legofrau
Goto Top

Standard Gateway umbiegen

Guten Tag,
ich habe eine etwas dumme Frage aber aus der Notwendigkeit heraus Frage ich trotzdem.
Ich habe das Problem das ich ein Geräte hinter einem OPEN VPN fähigen Linux Router habe auf dem das Standard Gateway falsch eingestellt ist.
Gibt es eine Möglichkeit das ich durch einen Trick auch ohne der richtigen Einstellung auf diesen Gerät aus dem Vpn raus zugreifen kann? Irgendwie dem Gerät vorgauckeln das es Trafik aus dem Lokalennetz ist?

Danke für die Hilfe

Content-ID: 7207068825

Url: https://administrator.de/contentid/7207068825

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 18.05.2023 um 17:31:36 Uhr
Goto Top
Moin,

Verbinde dich vom vpnrouter heraus auf das Gerät oder mache NAT.

lks
aqui
aqui 18.05.2023 aktualisiert um 19:41:00 Uhr
Goto Top
Kollege @lks hat Recht. Mache mit iptables oder nftables Source NAT (Masquerade) auf dem Linux Rechner über das lokale ethx LAN Interface.
So "merken" die lokalen Rechner auf die du zugreifen willst nicht das du aus einem fremden IP Netz kommst, da du bei ihnen mit der lokalen Absender IP des Linux LAN Interfaces auftauchst. face-wink
Damit trägst du dann eine feste statische Route auf das interne OpenVPN IP Netz im Default Gateway ein und fertig ist der Lack! face-wink
Alle Details dazu stehen im OpenVPN Tutorial.
MirkoKR
MirkoKR 18.05.2023 um 20:50:57 Uhr
Goto Top
Hi.
Anders gesagt: wenn z.B. per Shell auf den Linux-Router kommst, verbinde dich von da weiter ....
Legofrau
Legofrau 18.05.2023 um 20:59:36 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Verbinde dich vom vpnrouter heraus auf das Gerät oder mache NAT.

lks

Guten Abend,
wie kann ich mich über den vpnrouter auf das Gerät verbinden? wie meinst du das?

Zitat von @aqui:

Kollege @lks hat Recht. Mache mit iptables oder nftables Source NAT (Masquerade) auf dem Linux Rechner über das lokale ethx LAN Interface.
So "merken" die lokalen Rechner auf die du zugreifen willst nicht das du aus einem fremden IP Netz kommst, da du bei ihnen mit der lokalen Absender IP des Linux LAN Interfaces auftauchst. face-wink
Damit trägst du dann eine feste statische Route auf das interne OpenVPN IP Netz im Default Gateway ein und fertig ist der Lack! face-wink
Alle Details dazu stehen im OpenVPN Tutorial.

Klingt genau nach dem was ich brauche. Ich habe in dem von Dir verlinkten Artikel aber leider über Source NAT (Masquerade) nichts gefunden.
Bist du so nett und erklärst mir wie ich das anstelle?
Danke für die Hilfe.
Wünsche Euch beiden noch einen schönen Feiertag.
Liebe Grüße
Lochkartenstanzer
Lochkartenstanzer 18.05.2023 um 21:14:09 Uhr
Goto Top
Zitat von @Legofrau:

Zitat von @Lochkartenstanzer:

Moin,

Verbinde dich vom vpnrouter heraus auf das Gerät oder mache NAT.

lks

Guten Abend,
wie kann ich mich über den vpnrouter auf das Gerät verbinden? wie meinst du das?


z.B. per ssh und von dort aus dann weiter, z.B. per Portforwarding oder direkt per ssh weiter. Aber du müßtest einmal genauer darlegen, welcher Art denn die Verbindung sein soll.

