Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem Iptables Routing durch virtuellen Tun Device

Frage Netzwerke Router & Routing

Mitglied: redemp

redemp (Level 1) - Jetzt verbinden

08.01.2013, aktualisiert 20:56 Uhr, 2332 Aufrufe, 3 Kommentare

Hi,

ich versuche seit Tagen folgendes Problem zu lösen, ich hoffe ihr könnt mir helfen ;)

Danke schon mal im voraus

Ziel: Der RaspberryPi soll als OpenVPN Gateway dienen d.h. als Bsp: Laptop ist per Cat5 Leitung mit dem RaspberryPI(OS Debian Squeeze) verbunden, über einen WLAN Stick baut er eine Verbindung zum AP(Inet) auf. Des Weiteren soll eine OpenVPN Verbindung durch den RaspberryPI(client) zur AstaroFW hergestellt werden! Der komplette Traffic soll nun über den Tun0 Device geleitet werden, d.h. der Laptop muss Zugriff auf alle Netze hinter dem Tun0 device haben.

Ist Zustand: Raspberry baut die WIFI- sowie die OpenVPN Verbindungen auf. Zudem lässt sich vom Laptop die eth0 Schnittstelle erreichen. Seitens des RaspberryPI lassen sich alle Netze hinter dem Tun0 erreichen, allerdings gelingt es mir nicht den Traffic vom Laptop in den Tun0 device umzuleiten!

Das angehängte Bild zeigt Firewall und OpenVPN Server getrennt, jedoch ist beides eine Appliance!
5ae0534d342db65cbd4e4d64a5f0f7f5 - Klicke auf das Bild, um es zu vergrößern

Mein erster Ansatz war per Masquerading wie folgt auf dem RaspberryPi. Anscheinend kommt OpenVpn nicht klar mit dem Masquerading!


/sbin/iptables -A FORWARD -o tun0 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE



Habt ihr Ideen wie man das Problem lösen kann ?

Anbei noch meine IP-Adressen sowie Routing Tabellen:


Laptop eth1: 192.168.0.243
RaspberryPi eth0: 192.168.0.1
RaspberryPi wlan0: 192.168.43.230
RaspberryPi tun0: 192.168.10.6


Laptop:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
link-local * 255.255.0.0 U 1000 0 0 eth1
192.168.0.0 * 255.255.255.0 U 1 0 0 eth1

RaspberryPi:
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default 192.168.43.1 0.0.0.0 UG 0 0 0 wlan0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0
192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.43.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.178.0 192.168.10.5 255.255.255.0 UG 0 0 0 tun0
Mitglied: aqui
08.01.2013, aktualisiert um 22:28 Uhr
Im Grunde ist es ganz einfach: Der OpenVPN Server muss mit dem Kommando push "redirect-gateway def1" einfach ein default Gateway an den Pi senden. Damit routet der Pi alles in den VPN Tunnel:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Wichtig ist, das der Pi das IP Forwarding in der sysconfig konfiguriert hat und der Laptop den Pi logischerweise als Default Gateway definiert hat.
Damit sollte es problemlos klappen.
Diese Tutorials hier im Forum helfen dir ggf. weiter:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
und
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
Bitte warten ..
Mitglied: redemp
08.01.2013 um 23:14 Uhr
Hi,

danke für deine Antwort!
problematisch ist die Config des OpenVPN-Servers anzupassen, da die Astaro den OpenVPN Server managed! Das ganze wird über ein WebInterface konfiguriert, welches standardmäßig nicht erlaubt push "redirect-gateway def1" zu ergänzen!

Ich muss mich schlau machen, ob sich das per Konsole(SSH) konfigurieren lässt, aktuell kann ich das Server config- file nicht finden.

Falls das nicht funktioniert, siehst du eine Möglichkeit das per masquerading/SNAT zu realisieren? Müsste ja auch wie ein konventioneller DSL Router funktionieren? Der Lappi Muss nicht zwangsläufig aus den Netzen 192.168.1.0 192.168.178.0 192.168.10.0 erreichbar sein. Hauptsache er erreicht die Netze und der Raspberry maskiert und de-maskiert

Grüße
Bitte warten ..
Mitglied: redemp
12.01.2013 um 13:13 Uhr
Hi,

wie mir jetzt klar wurde muss das Szenario auf Site to Site gemünzt werden, d.h. in meinem Fall ist der der OpenVPN server auf der Astaro falsch konfiguriert! Ich habe jetzt vor die Astaro im Site to Site mode zu verwenden, dann müsste auch "push redirect-gateway def1" gepushed werden.

Allerdings würde mich noch eins interessieren. Ich hatte ja oben schon kurz angerissen, dass es nach meiner Meinung ohne statische routen funktionieren müsste. Wenn ja kann das jemand bestätigen? Ein Simpler DSL Router ersetzt die privaten internen IP's mit der Externen a la Masquerading. Für mein Szenario hat der Tun0 eine statische IP Adresse, demnach müsste es hier auch mit SNAT auf dem RaspberryPi klappen???

Grüße
Bitte warten ..
Ähnliche Inhalte
Netzwerke
gelöst Switch Cisco SG550XG und 2960X L3 und L2 VLAN Routing Problem (6)

Frage von Jimmysozinho zum Thema Netzwerke ...

Router & Routing
Routing Problem (Windows Server Routing und RAS) (5)

Frage von filou204 zum Thema Router & Routing ...

Router & Routing
Routing Problem VLANS Internet (67)

Frage von Cyberurmel zum Thema Router & Routing ...

Router & Routing
gelöst Mikrotik Switching und Routing Problem (11)

Frage von aqui zum Thema Router & Routing ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (38)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...

Netzwerke
VPN-Server einrichten PPTPD-Einrichtung gescheitert (15)

Frage von MIlexx zum Thema Netzwerke ...