3
IPTABLES Problem mit OpenVPN
Hallo!
Ich will zu Testzwecken unser "Testnetzwerk" mit einem Accesspoint ausstatten. Mit OVPN möchte ich das ganze etwas sicherer gestalten und will NUR Clients in mein LAN passieren lassen, wenn sich diese via ovpn authentifiziert haben. Also der Debian Rechner soll routen könnnen.
Zuerst möchte ich das ganze aber "Kabelgebunden" also via Ethernet testen und später den WLAN AP implementieren.
Testnetz 192.168.10.0/24
Nun habe ich einen Debian Rechner mit zwei NIC installiert.
Eth0 (192.168.10.131) Eth1 (192.168.2.1)
OpenVPN ist auf dem Deb. Rechner installiert und auf einem Laptop mit Win XP ebenfalls.
Der Laptop ist über einen Switch an die eth1 angebunden. (später erst wlan)
Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.
Mit folgender Konfig können ALLE in das Netz:
Iptables ?A FORWARD
Iptables ?A POSTROUTING ?t nat ?j MASQUERADE
IPV4 aktivieren:
echo 1 > /proc/sys/net/ipv4/ip_forward
(Das VPN wird über den Port 5000 UPD aufgebaut )
Hat jemand einen guten Tipp für mich?
Ich danke Euch schonmal !
Gruß Philipp
Ich will zu Testzwecken unser "Testnetzwerk" mit einem Accesspoint ausstatten. Mit OVPN möchte ich das ganze etwas sicherer gestalten und will NUR Clients in mein LAN passieren lassen, wenn sich diese via ovpn authentifiziert haben. Also der Debian Rechner soll routen könnnen.
Zuerst möchte ich das ganze aber "Kabelgebunden" also via Ethernet testen und später den WLAN AP implementieren.
Testnetz 192.168.10.0/24
Nun habe ich einen Debian Rechner mit zwei NIC installiert.
Eth0 (192.168.10.131) Eth1 (192.168.2.1)
OpenVPN ist auf dem Deb. Rechner installiert und auf einem Laptop mit Win XP ebenfalls.
Der Laptop ist über einen Switch an die eth1 angebunden. (später erst wlan)
Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.
Mit folgender Konfig können ALLE in das Netz:
Iptables ?A FORWARD
Iptables ?A POSTROUTING ?t nat ?j MASQUERADE
IPV4 aktivieren:
echo 1 > /proc/sys/net/ipv4/ip_forward
(Das VPN wird über den Port 5000 UPD aufgebaut )
Hat jemand einen guten Tipp für mich?
Ich danke Euch schonmal !
Gruß Philipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28870
Url: https://administrator.de/contentid/28870
Printed on: April 23, 2024 at 15:04 o'clock
3 Comments
Latest comment
Hallo
Vielleicht kannst du hier die Infos rausziehen die du brauchst.
Das Script hab ich so ähnlich in Produktion, allerdings bissi verändert, soll nur beispielhaft sein...
#Initialisieren alter Regeln
iptables -F -v
iptables -F -t nat -v
iptables -X
#Forwarding erlauben
echo 1 > /proc/sys/net/ipv4/ip_forward
#Module in den Kernel laden
modprobe ip-tables
modprobe iptable_nat
modprobe ipt_LOG
#Alles wird per default verworfen (einkommend, ausgehend, durchgehend)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Interfaces / Netze definieren
inside="192.168.10.0/24"
localhost="127.0.0.1"
outside="172.56.5.0/24"
#Lokale Prozesse
iptables -A OUTPUT -s $localhost -j ACCEPT
iptables -A INPUT -s $localhost -j ACCEPT
#Regeln, die Geschlechts- und Daten-Verkehr fuers Netz erlauben
iptables -A INPUT -i eth0 -p ip -s $outside -d $inside -j ACCEPT
iptables -A OUTPUT -p ip -s $inside -j ACCEPT
#Neue Verbindungen
#iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Folgende Regeln wurden etabliert:"
iptables -L -n
firewall ausschalten mit:
iptables -F -v
iptables -F -t nat -v
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Gruss
Vielleicht kannst du hier die Infos rausziehen die du brauchst.
Das Script hab ich so ähnlich in Produktion, allerdings bissi verändert, soll nur beispielhaft sein...
#Initialisieren alter Regeln
iptables -F -v
iptables -F -t nat -v
iptables -X
#Forwarding erlauben
echo 1 > /proc/sys/net/ipv4/ip_forward
#Module in den Kernel laden
modprobe ip-tables
modprobe iptable_nat
modprobe ipt_LOG
#Alles wird per default verworfen (einkommend, ausgehend, durchgehend)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Interfaces / Netze definieren
inside="192.168.10.0/24"
localhost="127.0.0.1"
outside="172.56.5.0/24"
#Lokale Prozesse
iptables -A OUTPUT -s $localhost -j ACCEPT
iptables -A INPUT -s $localhost -j ACCEPT
#Regeln, die Geschlechts- und Daten-Verkehr fuers Netz erlauben
iptables -A INPUT -i eth0 -p ip -s $outside -d $inside -j ACCEPT
iptables -A OUTPUT -p ip -s $inside -j ACCEPT
#Neue Verbindungen
#iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Folgende Regeln wurden etabliert:"
iptables -L -n
firewall ausschalten mit:
iptables -F -v
iptables -F -t nat -v
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Gruss
Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.
Es gibt imho keine Möglichkeit, iptables beizubringen, nur bereits authentifizierte User in's Netz zu routen.
Aber da erst nach erfolgreicher Authentifizierung über IPSec eine Nutzung des VPN-Tunnels möglich ist, reicht es, wenn Du Port 500 (ESP) routest.
Gruss
Stefan
Mein Abschnitt über OpenVPN auf meinem OpenWRT Router
sieht so aus:
iptables -A INPUT -i $WIFI -j DROP
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE
Grüße
Holgi
sieht so aus:
- Nur OpenVPN-Pakete über reale IP annehmen:
iptables -A INPUT -i $WIFI -j DROP
- Nur OpenVPN-Pakete über reale IP senden:
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP
- Kommunikation über Tunnel erlauben:
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE
Grüße
Holgi