lks
Legofrau
Legofrau 19.05.2023 aktualisiert um 13:22:48 Uhr
Goto Top
Guten Morgen,
ich habe mir gerade die aktuelle Einstellung der iptables aus dem Router ausgelesen.
Und ich blicke wie das Schwein ins Uhrwerk🤔.
root@Teltonika-RUT950:~# iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N forwarding_gre_rule
-N forwarding_hotspot_rule
-N forwarding_l2tp_rule
-N forwarding_lan_rule
-N forwarding_lan_test_rule
-N forwarding_pptp_rule
-N forwarding_rule
-N forwarding_sstp_rule
-N forwarding_vpn_rule
-N forwarding_wan_rule
-N input_gre_rule
-N input_hotspot_rule
-N input_l2tp_rule
-N input_lan_rule
-N input_lan_test_rule
-N input_pptp_rule
-N input_rule
-N input_sstp_rule
-N input_vpn_rule
-N input_wan_rule
-N output_gre_rule
-N output_hotspot_rule
-N output_l2tp_rule
-N output_lan_rule
-N output_lan_test_rule
-N output_pptp_rule
-N output_rule
-N output_sstp_rule
-N output_vpn_rule
-N output_wan_rule
-N reject
-N syn_flood
-N zone_gre_dest_ACCEPT
-N zone_gre_dest_REJECT
-N zone_gre_forward
-N zone_gre_input
-N zone_gre_output
-N zone_gre_src_ACCEPT
-N zone_gre_src_REJECT
-N zone_hotspot_dest_ACCEPT
-N zone_hotspot_dest_REJECT
-N zone_hotspot_forward
-N zone_hotspot_input
-N zone_hotspot_output
-N zone_hotspot_src_REJECT
-N zone_l2tp_dest_ACCEPT
-N zone_l2tp_dest_REJECT
-N zone_l2tp_forward
-N zone_l2tp_input
-N zone_l2tp_output
-N zone_l2tp_src_ACCEPT
-N zone_l2tp_src_REJECT
-N zone_lan_dest_ACCEPT
-N zone_lan_forward
-N zone_lan_input
-N zone_lan_output
-N zone_lan_src_ACCEPT
-N zone_lan_test_dest_ACCEPT
-N zone_lan_test_dest_REJECT
-N zone_lan_test_forward
-N zone_lan_test_input
-N zone_lan_test_output
-N zone_lan_test_src_ACCEPT
-N zone_lan_test_src_REJECT
-N zone_pptp_dest_ACCEPT
-N zone_pptp_dest_REJECT
-N zone_pptp_forward
-N zone_pptp_input
-N zone_pptp_output
-N zone_pptp_src_ACCEPT
-N zone_pptp_src_REJECT
-N zone_sstp_dest_ACCEPT
-N zone_sstp_dest_REJECT
-N zone_sstp_forward
-N zone_sstp_input
-N zone_sstp_output
-N zone_sstp_src_REJECT
-N zone_vpn_dest_ACCEPT
-N zone_vpn_dest_REJECT
-N zone_vpn_forward
-N zone_vpn_input
-N zone_vpn_output
-N zone_vpn_src_ACCEPT
-N zone_vpn_src_REJECT
-N zone_wan_dest_ACCEPT
-N zone_wan_dest_REJECT
-N zone_wan_forward
-N zone_wan_input
-N zone_wan_output
-N zone_wan_src_REJECT
-A INPUT -i lo -m comment --comment "!fw3" -j ACCEPT  
-A INPUT -m comment --comment "!fw3: user chain for input" -j input_rule  
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT  
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m comment --comment "!fw3" -j syn_flood  
-A INPUT -i br-lan -m comment --comment "!fw3" -j zone_lan_input  
-A INPUT -i eth1 -m comment --comment "!fw3" -j zone_wan_input  
-A INPUT -i wlan0 -m comment --comment "!fw3" -j zone_wan_input  
-A INPUT -i wwan0 -m comment --comment "!fw3" -j zone_wan_input  
-A INPUT -i tun_+ -m comment --comment "!fw3" -j zone_vpn_input  
-A INPUT -i l2tp+ -m comment --comment "!fw3" -j zone_l2tp_input  
-A INPUT -i ppp+ -m comment --comment "!fw3" -j zone_l2tp_input  
-A INPUT -i pptp+ -m comment --comment "!fw3" -j zone_pptp_input  
-A INPUT -i gre+ -m comment --comment "!fw3" -j zone_gre_input  
-A INPUT -i tun0 -m comment --comment "!fw3" -j zone_hotspot_input  
-A INPUT -i tun1 -m comment --comment "!fw3" -j zone_hotspot_input  
-A INPUT -i tun2 -m comment --comment "!fw3" -j zone_hotspot_input  
-A INPUT -i tun3 -m comment --comment "!fw3" -j zone_hotspot_input  
-A INPUT -i sstp-+ -m comment --comment "!fw3" -j zone_sstp_input  
-A INPUT -i brl-lan -m comment --comment "!fw3" -j zone_lan_test_input  
-A FORWARD -m comment --comment "!fw3: user chain for forwarding" -j forwarding_rule  
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT  
-A FORWARD -i br-lan -m comment --comment "!fw3" -j zone_lan_forward  
-A FORWARD -i eth1 -m comment --comment "!fw3" -j zone_wan_forward  
-A FORWARD -i wlan0 -m comment --comment "!fw3" -j zone_wan_forward  
-A FORWARD -i wwan0 -m comment --comment "!fw3" -j zone_wan_forward  
-A FORWARD -i tun_+ -m comment --comment "!fw3" -j zone_vpn_forward  
-A FORWARD -i l2tp+ -m comment --comment "!fw3" -j zone_l2tp_forward  
-A FORWARD -i ppp+ -m comment --comment "!fw3" -j zone_l2tp_forward  
-A FORWARD -i pptp+ -m comment --comment "!fw3" -j zone_pptp_forward  
-A FORWARD -i gre+ -m comment --comment "!fw3" -j zone_gre_forward  
-A FORWARD -i tun0 -m comment --comment "!fw3" -j zone_hotspot_forward  
-A FORWARD -i tun1 -m comment --comment "!fw3" -j zone_hotspot_forward  
-A FORWARD -i tun2 -m comment --comment "!fw3" -j zone_hotspot_forward  
-A FORWARD -i tun3 -m comment --comment "!fw3" -j zone_hotspot_forward  
-A FORWARD -i sstp-+ -m comment --comment "!fw3" -j zone_sstp_forward  
-A FORWARD -i brl-lan -m comment --comment "!fw3" -j zone_lan_test_forward  
-A FORWARD -m comment --comment "!fw3" -j reject  
-A OUTPUT -o lo -m comment --comment "!fw3" -j ACCEPT  
-A OUTPUT -m comment --comment "!fw3: user chain for output" -j output_rule  
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT  
-A OUTPUT -o br-lan -m comment --comment "!fw3" -j zone_lan_output  
-A OUTPUT -o eth1 -m comment --comment "!fw3" -j zone_wan_output  
-A OUTPUT -o wlan0 -m comment --comment "!fw3" -j zone_wan_output  
-A OUTPUT -o wwan0 -m comment --comment "!fw3" -j zone_wan_output  
-A OUTPUT -o tun_+ -m comment --comment "!fw3" -j zone_vpn_output  
-A OUTPUT -o l2tp+ -m comment --comment "!fw3" -j zone_l2tp_output  
-A OUTPUT -o ppp+ -m comment --comment "!fw3" -j zone_l2tp_output  
-A OUTPUT -o pptp+ -m comment --comment "!fw3" -j zone_pptp_output  
-A OUTPUT -o gre+ -m comment --comment "!fw3" -j zone_gre_output  
-A OUTPUT -o tun0 -m comment --comment "!fw3" -j zone_hotspot_output  
-A OUTPUT -o tun1 -m comment --comment "!fw3" -j zone_hotspot_output  
-A OUTPUT -o tun2 -m comment --comment "!fw3" -j zone_hotspot_output  
-A OUTPUT -o tun3 -m comment --comment "!fw3" -j zone_hotspot_output  
-A OUTPUT -o sstp-+ -m comment --comment "!fw3" -j zone_sstp_output  
-A OUTPUT -o brl-lan -m comment --comment "!fw3" -j zone_lan_test_output  
-A reject -p tcp -m comment --comment "!fw3" -j REJECT --reject-with tcp-reset  
-A reject -m comment --comment "!fw3" -j REJECT --reject-with icmp-port-unreachable  
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -m comment --comment "!fw3" -j RETURN  
-A syn_flood -m comment --comment "!fw3" -j DROP  
-A zone_gre_dest_ACCEPT -o gre+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_gre_dest_REJECT -o gre+ -m comment --comment "!fw3" -j reject  
-A zone_gre_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_gre_rule  
-A zone_gre_forward -m comment --comment "!fw3: forwarding gre -> lan" -j zone_lan_dest_ACCEPT  
-A zone_gre_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_gre_forward -m comment --comment "!fw3" -j zone_gre_src_REJECT  
-A zone_gre_input -m comment --comment "!fw3: user chain for input" -j input_gre_rule  
-A zone_gre_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_gre_input -m comment --comment "!fw3" -j zone_gre_src_ACCEPT  
-A zone_gre_output -m comment --comment "!fw3: user chain for output" -j output_gre_rule  
-A zone_gre_output -m comment --comment "!fw3" -j zone_gre_dest_ACCEPT  
-A zone_gre_src_ACCEPT -i gre+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_gre_src_REJECT -i gre+ -m comment --comment "!fw3" -j reject  
-A zone_hotspot_dest_ACCEPT -o tun0 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_hotspot_dest_ACCEPT -o tun1 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_hotspot_dest_ACCEPT -o tun2 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_hotspot_dest_ACCEPT -o tun3 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_hotspot_dest_REJECT -o tun0 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_dest_REJECT -o tun1 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_dest_REJECT -o tun2 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_dest_REJECT -o tun3 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_hotspot_rule  
-A zone_hotspot_forward -m comment --comment "!fw3: forwarding hotspot -> wan" -j zone_wan_dest_ACCEPT  
-A zone_hotspot_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_hotspot_forward -m comment --comment "!fw3" -j zone_hotspot_src_REJECT  
-A zone_hotspot_input -m comment --comment "!fw3: user chain for input" -j input_hotspot_rule  
-A zone_hotspot_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_hotspot_input -m comment --comment "!fw3" -j zone_hotspot_src_REJECT  
