Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPTABLES Problem mit OpenVPN

Mitglied: PhilippH

PhilippH (Level 1) - Jetzt verbinden

24.03.2006, aktualisiert 08.01.2009, 7102 Aufrufe, 3 Kommentare

Hallo!

Ich will zu Testzwecken unser "Testnetzwerk" mit einem Accesspoint ausstatten. Mit OVPN möchte ich das ganze etwas sicherer gestalten und will NUR Clients in mein LAN passieren lassen, wenn sich diese via ovpn authentifiziert haben. Also der Debian Rechner soll routen könnnen.

Zuerst möchte ich das ganze aber "Kabelgebunden" also via Ethernet testen und später den WLAN AP implementieren.


Testnetz 192.168.10.0/24

Nun habe ich einen Debian Rechner mit zwei NIC installiert.
Eth0 (192.168.10.131) Eth1 (192.168.2.1)

OpenVPN ist auf dem Deb. Rechner installiert und auf einem Laptop mit Win XP ebenfalls.
Der Laptop ist über einen Switch an die eth1 angebunden. (später erst wlan)

Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.

Mit folgender Konfig können ALLE in das Netz:

Iptables ?A FORWARD
Iptables ?A POSTROUTING ?t nat ?j MASQUERADE

IPV4 aktivieren:
echo 1 > /proc/sys/net/ipv4/ip_forward

(Das VPN wird über den Port 5000 UPD aufgebaut )

Hat jemand einen guten Tipp für mich?

Ich danke Euch schonmal !

Gruß Philipp
Mitglied: 27119
24.03.2006 um 09:15 Uhr
Hallo

Vielleicht kannst du hier die Infos rausziehen die du brauchst.
Das Script hab ich so ähnlich in Produktion, allerdings bissi verändert, soll nur beispielhaft sein...


#Initialisieren alter Regeln
iptables -F -v
iptables -F -t nat -v
iptables -X

#Forwarding erlauben
echo 1 > /proc/sys/net/ipv4/ip_forward

#Module in den Kernel laden

modprobe ip-tables
modprobe iptable_nat
modprobe ipt_LOG

#Alles wird per default verworfen (einkommend, ausgehend, durchgehend)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Interfaces / Netze definieren
inside="192.168.10.0/24"
localhost="127.0.0.1"
outside="172.56.5.0/24"


#Lokale Prozesse

iptables -A OUTPUT -s $localhost -j ACCEPT
iptables -A INPUT -s $localhost -j ACCEPT

#Regeln, die Geschlechts- und Daten-Verkehr fuers Netz erlauben

iptables -A INPUT -i eth0 -p ip -s $outside -d $inside -j ACCEPT
iptables -A OUTPUT -p ip -s $inside -j ACCEPT

#Neue Verbindungen

#iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Folgende Regeln wurden etabliert:"
iptables -L -n


firewall ausschalten mit:

iptables -F -v
iptables -F -t nat -v
iptables -X

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT




Gruss
Bitte warten ..
Mitglied: stpe
24.03.2006 um 09:34 Uhr
Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.

Es gibt imho keine Möglichkeit, iptables beizubringen, nur bereits authentifizierte User in's Netz zu routen.

Aber da erst nach erfolgreicher Authentifizierung über IPSec eine Nutzung des VPN-Tunnels möglich ist, reicht es, wenn Du Port 500 (ESP) routest.

Gruss
Stefan
Bitte warten ..
Mitglied: Holgi
24.03.2006 um 13:51 Uhr
Mein Abschnitt über OpenVPN auf meinem OpenWRT Router
sieht so aus:
  1. Nur OpenVPN-Pakete über reale IP annehmen:
iptables -A INPUT -i $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i $WIFI -j DROP
  1. Nur OpenVPN-Pakete über reale IP senden:
iptables -A OUTPUT -o $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP
  1. Kommunikation über Tunnel erlauben:
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE

Grüße
Holgi
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Router & Routing
OpenVPN Problem Route fehlt
Frage von morrasenRouter & Routing10 Kommentare

Mein Problem: Ich komme vom Client (172.16.0.2) nicht auf den Rechner 192.168.178.57, wenn dieser mit dem OpenVPN-Server (10.8.0.1)verbunden ist. ...

Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 1 TagMicrosoft2 Kommentare

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 1 TagSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 1 TagSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 1 TagHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen33 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple25 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic19 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

Datenbanken
MS SQL DB-Daten archivieren?
gelöst Frage von SchelinhoDatenbanken16 Kommentare

Hallo zusammen! Ich habe eine Anwendung, welche MSSQL (SQL Server 2014 SP2) nutzt. Auf der DB-Instanz laufen diverse Datenbanken. ...