Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RaspberryPi VPN-Client-Router

Mitglied: devil77c

devil77c (Level 1) - Jetzt verbinden

17.03.2014, aktualisiert 17:27 Uhr, 3566 Aufrufe, 10 Kommentare

Hallo, ich habe ein kleines Problem.

ich suche nach nach einer lösung mittels IPTables. Folgender aufbau






statische ip:


83.12.x.a ---------

83.12.x.b --------- vpnserver --------- Tunnel pppx --------- Raspberry --------- LAN

83.12.x.c ---------

der tunnel besteht aus pptp (openvpn in arbeit) und ser server hat die ip 10.0.10.1 der raspi hat die 10.0.10.100.
wie sehen die IPTABLES-Zeilen auf denm Server aus und natürlich auch auf den Raspi???


Mit freundlichen Grüßen,
Rothe Christof
Mitglied: SlainteMhath
17.03.2014 um 17:06 Uhr
Moin,

zuerst: Deine ! und ? Tasten scheinen zu hängen...

Was genau sollen denn die iptables Regeln tun? Allen Traffic durchlassen? Portforwarding? Paar mehr infos dürfens schon sein.

lg,
Slainte
Bitte warten ..
Mitglied: devil77c
17.03.2014 um 17:21 Uhr
kann sein, brauche mal ne neue tastatur, hihi

also von der sache her möchte ich meinem dls-anschluss eine statische ip verpassen.

ich habe einen ubuntu 20.04 server mit 4 ip-adressen die jeweils igre daten durch einen raspi schicken sollen.

quasi 2x nat in beide richtungen. sämtliche ports in beide richtungen
wichtig ist lediglich das es über einen vpntunnel gehen muss (raspi immer ppp0)
Bitte warten ..
Mitglied: SlainteMhath
17.03.2014 um 17:49 Uhr
M.E. müssen die Regeln an dem Ubuntu Server gemacht werden... etwa in der Art (ggfs. noch das Interface anpassen)

01.
iptables -t nat -A POSTROUTING -o eth0 -s <interne Ip>  -j SNAT --to-source <externe ip> 
02.
iptables -t nat -A PREROUTING -i eth0 -d <externe ip> -j DNAT --to-destination <interne Ip> 
03.
iptables -A FORWARD -s <externe ip> -j ACCEPT 
04.
iptables -A FORWARD -d <interne Ip> -j ACCEPT
Bitte warten ..
Mitglied: devil77c
17.03.2014 um 19:14 Uhr
geht das auch mit eth0:0

muss ich da die ip vom tunnelende ( vpn-client) nehmen?
ext. IP-Adresse <-> Raspi (getunnelt)

ext. ip (eth0 - eth0:3 = 83.12.x.a, b, c, d
VPN-Server (pppx) = 10.0.10.1
VPN-Client (pppx) = 10.0.10.100
Lan (eth0) = 192.168.1.2

vpn-server Seite

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.10.100 -j SNAT --to-source 83.12.x.a
iptables -t nat -A PREROUTING -i eth0 -d 83.12.x.a -j DNAT --to-destination 10.0.10.100
iptables -A FORWARD -s 83.12.x.a -j ACCEPT
iptables -A FORWARD -d 10.0.10.100 -j ACCEPT

Raspi-Seite
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.10.1 -j SNAT --to-source 192.168.1.2
iptables -t nat -A PREROUTING -i eth0 -d 192.168.1.2 -j DNAT --to-destination 10.0.10.1
iptables -A FORWARD -s 10.0.10.1 -j ACCEPT
iptables -A FORWARD -d 192.168.1.2 -j ACCEPT

so oder ist da noch ein fehler
Bitte warten ..
Mitglied: SlainteMhath
17.03.2014 um 19:18 Uhr
Auf dem Ubuntu muss du direkt die IP des internen Servers angeben, nicht die vom Raspi. Und natürlich brauchst du auf dem Ubuntu um dem Raspi entsprechende Routen...

Auf der Raspi Seite brauchst du keine NAT Regeln mehr, sondern ggfs nur ACCEPT Regeln um den Traffic von ANY zu der internen Server IP zuzulassen.

PS: 192.168.1.2? Ich dachte der interne Server ist die 10.0.10.1??
Bitte warten ..
Mitglied: devil77c
17.03.2014 um 19:27 Uhr
der raspi fungiert als router der nochmal den traffic verteilt
Bitte warten ..
Mitglied: devil77c
18.03.2014, aktualisiert 19.03.2014
guten morgen, also ich habe gestern abend noch meinen meinen vpn-server aufgesetzt und so sieht das aus:

eth0 Link encap:Ethernet Hardware Adresse 00:16:3c:2f:56:67
inet Adresse:85.x.x.43 Bcast:85.x.x.255 Maske:255.255.255.0
inet6-Adresse: *2f:5667/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:6904031 Fehler:0 Verloren:138934 Überläufe:0 Fenster:0
TX-Pakete:13661 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:324391172 (324.3 MB) TX-Bytes:2052447 (2.0 MB)
Interrupt:10 Basisadresse:0x2000

