8
VPN intern öffentliche Adresse
Hallo miteinander,
ich bin gerade dabei einen OpenVPN Server unter Debian Wheezy aufzusetzen und zu konfigurieren
und bin auch bereits so weit dass der gesamte Traffic der Clients über den VPN läuft.
Damit die Clients auch ins Internet kommunizieren dürfen, habe ich folgende Iptables Regel erstellt:
Mein Problem ist jetzt allerdings dass ich wenn ich mich mit aktivem VPN Client
auf die Maschine 89.163.221.75 auf dem auch der VPN Server läuft einloggen möchte
das dort meine Client IP 62.143.0.15 zum Verbinden genutz wird statt die öffentliche IP: 89.163.221.75
Zum Verständnis:
Server IP: 89.163.221.75
VPN-Netz: 10.8.0.0/24
Client IP: 62.143.0.15 (Unitymedia)
Habt ihr vielleicht eine Idee wie ich das entsprechend konfigurieren kann?
Meine Konfigurationen:
Server:
Client:
Viele Grüße
DasBill
ich bin gerade dabei einen OpenVPN Server unter Debian Wheezy aufzusetzen und zu konfigurieren
und bin auch bereits so weit dass der gesamte Traffic der Clients über den VPN läuft.
Damit die Clients auch ins Internet kommunizieren dürfen, habe ich folgende Iptables Regel erstellt:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADEMein Problem ist jetzt allerdings dass ich wenn ich mich mit aktivem VPN Client
auf die Maschine 89.163.221.75 auf dem auch der VPN Server läuft einloggen möchte
das dort meine Client IP 62.143.0.15 zum Verbinden genutz wird statt die öffentliche IP: 89.163.221.75
Zum Verständnis:
Server IP: 89.163.221.75
VPN-Netz: 10.8.0.0/24
Client IP: 62.143.0.15 (Unitymedia)
Habt ihr vielleicht eine Idee wie ich das entsprechend konfigurieren kann?
Meine Konfigurationen:
Server:
port 1194
proto udp
tls-server
mode server
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
keepalive 10 120
cipher AES-256-CBC # AES
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3Client:
client
redirect-gateway def1
;dev tap
dev tun
tun-ipv6
proto udp
;proto tcp6
remote 89.163.221.75 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
cipher AES-256-CBC
auth SHA256
auth-nocache
comp-lzo
verb 3Viele Grüße
DasBill
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 266186
Url: https://administrator.de/contentid/266186
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
schau hier einmal nach die Konfigurationsdateien sind zum Glück
immer dieselben.
OpenVPN Server installieren auf DD-WRT Router oder pfSense Firewall
Gruß
Dobby
schau hier einmal nach die Konfigurationsdateien sind zum Glück
immer dieselben.
OpenVPN Server installieren auf DD-WRT Router oder pfSense Firewall
Gruß
Dobby
1
meine lokale IP 62.143.0.15
Oha, tödlich in so einem Umfeld: inetnum: 62.143.0.0 - 62.143.31.255
netname: DE-KNRW-IP3
descr: Unitymedia
descr: Neuss
country: DE Irgendwas stimmt hier also nicht ?!
Die lokale IP ist die des lokalen LANs oder die die du im OpenVPN Tunnel hast, bei dir also die 10.8.0.0 /24
Es macht doch gar keinen Sinn diese RFC 1918 IPs zusätzlich auch noch zu masqueraden (NAT). Das macht doch so oder so der Router auf der VPN Serverseite !
Hier machst du also irgendwie einen gehörigen Denkfehler.
Grundlegendes erklärt auch dieses Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
1
Zitat von @aqui:
> meine lokale IP 62.143.0.15
Oha, tödlich in so einem Umfeld:
Das kann doch niemals deine "lokale" IP sein sondern ist deine öffentliche bzw. die die du vom Provider bekommen
hast.
Irgendwas stimmt hier also nicht ?!
