fundave3
Goto Top

Port Forwarding durch openvpn Tunnel

Hallo Zusammen und ein gutes neues JAhr,

Ich habe über die Feiertage einen RPI4 angeschafft und mein Monitoring darauf installiert.
Dummerweise habe ich ja bei Unitymedia einen DS-Lite keine eigene IPv4 Adresse.
Also habe ich den PI ,schon aufgrund des Monitorings in den VPN Tunnel gehängt.
Ich möchte nun für Management Zwecke eine Port Weiterleitung von der öffentlichen IPv4 Adresse der PFsense durch den Tunnel auf die interne Tunnel IP des PIs machen.
Problem an der Stelle macht aktuell noch das NAT.


Also -- Public pfsense IP -- > Tunnel --> VPN IP des RPIs


Der PI hat seine default route standardmäßig über den DS-Lite Anschluss liegen.
Heißt , wenn ich durch den Tunnel das Port Forward aktiviere, funktioniert das auch.
Mittels tcpdump sehe ich auch, dass etwas am PI ankommt. Hier sehe ich allerdings die öffentliche Absende IP Adresse.
Die Antwort für das Paket schickt der PI also über die default Route.
Wenn ich redirect Route mache, geht das natürlich. Das geht natürlich auf die Performance.


Ich benötige also vollständige NAT diese Regel , bzw den Tunnel.

Hat jemand eine Idee, wie ich das am besten baue ?

Vielen Dank


Christian

Content-ID: 531432

Url: https://administrator.de/contentid/531432

Ausgedruckt am: 05.11.2024 um 12:11 Uhr

142232
142232 04.01.2020 aktualisiert um 14:26:53 Uhr
Goto Top
Mach in der Postrouting Chain für die Pakete die an den PI gehen einfach noch ein SRC-NAT auf die pfSense IP, fertsch.
aqui
aqui 04.01.2020 aktualisiert um 18:18:39 Uhr
Goto Top
Ich möchte nun für Management Zwecke eine Port Weiterleitung von der öffentlichen IPv4 Adresse der PFsense
Bei einem DS-Lite Anschluss hast du keine öffentliche IP Adresse !
Deshalb scheitert ein VPN, egal welcher Art, grundsätzlich bei DS-Lite, jedenfalls wenn die DS-Lite Seite VPN Responder ist. Das kann technisch nicht gehen, jedenfalls nicht mit IPv4 !
Deine o.a. Beschreibung ist so oberflächlich und lückenhaft das man ohne freies Raten nicht sinnvoll und zielführend darauf antworten kann. face-sad
Gerade der Punkt wie dein VPN realisiert ist und welcher Art das VPN ist erfordert erstmal eine Kristallkugel....
LordGurke
LordGurke 04.01.2020 um 18:57:13 Uhr
Goto Top
@aqui, der Tunnel steht doch und wie der TO schreibt, wird der per OpenVPN vom Raspberry zur pfSense aufgebaut.
Steht alles da. Wichtig ist nur: Der Tunnel steht bereits und es fließt Traffic darüber.
Das Problem des TO ist nur, dass Traffic, welcher über den Tunnel hereinkommt aufgrund der Defaultroute über einen falschen Weg beantwortet wird.
Da hat @142232 schon angedeutet, was man dagegen tun kann, damit der Traffic symmetrisch läuft und über korrekten Weg beantwortet wird.
aqui
aqui 05.01.2020 um 00:11:59 Uhr
Goto Top
OK, sorry, überlesen ! My fault...!
Gut, das mit der Route ist ja in 3 Minuten korrigiert. Hier steht wie es geht auf dem RasPi:
Clientverbindung OpenVPN Mikrotik
fundave3
fundave3 05.01.2020 aktualisiert um 18:07:29 Uhr
Goto Top
Ahhhh das sieht doch schon mal besser aus.

Perfekt. Vielen Dank

Schade das ich das nicht direkt in der Port Freigabe definieren kann.
Aber eine Regel mehr ist auch nicht schlimm.

@aqui die Geschichte mit dem NAT ist wohl richtig.
Ein Openvpn funktioniert da allerdings problemlos.
IPsec nun ja, das ist so eine Sache. Da gebe ich dir recht. Das klappt nicht ganz so richtig.
Aktuell bin ich aber am überlegen, alles über IPv6 zu machen.


VG

Christian