Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem Iptables Routing durch virtuellen Tun Device

Frage Netzwerke Router & Routing

Mitglied: redemp

redemp (Level 1) - Jetzt verbinden

08.01.2013, aktualisiert 20:56 Uhr, 2310 Aufrufe, 3 Kommentare

Hi,

ich versuche seit Tagen folgendes Problem zu lösen, ich hoffe ihr könnt mir helfen ;)

Danke schon mal im voraus

Ziel: Der RaspberryPi soll als OpenVPN Gateway dienen d.h. als Bsp: Laptop ist per Cat5 Leitung mit dem RaspberryPI(OS Debian Squeeze) verbunden, über einen WLAN Stick baut er eine Verbindung zum AP(Inet) auf. Des Weiteren soll eine OpenVPN Verbindung durch den RaspberryPI(client) zur AstaroFW hergestellt werden! Der komplette Traffic soll nun über den Tun0 Device geleitet werden, d.h. der Laptop muss Zugriff auf alle Netze hinter dem Tun0 device haben.

Ist Zustand: Raspberry baut die WIFI- sowie die OpenVPN Verbindungen auf. Zudem lässt sich vom Laptop die eth0 Schnittstelle erreichen. Seitens des RaspberryPI lassen sich alle Netze hinter dem Tun0 erreichen, allerdings gelingt es mir nicht den Traffic vom Laptop in den Tun0 device umzuleiten!

Das angehängte Bild zeigt Firewall und OpenVPN Server getrennt, jedoch ist beides eine Appliance!
5ae0534d342db65cbd4e4d64a5f0f7f5 - Klicke auf das Bild, um es zu vergrößern

Mein erster Ansatz war per Masquerading wie folgt auf dem RaspberryPi. Anscheinend kommt OpenVpn nicht klar mit dem Masquerading!


/sbin/iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE



Habt ihr Ideen wie man das Problem lösen kann ?

Anbei noch meine IP-Adressen sowie Routing Tabellen:


Laptop eth1: 192.168.0.243
RaspberryPi eth0: 192.168.0.1
RaspberryPi wlan0: 192.168.43.230
RaspberryPi tun0: 192.168.10.6


Laptop:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
192.168.0.0 * 255.255.255.0 U 1 0 0 eth1

RaspberryPi:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.43.1 0.0.0.0 UG 0 0 0 wlan0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0
192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.43.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.178.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
Mitglied: aqui
08.01.2013, aktualisiert um 22:28 Uhr
Im Grunde ist es ganz einfach: Der OpenVPN Server muss mit dem Kommando push "redirect-gateway def1" einfach ein default Gateway an den Pi senden. Damit routet der Pi alles in den VPN Tunnel:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Wichtig ist, das der Pi das IP Forwarding in der sysconfig konfiguriert hat und der Laptop den Pi logischerweise als Default Gateway definiert hat.
Damit sollte es problemlos klappen.
Diese Tutorials hier im Forum helfen dir ggf. weiter:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
Bitte warten ..
Mitglied: redemp
08.01.2013 um 23:14 Uhr
Hi,

danke für deine Antwort!
problematisch ist die Config des OpenVPN-Servers anzupassen, da die Astaro den OpenVPN Server managed! Das ganze wird über ein WebInterface konfiguriert, welches standardmäßig nicht erlaubt push "redirect-gateway def1" zu ergänzen!

Ich muss mich schlau machen, ob sich das per Konsole(SSH) konfigurieren lässt, aktuell kann ich das Server config- file nicht finden.

Falls das nicht funktioniert, siehst du eine Möglichkeit das per masquerading/SNAT zu realisieren? Müsste ja auch wie ein konventioneller DSL Router funktionieren? Der Lappi Muss nicht zwangsläufig aus den Netzen 192.168.1.0 192.168.178.0 192.168.10.0 erreichbar sein. Hauptsache er erreicht die Netze und der Raspberry maskiert und de-maskiert

Grüße
Bitte warten ..
Mitglied: redemp
12.01.2013 um 13:13 Uhr
Hi,

wie mir jetzt klar wurde muss das Szenario auf Site to Site gemünzt werden, d.h. in meinem Fall ist der der OpenVPN server auf der Astaro falsch konfiguriert! Ich habe jetzt vor die Astaro im Site to Site mode zu verwenden, dann müsste auch "push redirect-gateway def1" gepushed werden.

Allerdings würde mich noch eins interessieren. Ich hatte ja oben schon kurz angerissen, dass es nach meiner Meinung ohne statische routen funktionieren müsste. Wenn ja kann das jemand bestätigen? Ein Simpler DSL Router ersetzt die privaten internen IP's mit der Externen a la Masquerading. Für mein Szenario hat der Tun0 eine statische IP Adresse, demnach müsste es hier auch mit SNAT auf dem RaspberryPi klappen???

Grüße
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Router & Routing
gelöst Routing - Netzwerk Problem - zwischen Filiale und Zentrale (12)

Frage von clonex zum Thema Router & Routing ...

Netzwerke
Integration eines fremden Netzwerks (Routing-Problem) (63)

Frage von Brian85 zum Thema Netzwerke ...

Exchange Server
Problem mit POP3-Abruf eines Exchange-2013-Postfachs

Frage von YotYot zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...