Die lokale IP ist die des lokalen LANs oder die die du im OpenVPN Tunnel hast, bei dir also die 10.8.0.0 /24
Es macht doch gar keinen Sinn diese RFC 1918 IPs zusätzlich auch noch zu masqueraden (NAT). Das macht doch so oder so der
Router auf der VPN Serverseite !
Hier machst du also irgendwie einen gehörigen Denkfehler.
Grundlegendes erklärt auch dieses Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
> meine lokale IP 62.143.0.15
Oha, tödlich in so einem Umfeld:
> inetnum: 62.143.0.0 - 62.143.31.255
> netname: DE-KNRW-IP3
> descr: Unitymedia
> descr: Neuss
> country: DE hast.
Irgendwas stimmt hier also nicht ?!
Die lokale IP ist die des lokalen LANs oder die die du im OpenVPN Tunnel hast, bei dir also die 10.8.0.0 /24
Es macht doch gar keinen Sinn diese RFC 1918 IPs zusätzlich auch noch zu masqueraden (NAT). Das macht doch so oder so der
Router auf der VPN Serverseite !
Hier machst du also irgendwie einen gehörigen Denkfehler.
Grundlegendes erklärt auch dieses Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das ist auch nicht meine lokale IP hatte beim Schreiben etwas anderes im Kopf....
Habe meinen Beitrag oben entsprechend angepasst.
Das iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE habe ich auch auf dem Server nicht auf dem Client ausgeführt
wobei dem eth0 die öffentliche Server-IP zugewiesen ist.
Bin mit meinem Problem aber auch noch nicht weitergekommen
obwohl ich die entsprechenden Regeln bereits gesetzt habe:
iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPTDen Link habe ich mir bereits angeschaut.
Stelle ich mich gerade nur doof an, oder habt ihr noch eine Idee woran es liegen könnte?
Hallo,
und Dienste freigegeben, oder?
Gruß
Dobby
OpenVPN Server unter Debian Wheezy
Die reguläre Firewall von Debian hat ja alle Ports, Protokolleund Dienste freigegeben, oder?
Gruß
Dobby
Ja, genau.
Und warum machst du überhaupt Masquerading (NAT) im VPN Tunnel ? Eigentlich ist das ja Unsinn, denn das macht ja der Internet Router am Ziel so oder so.
Warum also das überflüssige 2te Mal NAT ?
Warum also das überflüssige 2te Mal NAT ?
Ok, ich glaube so langsam verstehe ich das ganze.
Wenn ich jetzt aber in der UTM eine NAT Regel für das VPN Netz erstellen möchte,
wie stelle ich das am besten an?
Muss dafür nicht auch eine Route für das Netz zur UTM gesetzt werden oder
habe ich einen Denkfehler?
Das Problem mit der SSH Verbindung habe ich übrigens gelöst
in dem ich einfach den SSH Server auf die 10.8.0.1 gebunden habe.
Wenn ich jetzt aber in der UTM eine NAT Regel für das VPN Netz erstellen möchte,
wie stelle ich das am besten an?
Muss dafür nicht auch eine Route für das Netz zur UTM gesetzt werden oder
habe ich einen Denkfehler?
Das Problem mit der SSH Verbindung habe ich übrigens gelöst
in dem ich einfach den SSH Server auf die 10.8.0.1 gebunden habe.
Wenn ich jetzt aber in der UTM eine NAT Regel für das VPN Netz erstellen möchte,
Nochmal die Frage: Musst du wirklich zwingend im Tunnel NATen ? Wenn ja warum ? Was ist der Grund dafür ?Muss dafür nicht auch eine Route für das Netz zur UTM gesetzt werden
Kommt darauf an. Wenn du einen abgesetzten Server hinter dem Internet Router hast dann ja, dann braucht der Internet Router zwingend eine statische Route auf das Zielnetz und das remote Netz sofern die lokalen Clients diesen Internet Router als Default Gateway haben.Siehe auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
