und frei für solche Verträge und muss dann natürlich auch mit den bekannten Konsequenzen leben... 😉
Ueba3ba
Ueba3ba 20.12.2022 um 18:00:51 Uhr
Goto Top
Ich habe nicht darum gebeten. Mein DSL Vertrag existiert schon seit 8 Jahren. Ich rief beim Provider an. Es wurde vom Provider über Nacht auf DS-Lite umgestellt ohne das ich etwas davon wusste. Begründung: IP Adressen Knappheit. Man könnte es auch nicht mehr rückgängig machen.
aqui
aqui 20.12.2022 aktualisiert um 20:01:31 Uhr
Goto Top
Es wurde vom Provider über Nacht auf DS-Lite umgestellt ohne das ich etwas davon wusste.
Hört sich stark nach Vodkafön an. Das ist genau deren Taktik. Wenn man dort vehement protestiert gegen diese Umstellung (und damit einer einseitigen Änderung der Vetragsbedingungen) machen die das in der Regel sofort rückgängig.
Die fahren da eine Salami Taktik. Einfach machen und nur bei Nörgelkunden die Rolle rückwärts.
Von 1000 Kunden merken 998 das eh nicht! Taktik geht also vermutlich auf.