Openvpn Routing in beide richtungen
Guten Abend,
Ih brauche mal einen Rat, da ich gerade einen Denkfehler habe.
Meinen Raspberry nutze ich als Openvpn Gateway um auf die VMs die auf meinem Dedicated Server liegen in einem eigenen Netz zuzugreifen.
Dabei möchte ich von dem Server Netz auch Zugriff auf mein Heimnetz haben, da ich noch eine NAS Zuhause habe.
Mein Aufbau sieht wie folgt aus :
Openvpn Server hat zwei Adressen:
Mittels client-config-dir habe ich dem PI eine Statische Adresse gegeben.
Auf dem Client habe ich die Route der gegenstelle eingesetz.
Die Firewallregeln auf dem Server
Also ohne NAT.
Die Entsprechende Route liegt ja schon an.
Firewallregeln auf Raspberry
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -s 10.210.13.0/24 -j MASQUERADE
ICh komme von Server --> Raspberry in mein Heim Netz
ICh kann das Netz von Raspberry --> Server Netz
Aber ich kann nicht von Heimnetz ins Server Netz.
Eine Statische route habe ich in dem Router für das Netz 10.210.13.0/24 eingetragen mit dem Gateway Raspberry.
IP Forwarding ist auch aktiviert.
Die Route 10.210.13.0'/24 habe ich in der Client Config eingetragen.
Doch ich vermute es macht wenig Sinn mit NAT auf einer Seite und ohne NAT auf der anderen Seite zu arbeiten.
Wie bekomme ich das Sauber hin ? Irgendwo habe ich einen Denkfehler.
Vielen Dank
Ih brauche mal einen Rat, da ich gerade einen Denkfehler habe.
Meinen Raspberry nutze ich als Openvpn Gateway um auf die VMs die auf meinem Dedicated Server liegen in einem eigenen Netz zuzugreifen.
Dabei möchte ich von dem Server Netz auch Zugriff auf mein Heimnetz haben, da ich noch eine NAS Zuhause habe.
Mein Aufbau sieht wie folgt aus :
Openvpn Server hat zwei Adressen:
virbr1 : 10.210.13.1/24
tun0 : 10.194.22.1/24
Mittels client-config-dir habe ich dem PI eine Statische Adresse gegeben.
ifconfig-push 10.194.22.50 255.255.255.0
iroute 10.211.14.0 255.255.255.0
route 10.210.13.0/24
Die Firewallregeln auf dem Server
iptables -I FORWARD -i virbr1 -o tun0 -s 10.210.13.0/24 -d 10.211.14.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun0 -o virbr1 -s 10.211.14.0/24 -d 10.210.13.0/24 -m conntrack --ctstate NEW -j ACCEPT
Die Entsprechende Route liegt ja schon an.
Firewallregeln auf Raspberry
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -s 10.210.13.0/24 -j MASQUERADE
ICh komme von Server --> Raspberry in mein Heim Netz
ICh kann das Netz von Raspberry --> Server Netz
Aber ich kann nicht von Heimnetz ins Server Netz.
Eine Statische route habe ich in dem Router für das Netz 10.210.13.0/24 eingetragen mit dem Gateway Raspberry.
IP Forwarding ist auch aktiviert.
Die Route 10.210.13.0'/24 habe ich in der Client Config eingetragen.
Doch ich vermute es macht wenig Sinn mit NAT auf einer Seite und ohne NAT auf der anderen Seite zu arbeiten.
Wie bekomme ich das Sauber hin ? Irgendwo habe ich einen Denkfehler.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 383923
Url: https://administrator.de/contentid/383923
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
3 Kommentare
Neuester Kommentar
Doch ich vermute es macht wenig Sinn mit NAT auf einer Seite und ohne NAT auf der anderen Seite zu arbeiten.
Ja, da hast du Recht. NAT im internen Netzwerk zu machen ist vollkommener Blödsinn und muss nicht sein. Schafft nur mehr Probleme.Nochmal die Fakten:
- Der Raspberry mit dem OVPN Server liegt in deinem lokalen Netz ?
- Der dedicated Server ist wo ? Internet Hoster oder auch bei dir im lokalen Netz ?
Dabei möchte ich von dem Server Netz auch Zugriff auf mein Heimnetz haben
Wenn der RasPi im Heimnetz liegt ist das eigentlich Default, denn der schickt ja mit "push route x.y.z.0" die Heimnetz Route automatisch an den Client.Soll vom Client das lokale Netz auch an den OVPN Server bekannt gemacht werden muss in die Client Konfig das "route" oder "ip route" Kommando.
Hier hilft immer die Routing Tabelle sowohl des Clients als auch des Servers weiter ob die korrekt ist.
netstat -r -n bei Linux und route print bei Winblows.
Die zeigt dir genau was wohin geroutet wird wenn das VPN aktiv ist.
Dein Internet Router im Heimnetz muss 2 statische Routen haben:
- Einmal die ins OVPN Netz
- Einmal die ins Netz was hinter dem OVPN Client ist.
ip route 10.210.0.0 255.254.0.0 <lokale_ip_adresse_ovpn_server>
Das routet dir dann alle Netze von 10.210.0.0 bis 10.211.0.0 auf den OVPN Server.
Ebenso hilfreich wäre mal ein Traceroute auf die Zielsysteme.
Traceroute zeigt dir die Routing Hops einzeln an. Da siehst du dann immer gleich wo es hängt. Dort wo es hängt ist meist auch der (Routing) Fehler !