dasbill
Goto Top

VPN intern öffentliche Adresse

Hallo miteinander,

ich bin gerade dabei einen OpenVPN Server unter Debian Wheezy aufzusetzen und zu konfigurieren
und bin auch bereits so weit dass der gesamte Traffic der Clients über den VPN läuft.
Damit die Clients auch ins Internet kommunizieren dürfen, habe ich folgende Iptables Regel erstellt:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Mein Problem ist jetzt allerdings dass ich wenn ich mich mit aktivem VPN Client
auf die Maschine 89.163.221.75 auf dem auch der VPN Server läuft einloggen möchte
das dort meine Client IP 62.143.0.15 zum Verbinden genutz wird statt die öffentliche IP: 89.163.221.75

Zum Verständnis:

Server IP: 89.163.221.75
VPN-Netz: 10.8.0.0/24

Client IP: 62.143.0.15 (Unitymedia)

Habt ihr vielleicht eine Idee wie ich das entsprechend konfigurieren kann?

Meine Konfigurationen:

Server:
port 1194

proto udp

tls-server

mode server

dev tun


ca ca.crt
cert server.crt
key server.key

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"  

keepalive 10 120

cipher AES-256-CBC   # AES

auth SHA256

comp-lzo

user nobody
group nogroup

persist-key
persist-tun

status openvpn-status.log

verb 3

Client:
client

redirect-gateway def1

;dev tap
dev tun
tun-ipv6

proto udp
;proto tcp6

remote 89.163.221.75 1194

resolv-retry infinite

nobind

persist-key
persist-tun


ns-cert-type server

cipher AES-256-CBC
auth SHA256
auth-nocache

comp-lzo

verb 3



Viele Grüße

DasBill

Content-ID: 266186

Url: https://administrator.de/contentid/266186

Ausgedruckt am: 12.11.2024 um 22:11 Uhr

108012
108012 13.03.2015 um 13:13:09 Uhr
Goto Top
Hallo,

schau hier einmal nach die Konfigurationsdateien sind zum Glück
immer dieselben.
OpenVPN Server installieren auf DD-WRT Router oder pfSense Firewall


Gruß
Dobby
aqui
aqui 13.03.2015 aktualisiert um 14:10:45 Uhr
Goto Top
meine lokale IP 62.143.0.15
Oha, tödlich in so einem Umfeld:
inetnum:        62.143.0.0 - 62.143.31.255
netname:        DE-KNRW-IP3
descr:          Unitymedia
descr:          Neuss
country:        DE 
Das kann doch niemals deine "lokale" IP sein sondern ist deine öffentliche bzw. die die du vom Provider bekommen hast.
Irgendwas stimmt hier also nicht ?!
Die lokale IP ist die des lokalen LANs oder die die du im OpenVPN Tunnel hast, bei dir also die 10.8.0.0 /24
Es macht doch gar keinen Sinn diese RFC 1918 IPs zusätzlich auch noch zu masqueraden (NAT). Das macht doch so oder so der Router auf der VPN Serverseite !
Hier machst du also irgendwie einen gehörigen Denkfehler.
Grundlegendes erklärt auch dieses Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
DasBill
DasBill 13.03.2015 aktualisiert um 15:37:55 Uhr
Goto Top
Zitat von @aqui:

> meine lokale IP 62.143.0.15
Oha, tödlich in so einem Umfeld:
> inetnum:        62.143.0.0 - 62.143.31.255
> netname:        DE-KNRW-IP3
> descr:          Unitymedia
> descr:          Neuss
> country:        DE 
Das kann doch niemals deine "lokale" IP sein sondern ist deine öffentliche bzw. die die du vom Provider bekommen
hast.
Irgendwas stimmt hier also nicht ?!
Die lokale IP ist die des lokalen LANs oder die die du im OpenVPN Tunnel hast, bei dir also die 10.8.0.0 /24
Es macht doch gar keinen Sinn diese RFC 1918 IPs zusätzlich auch noch zu masqueraden (NAT). Das macht doch so oder so der
Router auf der VPN Serverseite !
Hier machst du also irgendwie einen gehörigen Denkfehler.
Grundlegendes erklärt auch dieses Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router


Das ist auch nicht meine lokale IP hatte beim Schreiben etwas anderes im Kopf.... face-smile
Habe meinen Beitrag oben entsprechend angepasst.

Das iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE habe ich auch auf dem Server nicht auf dem Client ausgeführt
wobei dem eth0 die öffentliche Server-IP zugewiesen ist.

Bin mit meinem Problem aber auch noch nicht weitergekommen
obwohl ich die entsprechenden Regeln bereits gesetzt habe:

iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT 
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT

Den Link habe ich mir bereits angeschaut.

Stelle ich mich gerade nur doof an, oder habt ihr noch eine Idee woran es liegen könnte?
108012
108012 13.03.2015 um 15:48:36 Uhr
Goto Top
Hallo,

OpenVPN Server unter Debian Wheezy
Die reguläre Firewall von Debian hat ja alle Ports, Protokolle
und Dienste freigegeben, oder?

Gruß
Dobby
DasBill
DasBill 13.03.2015 um 15:56:08 Uhr
Goto Top
Ja, genau.
aqui
aqui 14.03.2015 aktualisiert um 22:30:00 Uhr
Goto Top
Und warum machst du überhaupt Masquerading (NAT) im VPN Tunnel ? Eigentlich ist das ja Unsinn, denn das macht ja der Internet Router am Ziel so oder so.
Warum also das überflüssige 2te Mal NAT ?
DasBill
DasBill 14.03.2015 aktualisiert um 22:38:25 Uhr
Goto Top
Ok, ich glaube so langsam verstehe ich das ganze.

Wenn ich jetzt aber in der UTM eine NAT Regel für das VPN Netz erstellen möchte,
wie stelle ich das am besten an?

Muss dafür nicht auch eine Route für das Netz zur UTM gesetzt werden oder
habe ich einen Denkfehler?

Das Problem mit der SSH Verbindung habe ich übrigens gelöst
in dem ich einfach den SSH Server auf die 10.8.0.1 gebunden habe.
aqui
aqui 15.03.2015 um 12:30:26 Uhr
Goto Top
Wenn ich jetzt aber in der UTM eine NAT Regel für das VPN Netz erstellen möchte,
Nochmal die Frage: Musst du wirklich zwingend im Tunnel NATen ? Wenn ja warum ? Was ist der Grund dafür ?
Muss dafür nicht auch eine Route für das Netz zur UTM gesetzt werden
Kommt darauf an. Wenn du einen abgesetzten Server hinter dem Internet Router hast dann ja, dann braucht der Internet Router zwingend eine statische Route auf das Zielnetz und das remote Netz sofern die lokalen Clients diesen Internet Router als Default Gateway haben.
Siehe auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router