-A zone_hotspot_output -m comment --comment "!fw3: user chain for output" -j output_hotspot_rule  
-A zone_hotspot_output -m comment --comment "!fw3" -j zone_hotspot_dest_ACCEPT  
-A zone_hotspot_src_REJECT -i tun0 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_src_REJECT -i tun1 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_src_REJECT -i tun2 -m comment --comment "!fw3" -j reject  
-A zone_hotspot_src_REJECT -i tun3 -m comment --comment "!fw3" -j reject  
-A zone_l2tp_dest_ACCEPT -o l2tp+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_l2tp_dest_ACCEPT -o ppp+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_l2tp_dest_REJECT -o l2tp+ -m comment --comment "!fw3" -j reject  
-A zone_l2tp_dest_REJECT -o ppp+ -m comment --comment "!fw3" -j reject  
-A zone_l2tp_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_l2tp_rule  
-A zone_l2tp_forward -m comment --comment "!fw3: forwarding l2tp -> lan" -j zone_lan_dest_ACCEPT  
-A zone_l2tp_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_l2tp_forward -m comment --comment "!fw3" -j zone_l2tp_src_REJECT  
-A zone_l2tp_input -m comment --comment "!fw3: user chain for input" -j input_l2tp_rule  
-A zone_l2tp_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_l2tp_input -m comment --comment "!fw3" -j zone_l2tp_src_ACCEPT  
-A zone_l2tp_output -m comment --comment "!fw3: user chain for output" -j output_l2tp_rule  
-A zone_l2tp_output -m comment --comment "!fw3" -j zone_l2tp_dest_ACCEPT  
-A zone_l2tp_src_ACCEPT -i l2tp+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_l2tp_src_ACCEPT -i ppp+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_l2tp_src_REJECT -i l2tp+ -m comment --comment "!fw3" -j reject  
-A zone_l2tp_src_REJECT -i ppp+ -m comment --comment "!fw3" -j reject  
-A zone_lan_dest_ACCEPT -o br-lan -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_lan_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_lan_rule  
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_lan_forward -m comment --comment "!fw3" -j zone_lan_src_ACCEPT  
-A zone_lan_input -m comment --comment "!fw3: user chain for input" -j input_lan_rule  
-A zone_lan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_lan_input -m comment --comment "!fw3" -j zone_lan_src_ACCEPT  
-A zone_lan_output -m comment --comment "!fw3: user chain for output" -j output_lan_rule  
-A zone_lan_output -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT  
-A zone_lan_src_ACCEPT -i br-lan -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_lan_test_dest_ACCEPT -o brl-lan -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_lan_test_dest_REJECT -o brl-lan -m comment --comment "!fw3" -j reject  
-A zone_lan_test_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_lan_test_rule  
-A zone_lan_test_forward -m comment --comment "!fw3: forwarding lan_test -> wan" -j zone_wan_dest_ACCEPT  
-A zone_lan_test_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_lan_test_forward -m comment --comment "!fw3" -j zone_lan_test_src_REJECT  
-A zone_lan_test_input -m comment --comment "!fw3: user chain for input" -j input_lan_test_rule  
-A zone_lan_test_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_lan_test_input -m comment --comment "!fw3" -j zone_lan_test_src_ACCEPT  
-A zone_lan_test_output -m comment --comment "!fw3: user chain for output" -j output_lan_test_rule  
-A zone_lan_test_output -m comment --comment "!fw3" -j zone_lan_test_dest_ACCEPT  
-A zone_lan_test_src_ACCEPT -i brl-lan -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_lan_test_src_REJECT -i brl-lan -m comment --comment "!fw3" -j reject  
-A zone_pptp_dest_ACCEPT -o pptp+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_pptp_dest_REJECT -o pptp+ -m comment --comment "!fw3" -j reject  
-A zone_pptp_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_pptp_rule  
-A zone_pptp_forward -m comment --comment "!fw3: forwarding pptp -> lan" -j zone_lan_dest_ACCEPT  
-A zone_pptp_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_pptp_forward -m comment --comment "!fw3" -j zone_pptp_src_REJECT  
-A zone_pptp_input -m comment --comment "!fw3: user chain for input" -j input_pptp_rule  
-A zone_pptp_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_pptp_input -m comment --comment "!fw3" -j zone_pptp_src_ACCEPT  
-A zone_pptp_output -m comment --comment "!fw3: user chain for output" -j output_pptp_rule  
-A zone_pptp_output -m comment --comment "!fw3" -j zone_pptp_dest_ACCEPT  
-A zone_pptp_src_ACCEPT -i pptp+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_pptp_src_REJECT -i pptp+ -m comment --comment "!fw3" -j reject  
-A zone_sstp_dest_ACCEPT -o sstp-+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_sstp_dest_REJECT -o sstp-+ -m comment --comment "!fw3" -j reject  
-A zone_sstp_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_sstp_rule  
-A zone_sstp_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_sstp_forward -m comment --comment "!fw3" -j zone_sstp_src_REJECT  
-A zone_sstp_input -m comment --comment "!fw3: user chain for input" -j input_sstp_rule  
-A zone_sstp_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_sstp_input -m comment --comment "!fw3" -j zone_sstp_src_REJECT  
-A zone_sstp_output -m comment --comment "!fw3: user chain for output" -j output_sstp_rule  
-A zone_sstp_output -m comment --comment "!fw3" -j zone_sstp_dest_ACCEPT  
-A zone_sstp_src_REJECT -i sstp-+ -m comment --comment "!fw3" -j reject  
-A zone_vpn_dest_ACCEPT -o tun_+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_vpn_dest_REJECT -o tun_+ -m comment --comment "!fw3" -j reject  
-A zone_vpn_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_vpn_rule  
-A zone_vpn_forward -m comment --comment "!fw3: forwarding vpn -> lan" -j zone_lan_dest_ACCEPT  
-A zone_vpn_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_vpn_forward -m comment --comment "!fw3" -j zone_vpn_src_REJECT  
-A zone_vpn_input -m comment --comment "!fw3: user chain for input" -j input_vpn_rule  
-A zone_vpn_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_vpn_input -m comment --comment "!fw3" -j zone_vpn_src_ACCEPT  
-A zone_vpn_output -m comment --comment "!fw3: user chain for output" -j output_vpn_rule  
-A zone_vpn_output -m comment --comment "!fw3" -j zone_vpn_dest_ACCEPT  
-A zone_vpn_src_ACCEPT -i tun_+ -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_vpn_src_REJECT -i tun_+ -m comment --comment "!fw3" -j reject  
-A zone_wan_dest_ACCEPT -o eth1 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_wan_dest_ACCEPT -o wlan0 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_wan_dest_ACCEPT -o wwan0 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT  
-A zone_wan_dest_REJECT -o eth1 -m comment --comment "!fw3" -j reject  
-A zone_wan_dest_REJECT -o wlan0 -m comment --comment "!fw3" -j reject  
-A zone_wan_dest_REJECT -o wwan0 -m comment --comment "!fw3" -j reject  
-A zone_wan_forward -m comment --comment "!fw3: user chain for forwarding" -j forwarding_wan_rule  
-A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_wan_forward -m comment --comment "!fw3" -j zone_wan_src_REJECT  
-A zone_wan_input -m comment --comment "!fw3: user chain for input" -j input_wan_rule  
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment "!fw3: Allow-DHCP-Renew" -j ACCEPT  
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment "!fw3: Allow-Ping" -j ACCEPT  
-A zone_wan_input -p tcp -m tcp --dport 443 -m comment --comment "!fw3: Allow-vpn-traffic" -j ACCEPT  
-A zone_wan_input -p udp -m udp --dport 443 -m comment --comment "!fw3: Allow-vpn-traffic" -j ACCEPT  
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_wan_input -m comment --comment "!fw3" -j zone_wan_src_REJECT  
-A zone_wan_output -m comment --comment "!fw3: user chain for output" -j output_wan_rule  
-A zone_wan_output -m comment --comment "!fw3" -j zone_wan_dest_ACCEPT  
-A zone_wan_src_REJECT -i eth1 -m comment --comment "!fw3" -j reject  
-A zone_wan_src_REJECT -i wlan0 -m comment --comment "!fw3" -j reject  
-A zone_wan_src_REJECT -i wwan0 -m comment --comment "!fw3" -j reject  
Ich habe etwas gegoogelt und habe diesen Befehl gefunden.
iptables -t nat -A POSTROUTING -s <internes_netzwerk> -o <externes_interface> -j MASQUERADE
kann aber leider nicht verstehen was ich damit soll.
habe in der Gui auch diese Einstellungen gefunden.
fire
könnte auch das helfen?
@aqui oder @Lochkartenstanzer könnt ihr mir bitte etwas weiter helfen?
Natürlich auch jeder andere der etwas weiß