eth0:1 Link encap:Ethernet Hardware Adresse 00:16:3c:2f:56:67
inet Adresse:85.x.x.49 Bcast:85.x.x.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
Interrupt:10 Basisadresse:0x2000

eth0:2 Link encap:Ethernet Hardware Adresse 00:16:3c:2f:56:67
inet Adresse:85.x.x.50 Bcast:85.x.x.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
Interrupt:10 Basisadresse:0x2000

eth0:3 Link encap:Ethernet Hardware Adresse 00:16:3c:2f:56:67
inet Adresse:85.x.x.51 Bcast:85.x.x.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
Interrupt:10 Basisadresse:0x2000

lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metrik:1
RX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX-Bytes:0 (0.0 B) TX-Bytes:0 (0.0 B)

ppp1 Link encap:Punkt-zu-Punkt-Verbindung
inet Adresse:10.0.10.1 P-z-P:10.0.10.100 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1496 Metrik:1
RX-Pakete:5 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:5 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:3
RX-Bytes:68 (68.0 B) TX-Bytes:62 (62.0 B)

die ip´s sind alle pingbar und auch per vhost ereichbar.
nun will ich den gesamten traffic (alles, tcp udp icmp ...) von der 85.x.x.51 (eth0:3) an den vpn-entpunkt 10.0.10.100 weiterleiten.
der traffic sollte natürlich in beide richtungen funtionieren. der ausgehende traffic sollte dann auch über die 85.x.x.51 idetifiziert werden.

ich bin am verzweifeln

danke
Bitte warten ..
Mitglied: SlainteMhath
18.03.2014 um 08:20 Uhr
Wie sehen

1) die Routen
2) die iptables Regeln

auf den beteiligten Geräten aus?
Bitte warten ..
Mitglied: devil77c
19.03.2014, aktualisiert um 19:49 Uhr
so, die portweiterleitung zum raspi ist schonmal online
alle anfragen an die ip 85.xx.49 an die ports 1-10000 werden umgeleitet.

leider läuft fie weiterleitung auf dem raspi nicht, uch denke da pass was mit dem MASQUERADE nicht.


#!/bin/sh

  1. 1 Iptables
FW="/sbin/iptables"

  1. 2 vorhandene Regeln & Ketten löschen
$FW -F
$FW -X
$FW -t nat -F

  1. 3 Standardregeln
$FW -P INPUT ACCEPT
$FW -P FORWARD ACCEPT
$FW -P OUTPUT ACCEPT

$FW -t nat -A PREROUTING -d 85.93.17.49 -p tcp -m multiport --dports 1:10000 -j DNAT --to-destination 10.0.10.100
$FW -t nat -A POSTROUTING -p tcp -m multiport --dports 1:10000 -j MASQUERADE

$FW -A FORWARD -o ppp0 -s 10.0.10.100 -m conntrack --ctstate NEW -j ACCEPT
$FW -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$FW -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1

exit 0

das routing auf dem server ist so!!!

root@vpn1:/etc# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 85.xx.1 0.0.0.0 UG 100 0 0 eth0
10.0.10.100 * 255.255.255.255 UH 0 0 0 ppp1
85.xx.0 * 255.255.255.0 U 0 0 0 eth0
Bitte warten ..
Mitglied: SlainteMhath
20.03.2014 um 08:12 Uhr
Warum machst du da überhaupt Masquerading? Das Umsetzen der IP Adressen passiert auf dem öffentlichen Server mit dem 1:1 NAT, alle anderen Geräte brauchen dann lediglich die korrekten Routen.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
RaspberryPi Router mit IP-Telefonie
gelöst Frage von dr-mannyNetzwerke4 Kommentare

Servus, ich möchte (da ich felxibler sein möchte und es meine Fritz!Box nicht mehr tut) eine Eigenkreation entwerfen für ...

Debian
RaspberryPi BitTorrent?!
gelöst Frage von CarlssDebian11 Kommentare

Hallo! Ich würde gerne meinen RaspberryPi für das Seeden von Torrents einsetzen. Also habe ich nach passenden Programmen (wie ...

Router & Routing
Router mit integr. VPN-Client
gelöst Frage von 118184Router & Routing6 Kommentare

Hallo zusammen, ich weiß nicht, ob es sowas gibt, aber ich suche einen Router, der über einen integrierten VPN-Client ...

Router & Routing

Mikrotik VPN - Router hat Zugriff, Client nicht

gelöst Frage von BirdyBRouter & Routing28 Kommentare

Hallo zusammen, leider muss ich euch noch mit einer weiteren Frage zu meiner VPN-Problematik behelligen. Stand der Dinge ist ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 8 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 8 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Viren und Trojaner
Neue Avira Management Console Egosecure
Information von OSelbeck vor 1 TagViren und Trojaner1 Kommentar

Hallöchen zusammen, ich weiß nicht, wer von euch noch Avira einsetzt Wir haben ein paar Kunden Avira hatte ja ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
Frage von YellowcakeExchange Server16 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...