Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPTABLES Problem mit OpenVPN

Mitglied: PhilippH

PhilippH (Level 1) - Jetzt verbinden

24.03.2006, aktualisiert 08.01.2009, 7099 Aufrufe, 3 Kommentare

Hallo!

Ich will zu Testzwecken unser "Testnetzwerk" mit einem Accesspoint ausstatten. Mit OVPN möchte ich das ganze etwas sicherer gestalten und will NUR Clients in mein LAN passieren lassen, wenn sich diese via ovpn authentifiziert haben. Also der Debian Rechner soll routen könnnen.

Zuerst möchte ich das ganze aber "Kabelgebunden" also via Ethernet testen und später den WLAN AP implementieren.


Testnetz 192.168.10.0/24

Nun habe ich einen Debian Rechner mit zwei NIC installiert.
Eth0 (192.168.10.131) Eth1 (192.168.2.1)

OpenVPN ist auf dem Deb. Rechner installiert und auf einem Laptop mit Win XP ebenfalls.
Der Laptop ist über einen Switch an die eth1 angebunden. (später erst wlan)

Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.

Mit folgender Konfig können ALLE in das Netz:

Iptables ?A FORWARD
Iptables ?A POSTROUTING ?t nat ?j MASQUERADE

IPV4 aktivieren:
echo 1 > /proc/sys/net/ipv4/ip_forward

(Das VPN wird über den Port 5000 UPD aufgebaut )

Hat jemand einen guten Tipp für mich?

Ich danke Euch schonmal !

Gruß Philipp
Mitglied: 27119
24.03.2006 um 09:15 Uhr
Hallo

Vielleicht kannst du hier die Infos rausziehen die du brauchst.
Das Script hab ich so ähnlich in Produktion, allerdings bissi verändert, soll nur beispielhaft sein...


#Initialisieren alter Regeln
iptables -F -v
iptables -F -t nat -v
iptables -X

#Forwarding erlauben
echo 1 > /proc/sys/net/ipv4/ip_forward

#Module in den Kernel laden

modprobe ip-tables
modprobe iptable_nat
modprobe ipt_LOG

#Alles wird per default verworfen (einkommend, ausgehend, durchgehend)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Interfaces / Netze definieren
inside="192.168.10.0/24"
localhost="127.0.0.1"
outside="172.56.5.0/24"


#Lokale Prozesse

iptables -A OUTPUT -s $localhost -j ACCEPT
iptables -A INPUT -s $localhost -j ACCEPT

#Regeln, die Geschlechts- und Daten-Verkehr fuers Netz erlauben

iptables -A INPUT -i eth0 -p ip -s $outside -d $inside -j ACCEPT
iptables -A OUTPUT -p ip -s $inside -j ACCEPT

#Neue Verbindungen

#iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Folgende Regeln wurden etabliert:"
iptables -L -n


firewall ausschalten mit:

iptables -F -v
iptables -F -t nat -v
iptables -X

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT




Gruss
Bitte warten ..
Mitglied: stpe
24.03.2006 um 09:34 Uhr
Der Tunnelaufbau klappt auch soweit allerdings weiß ich nicht genau, wie ich IPTALBES beibringen kann, dass er NUR noch das die Authentifizierten VPN Nutzer ins Testnetz 192.168.10.0 geroutet werden.

Es gibt imho keine Möglichkeit, iptables beizubringen, nur bereits authentifizierte User in's Netz zu routen.

Aber da erst nach erfolgreicher Authentifizierung über IPSec eine Nutzung des VPN-Tunnels möglich ist, reicht es, wenn Du Port 500 (ESP) routest.

Gruss
Stefan
Bitte warten ..
Mitglied: Holgi
24.03.2006 um 13:51 Uhr
Mein Abschnitt über OpenVPN auf meinem OpenWRT Router
sieht so aus:
  1. Nur OpenVPN-Pakete über reale IP annehmen:
iptables -A INPUT -i $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i $WIFI -j DROP
  1. Nur OpenVPN-Pakete über reale IP senden:
iptables -A OUTPUT -o $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP
  1. Kommunikation über Tunnel erlauben:
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE

Grüße
Holgi
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Router & Routing
OpenVPN Problem Route fehlt
Frage von morrasenRouter & Routing10 Kommentare

Mein Problem: Ich komme vom Client (172.16.0.2) nicht auf den Rechner 192.168.178.57, wenn dieser mit dem OpenVPN-Server (10.8.0.1)verbunden ist. ...

Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 4 StundenErkennung und -Abwehr1 Kommentar

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 12 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 3 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server26 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Windows Server
Programme auf DC ausführen
gelöst Frage von chris123Windows Server14 Kommentare

Hallo, ich bin gerade dabei einen weiteren Admin für unser Domäne zu konfigurieren. Er soll auch auf dem DC-Server ...