Vielen lieben Dank für Eure Unterstützung.
aqui
aqui 19.05.2023 aktualisiert um 16:23:54 Uhr
Goto Top
erklärst mir wie ich das anstelle?
WAS nutzt du denn auf deinem VPN Linux Router?? iptables oder nftables??
Wenn es ein aktuelles Debian ist (Bullseye) dann macht Debian nur noch nftables.
Ein Masquerading konfiguriert man dann so:
https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Add ...
Für die älteren iptables so:
HIER kannst du dir das einmal im Detail an einem einfachen Praxisbeispiel mit einem Linux Host als IKEv2 VPN Server für alle onboard VPN Clients ansehen wie das genau auszusehen hat!

Das Allereinfachste wird sicher sein wie es der Kollege @MirkoKR oben schon gesagt hast die machst eine Shell Connection (PuTTY etc.) auf dein Linux System auf sofern du zugriff darauf hast.
Von dort aus verbindest du dich dann auf die Systeme im lokalen Netz. Da der Linux Router ja auch eine lokale IP Adresse in dem Netz hast klappt das fehlerlos.
Von Linux Host/Router kannst du dann auf dem dortigen Internet Router bzw. den Default Gateway der dortigen Endgeräte (oder den Endgeräten selber) eine feste, statische Route ins OpenVPN Netz einrichten und kommst auch ganz ohne NAT zu einer schnellen Lösung.
Die NAT/ Masquerading Lösung brauchst du nur wenn das ein Dauerzustand bleiben soll ohne statische Route ins OpenVPN Netz.
Legofrau
Legofrau 20.05.2023 um 09:32:48 Uhr
Goto Top
Guten Morgen,
Zitat von @aqui:

erklärst mir wie ich das anstelle?
WAS nutzt du denn auf deinem VPN Linux Router?? iptables oder nftables??
Wie oben ersichtlich nutze ich iptables
Wenn es ein aktuelles Debian ist (Bullseye) dann macht Debian nur noch nftables.
Ein Masquerading konfiguriert man dann so:
https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Add ...
Für die älteren iptables so:
HIER kannst du dir das einmal im Detail an einem einfachen Praxisbeispiel mit einem Linux Host als IKEv2 VPN Server für alle onboard VPN Clients ansehen wie das genau auszusehen hat!

Das Allereinfachste wird sicher sein wie es der Kollege @MirkoKR oben schon gesagt hast die machst eine Shell Connection (PuTTY etc.) auf dein Linux System auf sofern du zugriff darauf hast.
Von dort aus verbindest du dich dann auf die Systeme im lokalen Netz. Da der Linux Router ja auch eine lokale IP Adresse in dem Netz hast klappt das fehlerlos.
Ja SSH geht und somit kann ich auch einen SSH Tunnel bauen. Jedoch hat nicht jede Software die möglichkeit den Port frei zu wählen🙁
Von Linux Host/Router kannst du dann auf dem dortigen Internet Router bzw. den Default Gateway der dortigen Endgeräte (oder den Endgeräten selber) eine feste, statische Route ins OpenVPN Netz einrichten und kommst auch ganz ohne NAT zu einer schnellen Lösung.
Ist dazu nur eine statische Route vom Subnet des Routers zu der VPN IP meines Rechners?
Die NAT/ Masquerading Lösung brauchst du nur wenn das ein Dauerzustand bleiben soll ohne statische Route ins OpenVPN Netz.

Dauerzustand sollte es keiner werden.
Jedoch interessiert mich auch diese Lösung. Etwas lernen vom Profi ist ja nie falsch.
Werde versuchen einstweilen mit der statischen Route zum Erfolg zu kommen.
Danach möchte ich aber auch das NAT/ Masquerading probieren.

