3
Problem Iptables Routing durch virtuellen Tun Device
Hi,
ich versuche seit Tagen folgendes Problem zu lösen, ich hoffe ihr könnt mir helfen ;)
Danke schon mal im voraus
Ziel: Der RaspberryPi soll als OpenVPN Gateway dienen d.h. als Bsp: Laptop ist per Cat5 Leitung mit dem RaspberryPI(OS Debian Squeeze) verbunden, über einen WLAN Stick baut er eine Verbindung zum AP(Inet) auf. Des Weiteren soll eine OpenVPN Verbindung durch den RaspberryPI(client) zur AstaroFW hergestellt werden! Der komplette Traffic soll nun über den Tun0 Device geleitet werden, d.h. der Laptop muss Zugriff auf alle Netze hinter dem Tun0 device haben.
Ist Zustand: Raspberry baut die WIFI- sowie die OpenVPN Verbindungen auf. Zudem lässt sich vom Laptop die eth0 Schnittstelle erreichen. Seitens des RaspberryPI lassen sich alle Netze hinter dem Tun0 erreichen, allerdings gelingt es mir nicht den Traffic vom Laptop in den Tun0 device umzuleiten!
Das angehängte Bild zeigt Firewall und OpenVPN Server getrennt, jedoch ist beides eine Appliance!
Mein erster Ansatz war per Masquerading wie folgt auf dem RaspberryPi. Anscheinend kommt OpenVpn nicht klar mit dem Masquerading!
/sbin/iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Habt ihr Ideen wie man das Problem lösen kann ?
Anbei noch meine IP-Adressen sowie Routing Tabellen:
Laptop eth1: 192.168.0.243
RaspberryPi eth0: 192.168.0.1
RaspberryPi wlan0: 192.168.43.230
RaspberryPi tun0: 192.168.10.6
Laptop:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
192.168.0.0 * 255.255.255.0 U 1 0 0 eth1
RaspberryPi:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.43.1 0.0.0.0 UG 0 0 0 wlan0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0
192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.43.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.178.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
Ist Zustand: Raspberry baut die WIFI- sowie die OpenVPN Verbindungen auf. Zudem lässt sich vom Laptop die eth0 Schnittstelle erreichen. Seitens des RaspberryPI lassen sich alle Netze hinter dem Tun0 erreichen, allerdings gelingt es mir nicht den Traffic vom Laptop in den Tun0 device umzuleiten!
Das angehängte Bild zeigt Firewall und OpenVPN Server getrennt, jedoch ist beides eine Appliance!
Mein erster Ansatz war per Masquerading wie folgt auf dem RaspberryPi. Anscheinend kommt OpenVpn nicht klar mit dem Masquerading!
/sbin/iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Habt ihr Ideen wie man das Problem lösen kann ?
Anbei noch meine IP-Adressen sowie Routing Tabellen:
Laptop eth1: 192.168.0.243
RaspberryPi eth0: 192.168.0.1
RaspberryPi wlan0: 192.168.43.230
RaspberryPi tun0: 192.168.10.6
Laptop:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
192.168.0.0 * 255.255.255.0 U 1 0 0 eth1
RaspberryPi:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.43.1 0.0.0.0 UG 0 0 0 wlan0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0
192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.43.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.178.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196638
Url: https://administrator.de/contentid/196638
Printed on: April 23, 2024 at 23:04 o'clock
3 Comments
Latest comment
Im Grunde ist es ganz einfach: Der OpenVPN Server muss mit dem Kommando push "redirect-gateway def1" einfach ein default Gateway an den Pi senden. Damit routet der Pi alles in den VPN Tunnel:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Wichtig ist, das der Pi das IP Forwarding in der sysconfig konfiguriert hat und der Laptop den Pi logischerweise als Default Gateway definiert hat.
Damit sollte es problemlos klappen.
Diese Tutorials hier im Forum helfen dir ggf. weiter:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und
Netzwerk Management Server mit Raspberry Pi
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Wichtig ist, das der Pi das IP Forwarding in der sysconfig konfiguriert hat und der Laptop den Pi logischerweise als Default Gateway definiert hat.
Damit sollte es problemlos klappen.
Diese Tutorials hier im Forum helfen dir ggf. weiter:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
und
Netzwerk Management Server mit Raspberry Pi
Hi,
danke für deine Antwort!
problematisch ist die Config des OpenVPN-Servers anzupassen, da die Astaro den OpenVPN Server managed! Das ganze wird über ein WebInterface konfiguriert, welches standardmäßig nicht erlaubt push "redirect-gateway def1" zu ergänzen!
Ich muss mich schlau machen, ob sich das per Konsole(SSH) konfigurieren lässt, aktuell kann ich das Server config- file nicht finden.
Falls das nicht funktioniert, siehst du eine Möglichkeit das per masquerading/SNAT zu realisieren? Müsste ja auch wie ein konventioneller DSL Router funktionieren? Der Lappi Muss nicht zwangsläufig aus den Netzen 192.168.1.0 192.168.178.0 192.168.10.0 erreichbar sein. Hauptsache er erreicht die Netze und der Raspberry maskiert und de-maskiert
Grüße
danke für deine Antwort!
problematisch ist die Config des OpenVPN-Servers anzupassen, da die Astaro den OpenVPN Server managed! Das ganze wird über ein WebInterface konfiguriert, welches standardmäßig nicht erlaubt push "redirect-gateway def1" zu ergänzen!
Ich muss mich schlau machen, ob sich das per Konsole(SSH) konfigurieren lässt, aktuell kann ich das Server config- file nicht finden.
Falls das nicht funktioniert, siehst du eine Möglichkeit das per masquerading/SNAT zu realisieren? Müsste ja auch wie ein konventioneller DSL Router funktionieren? Der Lappi Muss nicht zwangsläufig aus den Netzen 192.168.1.0 192.168.178.0 192.168.10.0 erreichbar sein. Hauptsache er erreicht die Netze und der Raspberry maskiert und de-maskiert
Grüße
Hi,
wie mir jetzt klar wurde muss das Szenario auf Site to Site gemünzt werden, d.h. in meinem Fall ist der der OpenVPN server auf der Astaro falsch konfiguriert! Ich habe jetzt vor die Astaro im Site to Site mode zu verwenden, dann müsste auch "push redirect-gateway def1" gepushed werden.
Allerdings würde mich noch eins interessieren. Ich hatte ja oben schon kurz angerissen, dass es nach meiner Meinung ohne statische routen funktionieren müsste. Wenn ja kann das jemand bestätigen? Ein Simpler DSL Router ersetzt die privaten internen IP's mit der Externen a la Masquerading. Für mein Szenario hat der Tun0 eine statische IP Adresse, demnach müsste es hier auch mit SNAT auf dem RaspberryPi klappen???
Grüße
wie mir jetzt klar wurde muss das Szenario auf Site to Site gemünzt werden, d.h. in meinem Fall ist der der OpenVPN server auf der Astaro falsch konfiguriert! Ich habe jetzt vor die Astaro im Site to Site mode zu verwenden, dann müsste auch "push redirect-gateway def1" gepushed werden.
Allerdings würde mich noch eins interessieren. Ich hatte ja oben schon kurz angerissen, dass es nach meiner Meinung ohne statische routen funktionieren müsste. Wenn ja kann das jemand bestätigen? Ein Simpler DSL Router ersetzt die privaten internen IP's mit der Externen a la Masquerading. Für mein Szenario hat der Tun0 eine statische IP Adresse, demnach müsste es hier auch mit SNAT auf dem RaspberryPi klappen???
Grüße
