Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem Iptables Routing durch virtuellen Tun Device

Frage Netzwerke Router & Routing

Mitglied: redemp

redemp (Level 1) - Jetzt verbinden

08.01.2013, aktualisiert 20:56 Uhr, 2354 Aufrufe, 3 Kommentare

Hi,

ich versuche seit Tagen folgendes Problem zu lösen, ich hoffe ihr könnt mir helfen ;)

Danke schon mal im voraus

Ziel: Der RaspberryPi soll als OpenVPN Gateway dienen d.h. als Bsp: Laptop ist per Cat5 Leitung mit dem RaspberryPI(OS Debian Squeeze) verbunden, über einen WLAN Stick baut er eine Verbindung zum AP(Inet) auf. Des Weiteren soll eine OpenVPN Verbindung durch den RaspberryPI(client) zur AstaroFW hergestellt werden! Der komplette Traffic soll nun über den Tun0 Device geleitet werden, d.h. der Laptop muss Zugriff auf alle Netze hinter dem Tun0 device haben.

Ist Zustand: Raspberry baut die WIFI- sowie die OpenVPN Verbindungen auf. Zudem lässt sich vom Laptop die eth0 Schnittstelle erreichen. Seitens des RaspberryPI lassen sich alle Netze hinter dem Tun0 erreichen, allerdings gelingt es mir nicht den Traffic vom Laptop in den Tun0 device umzuleiten!

Das angehängte Bild zeigt Firewall und OpenVPN Server getrennt, jedoch ist beides eine Appliance!
5ae0534d342db65cbd4e4d64a5f0f7f5 - Klicke auf das Bild, um es zu vergrößern

Mein erster Ansatz war per Masquerading wie folgt auf dem RaspberryPi. Anscheinend kommt OpenVpn nicht klar mit dem Masquerading!


/sbin/iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE



Habt ihr Ideen wie man das Problem lösen kann ?

Anbei noch meine IP-Adressen sowie Routing Tabellen:


Laptop eth1: 192.168.0.243
RaspberryPi eth0: 192.168.0.1
RaspberryPi wlan0: 192.168.43.230
RaspberryPi tun0: 192.168.10.6


Laptop:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
192.168.0.0 * 255.255.255.0 U 1 0 0 eth1

RaspberryPi:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.43.1 0.0.0.0 UG 0 0 0 wlan0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0
192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.43.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.178.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
Mitglied: aqui
08.01.2013, aktualisiert um 22:28 Uhr
Im Grunde ist es ganz einfach: Der OpenVPN Server muss mit dem Kommando push "redirect-gateway def1" einfach ein default Gateway an den Pi senden. Damit routet der Pi alles in den VPN Tunnel:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Wichtig ist, das der Pi das IP Forwarding in der sysconfig konfiguriert hat und der Laptop den Pi logischerweise als Default Gateway definiert hat.
Damit sollte es problemlos klappen.
Diese Tutorials hier im Forum helfen dir ggf. weiter:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
Bitte warten ..
Mitglied: redemp
08.01.2013 um 23:14 Uhr
Hi,

danke für deine Antwort!
problematisch ist die Config des OpenVPN-Servers anzupassen, da die Astaro den OpenVPN Server managed! Das ganze wird über ein WebInterface konfiguriert, welches standardmäßig nicht erlaubt push "redirect-gateway def1" zu ergänzen!

Ich muss mich schlau machen, ob sich das per Konsole(SSH) konfigurieren lässt, aktuell kann ich das Server config- file nicht finden.

Falls das nicht funktioniert, siehst du eine Möglichkeit das per masquerading/SNAT zu realisieren? Müsste ja auch wie ein konventioneller DSL Router funktionieren? Der Lappi Muss nicht zwangsläufig aus den Netzen 192.168.1.0 192.168.178.0 192.168.10.0 erreichbar sein. Hauptsache er erreicht die Netze und der Raspberry maskiert und de-maskiert

Grüße
Bitte warten ..
Mitglied: redemp
12.01.2013 um 13:13 Uhr
Hi,

wie mir jetzt klar wurde muss das Szenario auf Site to Site gemünzt werden, d.h. in meinem Fall ist der der OpenVPN server auf der Astaro falsch konfiguriert! Ich habe jetzt vor die Astaro im Site to Site mode zu verwenden, dann müsste auch "push redirect-gateway def1" gepushed werden.

Allerdings würde mich noch eins interessieren. Ich hatte ja oben schon kurz angerissen, dass es nach meiner Meinung ohne statische routen funktionieren müsste. Wenn ja kann das jemand bestätigen? Ein Simpler DSL Router ersetzt die privaten internen IP's mit der Externen a la Masquerading. Für mein Szenario hat der Tun0 eine statische IP Adresse, demnach müsste es hier auch mit SNAT auf dem RaspberryPi klappen???

Grüße
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing mit virtueller Hyper-V PFSense
gelöst Frage von m.reegerRouter & Routing14 Kommentare

Hallo mit einander, ich hatte ja letztens bereits eine Frage gestellt bezüglich einer VPN Site to Site. Das steht ...

Firewall
Iptables Firewall
Frage von verueckterHundFirewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Linux Netzwerk
Iptables forwarding
Frage von fundave3Linux Netzwerk2 Kommentare

Guten Abend zusammen, Ich habe mal eine kleine Frage. Mein Aufbau: Nun möchte ich zum einen zugriff auf das ...

Windows 10
Inaccessible Boot Device nach ACPI-Problem
gelöst Frage von tomue58Windows 10

Hallo an Alle! Konstellation: Laptop Medion MD 96380 mit 4 GB HS, 512 GB SSD, Dualbootsystem Windows 10 Pro ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 10 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 14 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 14 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 17 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...