Denke mit der Unterstützung des Forum schaffe ich das auch.
aqui
aqui 20.05.2023 aktualisiert um 09:51:31 Uhr
Goto Top
Ist dazu nur eine statische Route vom Subnet des Routers zu der VPN IP meines Rechners?
Die ganze Routing Thematik im VPN ist HIER genau erklärt:
Merkzettel: VPN Installation mit OpenVPN
Lesen und verstehen... face-wink
Dauerzustand sollte es keiner werden.
Hoffentlich, denn so ist dein VPN ja mehr oder minder völlig unbrauchbar. Wie gesagt es ist eine einzige popelige Route die am Default Gateway der Endgeräte statisch eingetragen werden muss um das Problemchen zu fixen. face-wink
Danach möchte ich aber auch das NAT/ Masquerading probieren.
Das Masquerading solltest du wirklich nur dann machen wenn du keine Chance hast eine korrekte Route einzutragen. Durch das NAT/Masquerading im VPN machst du deinen VPN Router immer zu einer Einbahnstrasse, denn danach kann er nicht mehr transparent bidirektional routen weil man dann das NAT Gateway einseitig nicht mehr überwinden kann.
Sprich NAT ist immer nur einem Krücke und Notlösung mit den o.a. nachteiligen Auswirkungen auf das Routing.
Legofrau
Legofrau 23.05.2023 um 13:24:10 Uhr
Goto Top
Guten Morgen,
ich habe etwas mit den Route Befehlen etwas gespielt leider aber noch nicht zum gewünschten Resultat gekommen
Mein Netzwerk sieht so aus.
unbenannt

Status ist das ich von meinem Windows Client wunderbar zum Linux Router komme.
Ich komme auch zu den anderen Geräten des 192.168.137.0 die das Standard Gateway eingetragen haben
Wenn ich mich per SSH in den Linux Router hänge kann ich lokal den Ping zu 192.168.137.199 machen.

Auf dem Linux Router habe ich folgende Route.
10.0.24.0       10.43.137.2      255.255.255.0   UG    0      0        0 tun_c_hetz
Und auf meinen Pc habe ich
 192.168.137.0    255.255.255.0        10.0.24.2        10.0.24.1    281

Die Routen werden jeweils vom Openvpn Server mit dem CCD File an die Clients übertragen.

Wie ich komme aber nicht drauf was für eine Route ich legen muss damit ich auch zum Gerät ohne Gateway komme.

Sehe den Wald im Routen Wald nicht.

Sorry wenn ich wieder nerve.
aqui
aqui 23.05.2023 aktualisiert um 18:18:57 Uhr
Goto Top
Sorry wenn ich wieder nerve.
Keine Sorge, das tust du nicht, dafür ist ein Forum ja da... 😉
Mein Netzwerk sieht so aus.
Sprich die FritzBox ist dann eigentlich dein Router und OpenVPN Server?? Oder ist das eine Kaskade mit FritzBox und Linux Router?
Das ist dann eine ganz klassische OpenVPN Vernetzung wie sie hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
im Detail beschrieben ist.
Dort ist alles zum Thema Routing beschrieben. Leider wird aus deiner Zeichnung nicht ersichtlich WER hier jetzt OpenVPN Client (Initiator) und WER OpenVPN Server (Responder) ist. Das hat aber einen erheblichen Einfluss auf die Konfiguration. Das hiesige OpenVPN Tutorial zeigt dir ja Schritt für Schritt auf wie es richtig geht.

Statische Routen muss man in so einem Setup nicht definieren, das passiert alles über die OpenVPN Konfiguration selber wenn es richtig aufgesetzt ist. Hier machst du sehr wahrscheinlich einen weiteren fatalen Denkfehler. Deshalb hat die Frickelei mit den Routen auch keinerlei Effekt. Mit Routenfrickelei kann man ein falsches Setup bekanntlich nicht fixen!

Um hier überhaupt erstmal weiterzukommen solltest du strategisch vorgehen und zuallererst einmal dein OpenVPN Setup des Clients und des Servers hier anonymisiert (ohne Zerts) posten und WER diese Rollen laut Skizze einnimmt.
In einem Setup wie deinem wäre (normalerweise) der vServer der VPN Server (Responder) und Router sowie die mobilen Clients die VPN Clients (Initiators).
Mit großer Wahrscheinlichkeit liegt der Fehler schon in einem falschen OpenVPN Setup an sich!
Das zeigt sich schon offen daran das du unterschiedliche interne OpenVPN IP Netze für die Clients und den Router definiert hast, was so nicht sein sollte und sehr wahrscheinlich (einer) der Kardinalsfehler im Setup ist. Hier ist also schon etwas im Argen?!

Was den Zugriff auf das Endgerät ohne Gateway anbetrifft ist klar das du mit einer Absender IP aus dem internen OpenVPN IP Netz dieses nie erreichen kannst. Ohne jeglichen Gateway Eintrag kann dieses Gerät einzig nur lokale IP Clients im eigenen 192.168.137.0er Netz erreichen.
Klar, denn Traffic der dort aus fremden IP Netzen ankommt kann wegen des fehlenden Gateways nicht rückgeroutet werden. Hier ist also NAT (IP Adress Translation gefordert)

NAT zu aktivieren macht aber erstmal nur dann Sinn wenn die OpenVPN Verbindung an sich sauber und stabil rennt.
Dann kannst du nämlich entweder über den vServer oder die mobilen Clients per SSH (PuTTY) eine Shell Verbindung via SSH und VPN auf den Linux Router machen. Von dort aus solltest du ALLE Endgeräte im lokalen 192.168.137.0er Netz erreichen können (Ping etc.) auch das ohne Gateway.
Logisch, denn der Linux Router hat ja eine eigene Absender IP in diesem IP Netz, kommt damit also nicht aus einem fremden IP Netz.
Bis dahin solltest du überhaupt erst einmal kommen, denn das verifiziert dann dein sauber funktionierendes VPN Backbone.
Wenn das der Fall ist kannst du im 2ten Schritt mit NAT weitermachen sofern du auf dem betroffenen Endgerät keine Chance hast ein Gateway einzutragen.

Mal nebenbei gefragt:
Warum machst du dir mit OpenVPN das Leben schwer? Ein Setup mit dem modernen und deutlich schnelleren Wireguard VPN wäre mit deinem o.a. Design mit mobilen Clients und Router deutlich einfacher umzusetzen. Von der besseren Performance mal nicht zu reden. Gibts da einen triftigen Grund für OpenVPN?
Legofrau
Legofrau 23.05.2023 um 20:06:31 Uhr
Goto Top
Zitat von @aqui:

Sorry wenn ich wieder nerve.
Keine Sorge, das tust du nicht, dafür ist ein Forum ja da... 😉
Das ist sehr nett😊
Mein Netzwerk sieht so aus.
Sprich die FritzBox ist dann eigentlich dein Router und OpenVPN Server?? Oder ist das eine Kaskade mit FritzBox und Linux Router?
Nein die Fritzbox ist wie dazugeschrieben ein Linux Router der als OPENVPN Client configuriert ist. (habe einfach ein Bild aus dem Forum geklaut)
Das ist dann eine ganz klassische OpenVPN Vernetzung wie sie hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
im Detail beschrieben ist.
Dort ist alles zum Thema Routing beschrieben. Leider wird aus deiner Zeichnung nicht ersichtlich WER hier jetzt OpenVPN Client (Initiator) und WER OpenVPN Server (Responder) ist. Das hat aber einen erheblichen Einfluss auf die Konfiguration. Das hiesige OpenVPN Tutorial zeigt dir ja Schritt für Schritt auf wie es richtig geht.

