Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPTABLES Problem mit OpenVPN

Mitglied: PhilippH

PhilippH (Level 1) - Jetzt verbinden

24.03.2006, aktualisiert 08.01.2009, 7092 Aufrufe, 3 Kommentare

Hallo!

Ich will zu Testzwecken unser "Testnetzwerk" mit einem Accesspoint ausstatten. Mit OVPN möchte ich das ganze etwas sicherer gestalten und will NUR Clients in mein LAN passieren lassen, wenn sich diese via ovpn authentifiziert haben. Also der Debian Rechner soll routen könnnen.

Zuerst möchte ich das ganze aber "Kabelgebunden" also via Ethernet testen und später den WLAN AP implementieren.


Testnetz 192.168.10.0/24

Nun habe ich einen Debian Rechner mit zwei NIC installiert.
Eth0 (192.168.10.131) Eth1 (192.168.2.1)

OpenVPN ist auf dem Deb. Rechner installiert und auf einem Laptop mit Win XP ebenfalls.
Der Laptop ist über einen Switch an die eth1 angebunden. (später erst wlan)

Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.

Mit folgender Konfig können ALLE in das Netz:

Iptables ?A FORWARD
Iptables ?A POSTROUTING ?t nat ?j MASQUERADE

IPV4 aktivieren:
echo 1 > /proc/sys/net/ipv4/ip_forward

(Das VPN wird über den Port 5000 UPD aufgebaut )

Hat jemand einen guten Tipp für mich?

Ich danke Euch schonmal !

Gruß Philipp
Mitglied: 27119
24.03.2006 um 09:15 Uhr
Hallo

Vielleicht kannst du hier die Infos rausziehen die du brauchst.
Das Script hab ich so ähnlich in Produktion, allerdings bissi verändert, soll nur beispielhaft sein...


#Initialisieren alter Regeln
iptables -F -v
iptables -F -t nat -v
iptables -X

#Forwarding erlauben
echo 1 > /proc/sys/net/ipv4/ip_forward

#Module in den Kernel laden

modprobe ip-tables
modprobe iptable_nat
modprobe ipt_LOG

#Alles wird per default verworfen (einkommend, ausgehend, durchgehend)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Interfaces / Netze definieren
inside="192.168.10.0/24"
localhost="127.0.0.1"
outside="172.56.5.0/24"


#Lokale Prozesse

iptables -A OUTPUT -s $localhost -j ACCEPT
iptables -A INPUT -s $localhost -j ACCEPT

#Regeln, die Geschlechts- und Daten-Verkehr fuers Netz erlauben

iptables -A INPUT -i eth0 -p ip -s $outside -d $inside -j ACCEPT
iptables -A OUTPUT -p ip -s $inside -j ACCEPT

#Neue Verbindungen

#iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Folgende Regeln wurden etabliert:"
iptables -L -n


firewall ausschalten mit:

iptables -F -v
iptables -F -t nat -v
iptables -X

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT




Gruss
Bitte warten ..
Mitglied: stpe
24.03.2006 um 09:34 Uhr
Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.

Es gibt imho keine Möglichkeit, iptables beizubringen, nur bereits authentifizierte User in's Netz zu routen.

Aber da erst nach erfolgreicher Authentifizierung über IPSec eine Nutzung des VPN-Tunnels möglich ist, reicht es, wenn Du Port 500 (ESP) routest.

Gruss
Stefan
Bitte warten ..
Mitglied: Holgi
24.03.2006 um 13:51 Uhr
Mein Abschnitt über OpenVPN auf meinem OpenWRT Router
sieht so aus:
  1. Nur OpenVPN-Pakete über reale IP annehmen:
iptables -A INPUT -i $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i $WIFI -j DROP
  1. Nur OpenVPN-Pakete über reale IP senden:
iptables -A OUTPUT -o $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP
  1. Kommunikation über Tunnel erlauben:
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE

Grüße
Holgi
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Router & Routing
OpenVPN Problem Route fehlt
Frage von morrasenRouter & Routing10 Kommentare

Mein Problem: Ich komme vom Client (172.16.0.2) nicht auf den Rechner 192.168.178.57, wenn dieser mit dem OpenVPN-Server (10.8.0.1)verbunden ist. ...

Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 23 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...