Ich habe im Bild zum vServer Openvpn Server geschrieben.
Vorne Weg meine Openvpn Setup funktioniert bestens!
Alles ist so wie ich es mir wünsche. Mein Problem ist nur das ein Gerät im 137er Netz (Fehler in der Config) kein Standard Gateway Eintrag hat.
Statische Routen muss man in so einem Setup nicht definieren, das passiert alles über die OpenVPN Konfiguration selber wenn es richtig aufgesetzt ist. Hier machst du sehr wahrscheinlich einen weiteren fatalen Denkfehler. Deshalb hat die Frickelei mit den Routen auch keinerlei Effekt. Mit Routenfrickelei kann man ein falsches Setup bekanntlich nicht fixen!

Wollte nur wie auf deinen Rat weiter oben mit einer Statischen Route mein Problem des nicht gesetzten Gateway lösen.
habe ich Dich wohl falsch verstanden.

Um hier überhaupt erstmal weiterzukommen solltest du strategisch vorgehen und zuallererst einmal dein OpenVPN Setup des Clients und des Servers hier anonymisiert (ohne Zerts) posten und WER diese Rollen laut Skizze einnimmt.
In einem Setup wie deinem wäre (normalerweise) der vServer der VPN Server (Responder) und Router sowie die mobilen Clients die VPN Clients (Initiators).
Mit großer Wahrscheinlichkeit liegt der Fehler schon in einem falschen OpenVPN Setup an sich!

Mein Setup funktioniert einwandfrei😊.
Sorry wenn ich mich wiederhole aber das scheint noch nicht in meinen bisherigen Posts rüber gekommen zu sein.

Das zeigt sich schon offen daran das du unterschiedliche interne OpenVPN IP Netze für die Clients und den Router definiert hast, was so nicht sein sollte und sehr wahrscheinlich (einer) der Kardinalsfehler im Setup ist. Hier ist also schon etwas im Argen?!

Was den Zugriff auf das Endgerät ohne Gateway anbetrifft ist klar das du mit einer Absender IP aus dem internen OpenVPN IP Netz dieses nie erreichen kannst. Ohne jeglichen Gateway Eintrag kann dieses Gerät einzig nur lokale IP Clients im eigenen 192.168.137.0er Netz erreichen.
Klar, denn Traffic der dort aus fremden IP Netzen ankommt kann wegen des fehlenden Gateways nicht rückgeroutet werden. Hier ist also NAT (IP Adress Translation gefordert)

Bitte hilf mir bei der Realisierung dieser NAT IP Adress Translation.

NAT zu aktivieren macht aber erstmal nur dann Sinn wenn die OpenVPN Verbindung an sich sauber und stabil rennt.
Wie erwähnt funktioniert mein restliches Openvpn gedöns bestens.
Dann kannst du nämlich entweder über den vServer oder die mobilen Clients per SSH (PuTTY) eine Shell Verbindung via SSH und VPN auf den Linux Router machen. Von dort aus solltest du ALLE Endgeräte im lokalen 192.168.137.0er Netz erreichen können (Ping etc.) auch das ohne Gateway.
Logisch, denn der Linux Router hat ja eine eigene Absender IP in diesem IP Netz, kommt damit also nicht aus einem fremden IP Netz.
Bis dahin solltest du überhaupt erst einmal kommen, denn das verifiziert dann dein sauber funktionierendes VPN Backbone.
Wenn das der Fall ist kannst du im 2ten Schritt mit NAT weitermachen sofern du auf dem betroffenen Endgerät keine Chance hast ein Gateway einzutragen.

Mal nebenbei gefragt:
Warum machst du dir mit OpenVPN das Leben schwer? Ein Setup mit dem modernen und deutlich schnelleren Wireguard VPN wäre mit deinem o.a. Design mit mobilen Clients und Router deutlich einfacher umzusetzen. Von der besseren Performance mal nicht zu reden. Gibts da einen triftigen Grund für OpenVPN?
Openvpn hat für mich den Vorteil das ich vom Openvpn server mittels ccd Files gut steuern kann welcher client wen wann sehen darf.

Danke für die Hilfe
aqui
aqui 23.05.2023 aktualisiert um 21:04:24 Uhr
Goto Top
habe einfach ein Bild aus dem Forum geklaut
Das musst du gar nicht. Mit Dia http://dia-installer.de und den freien Cisco Topology Icons machst du das im Handumdrehen selber. face-wink
Mein Setup funktioniert einwandfrei
Stimmt, das war nicht ganz klar. Obwohl (auch wenns klappt) die zwei unterschiedlichen internen IP Netze sind definitiv ein Design Fehler aber nundenn... Haken dran wenn's rennt.
Realisierung dieser NAT IP Adress Translation.
OK, mit nftables ist das schnell erledigt...
Die /etc/nftables.conf editieren und am Ende unter dem Default Ruleset das folgende hinzufügen:
table ip nat {

        define VPN_NETS = {
        10.0.24.0/24, 10.43.137.0/24
        }
        # Masquerade OpenVPN Clients zum eth0 Interface
        chain postrouting {
                type nat hook postrouting priority 100; policy accept;
                ip saddr $VPN_NETS oif eth0 masquerade
        }
} 
Dann systemctl restart nftables um das neue Ruleset zu laden. Check mit nft list ruleset
Was es macht ist selbsterklärend. Aller Traffic der von Absender IPs kommt die von Netzen aus denen in VPN_NETS definierten kommen, werden auf die IP Adresse des lokalen LAN Interface welches ins 192.168.137er Netz geht übersetzt.
Musst du ggf. noch auf dein Interface Namen ändern sollte das nicht eth0 sein.
Legofrau
Legofrau 24.05.2023 um 07:28:40 Uhr
Goto Top
Zitat von @aqui:

habe einfach ein Bild aus dem Forum geklaut
Das musst du gar nicht. Mit Dia http://dia-installer.de und den freien Cisco Topology Icons machst du das im Handumdrehen selber. face-wink
Mein Setup funktioniert einwandfrei
Stimmt, das war nicht ganz klar. Obwohl (auch wenns klappt) die zwei unterschiedlichen internen IP Netze sind definitiv ein Design Fehler aber nundenn... Haken dran wenn's rennt.
Realisierung dieser NAT IP Adress Translation.
OK, mit nftables ist das schnell erledigt...
Die /etc/nftables.conf editieren und am Ende unter dem Default Ruleset das folgende hinzufügen:
table ip nat {

        define VPN_NETS = {
        10.0.24.0/24, 10.43.137.0/24
        }
        # Masquerade OpenVPN Clients zum eth0 Interface
        chain postrouting {
                type nat hook postrouting priority 100; policy accept;
                ip saddr $VPN_NETS oif eth0 masquerade
        }
} 
Dann systemctl restart nftables um das neue Ruleset zu laden. Check mit nft list ruleset
Was es macht ist selbsterklärend. Aller Traffic der von Absender IPs kommt die von Netzen aus denen in VPN_NETS definierten kommen, werden auf die IP Adresse des lokalen LAN Interface welches ins 192.168.137er Netz geht übersetzt.
Musst du ggf. noch auf dein Interface Namen ändern sollte das nicht eth0 sein.

Vielen Herzlichen Dank.
Nur leider ist auf dem Router noch Iptables und nicht nftables.
Hatte bereits mal weiter oben den Auszug daraus gesendet.Standard Gateway umbiegen

Sorry das ich Dir so viel Arbeit mache.
aqui
aqui 24.05.2023 aktualisiert um 10:47:29 Uhr
Goto Top
ist auf dem Router noch Iptables und nicht nftables.
OK, das ist dann genauso einfach:
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 😉
Willst du das NAT nur für spezielle Absender IPs machen dann so:
sudo iptables -t nat -A POSTROUTING -s 10.0.24.0/24 -o eth0 -j MASQUERADE

P.S.: Bitte nicht immer überflüssigerweise alles zitieren. Wir können alle lesen... face-wink
Legofrau
Legofrau 24.05.2023 um 11:53:42 Uhr
Goto Top
Hallo @aqui,
Sorry dachte das Zitate helfen sorry.
Werde es zukünftig vermeiden.

Leider funktioniert der Befehl noch nicht.
Meine Ausgabe von ifconfig ergibt das
root@Teltonika-RUT951:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr 00:1E:42:54:C3:8C
          inet addr:192.168.128.1  Bcast:192.168.128.255  Mask:255.255.255.0
          inet6 addr: fd7d:b886:1885::1/60 Scope:Global
          inet6 addr: fe80::21e:42ff:fe54:c38c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:368 (368.0 B)  TX bytes:1544 (1.5 KiB)

#eth0      Link encap:Ethernet  HWaddr 00:1E:42:54:C3:8C
          inet6 addr: fe80::21e:42ff:fe54:c38c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:512 (512.0 B)  TX bytes:12670 (12.3 KiB)
          Interrupt:5

eth0.1    Link encap:Ethernet  HWaddr 00:1E:42:54:C3:8C
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:368 (368.0 B)  TX bytes:1544 (1.5 KiB)

eth0.2    Link encap:Ethernet  HWaddr 00:1E:42:54:C3:8D
          inet6 addr: fe80::21e:42ff:fe54:c38d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:10088 (9.8 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:28 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2416 (2.3 KiB)  TX bytes:2416 (2.3 KiB)

tun_c_Seik Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-0                                                                                                             0-00
          inet addr:10.43.128.1  P-t-P:10.43.128.2  Mask:255.255.255.255
          inet6 addr: fe80::502d:90cf:32f6:ffbb/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:48 errors:0 dropped:0 overruns:0 frame:0
          TX packets:47 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:6560 (6.4 KiB)  TX bytes:5252 (5.1 KiB)

wlan0     Link encap:Ethernet  HWaddr 00:1E:42:54:C3:8E
          inet addr:192.168.120.5  Bcast:192.168.120.255  Mask:255.255.255.0
          inet6 addr: fe80::21e:42ff:fe54:c38e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:160 errors:0 dropped:0 overruns:0 frame:0
          TX packets:174 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:26272 (25.6 KiB)  TX bytes:30926 (30.2 KiB)

Habe dann versucht anstelle von eth0 br-lan einzusetzen.
iptables -t nat -A POSTROUTING -o br-lan -j MASQUERADE
hat aber nicht funktioniert.
Woran kann das liegen?

Danke vielmals für die Geduld.
Lochkartenstanzer
Lochkartenstanzer 24.05.2023 aktualisiert um 12:03:18 Uhr
Goto Top
Zitat von @Legofrau:

Hallo @aqui,
Sorry dachte das Zitate helfen sorry.
Werde es zukünftig vermeiden.

Zitate helfen schon, aber nur, wenn man das Wesentliche zitiert und nicht immer alles.

Also ab und zu einen Ausschnitt zitieren, damit man sieht, worauf die Antwort sich bezieht, ist schon in Ordnung, so wie ich das jetzt gemacht habe.

lks
Legofrau
Legofrau 24.05.2023 um 12:09:42 Uhr
Goto Top
@Lochkartenstanzer werde es mir zu Herzen nehmen.
aqui
aqui 24.05.2023 aktualisiert um 13:55:43 Uhr
Goto Top
Habe dann versucht anstelle von eth0 br-lan einzusetzen.
br-lan ist ein Bridge Interface vermutlich supportet oder arbeitet der Router mit VLAN Optionen?!
Das br-lan Interface ist dann das native Interface (untagged Default VLAN, PVID1). Siehe dazu auch hier:
Netzwerk Management Server mit Raspberry Pi

Wie du siehst nutzt du ja dann vermutlich VLANs auf dem Linux Router! (Was du übrigens auch schon einmal VORHER hättest sagen können! Ebenso das dein Linux in Wahrheit ein Teltonika Router ist. 😡)
Du musst also herausfinden welches der dortigen Subinterfaces in das 192.168.137.0/24 er Netzwerk geht. Laut deinem Output oben ist das keins der Interfaces denn dieses Netz ist dort nicht präsent. face-sad
Mit anderen Worten dein Linux/Teltonika Router ist gar nicht mit dem 192.168.137.0er Netz verbunden oder du hast uns hier mit deiner IP Adressierung an der Nase herumgeführt.
Logischerweise sind dadurch dann alle NAT Konfigs völlig sinnfrei wenn die Netz IP nicht stimmt. face-sad
Legofrau
Legofrau 24.05.2023 um 14:07:22 Uhr
Goto Top
Sorry ich wusste nicht das br-lan etwas mit VLAN zu tunhatte.
Außerdem war für mich Linux Router ein Router der ein Linux drauf hat und soweit ich weiß ist das bei Teltonika auch der Fall.
Dachte mir auch das du es bereits in diesem Beitrag Standard Gateway umbiegen gesehen hast.
Bitte dich um Entschuldigung.🙏🏾🙏🏾🙏🏾

Zitat von @aqui:
Du musst also herausfinden welches der dortigen Subinterfaces in das 192.168.137.0/24 er Netzwerk geht. Laut deinem Output oben ist das keins der Interfaces denn dieses Netz ist dort nicht präsent. face-sad
Mit anderen Worten dein Linux/Teltonika Router ist gar nicht mit dem 192.168.137.0er Netz verbunden oder du hast uns hier mit deiner IP Adressierung an der Nase herumgeführt.

Wie kann ich das herausfinden?
Würde mir nie erlauben jemanden mit Absicht an der Nase herum zu führen.

Nochmal ein großes Entschuldige!
Danke für deine Hilfe
aqui
aqui 24.05.2023 aktualisiert um 14:20:21 Uhr
Goto Top
Wie kann ich das herausfinden?
Einfach mal ip a eingeben (ip r zeigt die das Routing) oder, wie du schon richtig gemacht hast, ifconfig sofern er das "ip" Kommando nicht kann.
Dort werden dann alle IP Interfaces und ihre konfigurierten Adressen aufgelistet.
Legofrau
Legofrau 24.05.2023 um 15:59:46 Uhr
Goto Top
So sieht die Ausgabe von Ip a & ip r aus
    root@Teltonika-RUT951:~# ip r
default dev wwan0 proto static scope link src 10.56.183.148 metric 4
10.0.2.0/24 via 10.43.137.2 dev tun_c_test
10.0.3.0/24 via 10.43.137.2 dev tun_c_test
10.0.12.0/24 via 10.43.137.2 dev tun_c_test
10.0.13.0/24 via 10.43.137.2 dev tun_c_test
10.0.15.0/24 via 10.43.137.2 dev tun_c_test
10.0.18.0/24 via 10.43.137.2 dev tun_c_test
10.0.24.0/24 via 10.43.137.2 dev tun_c_test
10.0.200.0/24 via 10.43.137.2 dev tun_c_test
10.20.0.0/24 via 10.43.137.2 dev tun_c_test
10.43.137.2 dev tun_c_test proto kernel scope link src 10.43.137.1
10.56.183.148 dev wwan0 proto static scope link metric 4
192.168.137.0/24 dev br-lan proto static scope link metric 1

root@Teltonika-RUT951:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/137 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 00:1e:42:54:c3:8c brd ff:ff:ff:ff:ff:ff
    inet6 fe80::21e:42ff:fe54:c38c/64 scope link
       valid_lft forever preferred_lft forever
3: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1000
    link/tunnel6 :: brd ::
4: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0
5: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
6: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
7: erspan0@NONE: <BROADCAST,MULTICAST> mtu 1450 qdisc noop state DOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
8: ip6gre0@NONE: <NOARP> mtu 1448 qdisc noop state DOWN group default qlen 1000
    link/gre6 :: brd ::
10: wwan0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/none
    inet 10.56.183.148/32 brd 255.255.255.255 scope global wwan0
       valid_lft forever preferred_lft forever
    inet6 fe80::cecb:1d8d:6135:593d/64 scope link stable-privacy
       valid_lft forever preferred_lft forever
11: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:1e:42:54:c3:8c brd ff:ff:ff:ff:ff:ff
    inet 192.168.137.1/24 brd 192.168.137.255 scope global br-lan
       valid_lft forever preferred_lft forever
    inet6 fd7d:b886:1885::1/60 scope global noprefixroute
       valid_lft forever preferred_lft forever
    inet6 fe80::21e:42ff:fe54:c38c/64 scope link
       valid_lft forever preferred_lft forever
12: eth0.1@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-lan state UP group default qlen 1000
    link/ether 00:1e:42:54:c3:8c brd ff:ff:ff:ff:ff:ff
13: eth0.2@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:1e:42:54:c3:8d brd ff:ff:ff:ff:ff:ff
    inet6 fe80::21e:42ff:fe54:c38d/64 scope link
       valid_lft forever preferred_lft forever
14: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc tbf state DOWN group default qlen 1000
    link/ether 00:1e:42:54:c3:8e brd ff:ff:ff:ff:ff:ff
15: tun_c_test: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none
    inet 10.43.137.1 peer 10.43.137.2/32 scope global tun_c_test
       valid_lft forever preferred_lft forever
    inet6 fe80::ab9a:f7b8:ea7e:6d63/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

Danke für die Hilfe
Legofrau
Legofrau 24.05.2023 aktualisiert um 21:21:22 Uhr
Goto Top
Könnte die Nat Einstellung in der Gui zur Lösung beitragen?
nat
aqui
Lösung aqui 25.05.2023 um 13:22:38 Uhr
Goto Top
So sieht die Ausgabe von Ip a & ip r aus
Kann es vielleicht sein das dein hier gepostetes 192.168.137.0er Netz in Wahrheit ein 10.43.137.0/24er Netz ist?? Das br-lan interface hat ja wundersamerweise jetzt statt .128 eine .137 bekommen... face-wink
Ansonsten ist es dann das br-lan Interface und die iptables musst du mit dem Masquerading dann mit "-o br-lan" auf dieses Interface loslassen.
Könnte die Nat Einstellung in der Gui zur Lösung beitragen?
Ja, natürlich. Das würde dir die CLI Fricklei ersparen!
Hier trägst du als Source Netz oder Zone dein internes VPN IP Netz ein und als NAT interface das lokale LAN.
Legofrau
Legofrau 26.05.2023 um 08:14:51 Uhr
Goto Top
Guten Morgen,
ich habe mir um nicht am Lebenden Objekt zu operieren hier im Büro einen Router mit dem selben Setup (natürlich ander Ip Adresse 192.168.128.0 und 10.43.128.0)aufgebaut. Wolle nicht durch einen Weiteren Fehler ganz aussperren.
Da der Router mit dem 137er Netz viel Km weit weg ist.

In dieser Antwort von mir Standard Gateway umbiegen
Zitat von @Legofrau:
Habe dann versucht anstelle von eth0 br-lan einzusetzen.
iptables -t nat -A POSTROUTING -o br-lan -j MASQUERADE
habe ich bereits deinen letzten Tipp ausprobiert. Nur leider ohne Erfolg
Zitat von @aqui:
Ansonsten ist es dann das br-lan Interface und die iptables musst du mit dem Masquerading dann mit "-o br-lan" auf dieses Interface loslassen.
Nach wie vor hat dieser Eintrag keinen Effect.
Hier trägst du als Source Netz oder Zone dein internes VPN IP Netz ein und als NAT interface das lokale LAN.
Dieser Tipp für die Gui hat nun endlich zur Lösung geführt!👏🏾👏🏾👏🏾
Danke @aqui für dein Geduld.