iptables vpn problem

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • hey,

    darf ich euch bitten mir zu helfen?

    Ich habe hier folgende Situation:

    • Netzwerk: 192.168.30.0/24
    • PI1: Nic 0 --> 192.168.30.88/24
    • PI1: tun 0 --> 192.168.0.229/32 (per VPN connected)
    • Pi2: Nic 0 --> 192.168.30.99/24

    Ich möchte nun die IP Adresse 192.168.30.99/24 auf die tun0 nic mappen, bzw. forwarden. Dazu habe ich x beliebige Konstruktionen mit iptables & co. gebaut, aber keine hat zum Erfolg geführt.

    Könntet ihr mir bitte bei den NAT, bzw. Forward Regeln helfen? Ich weiß leider überhaupt nicht mehr weiter, auch diese Anleitung hier hat mir nicht geholfen: Klick

    thx, gruß

    Einmal editiert, zuletzt von tschmi (29. Dezember 2015 um 17:35)

  • Das müsste von den IP's und Subnetze her eigentlich passen. Hier mal ifconfig von tun0:

    tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet addr:192.168.0.229 P-t-P:192.168.0.229 Mask:255.255.255.255
    UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1
    RX packets:11 errors:0 dropped:0 overruns:0 frame:0
    TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:500
    RX bytes:1206 (1.1 KiB) TX bytes:788 (788.0 B)


  • Du hast den Link gelesen? Den hab' ich nicht zum Spass gepostet ...
    -ds-


    Die tun0 config wird ja automatisch erstellt ...

    Bei den anderen IP's habe ich meinen Beitrag angepasst, das war ein Copy&Paste Fehler von dem tun device her. Technisch ist das ja gar nicht möglich, wäre ja sonst noch nicht mal per ssh auf meinem Pi ;)

  • Nein, habe ich zugegebenermassen nicht, denn eigentlich ist mir das alles soweit klar. Du hast aber im strengen Sinne recht :shy: - es besteht ein Unterschied zwischen IP und Subnetz. Da 2 IPs immer den IP Raum reduzieren - die Netzadresse und die Broadcastadresse - kann ein Subnetz erst mit einer CIDR <=30 definiert werden. 31 und 32 ist b u l l s h i t. Aber der TE wollte damit einfach nur ausdrücken dass es eine IP ist - kein Subnetz. Die Notation ist nicht astrein - aber ich lese häufiger Leute so eine IP definieren.

  • Na was mich da irritiert ist, dass tschmi ja schreibt, das wäre automatisch erzeugt ... also nicht von ihm eingetragen.
    Na es landet hier bestimmt noch jemand, der VPN im Einsatz hat und mal Licht ins Dunkel bringen kann.

    Ansosten kann ich tschmi nur raten, hier mal die Forensuche zu bemühen. VPN ist oft Thema und evtl. findest Du da ja ein paar brauchbare Hinweise ...

    cu,
    -ds-


  • Na was mich da irritiert ist, dass tschmi ja schreibt, das wäre automatisch erzeugt ... also nicht von ihm eingetragen.

    Ja, das wird automatisch so erzeugt.

    BTW: Wenn man z. B. mit ifconfig das tun-Interface (Point-to-Point Link) erzeugt/konfiguriert und die netmask (... richtig wäre 255.255.255.254 lt. http://tools.ietf.org/html/rfc3021) nicht angibt, dann wird 255.255.255.255 (/32) angenommen, und damit funktioniert es auch. Aber so wäre es richtig:

    Code
    :~$ ipcalc --nocolor 192.168.0.229/31
    Address:   192.168.0.229        11000000.10101000.00000000.1110010 1
    Netmask:   255.255.255.254 = 31 11111111.11111111.11111111.1111111 0
    Wildcard:  0.0.0.1              00000000.00000000.00000000.0000000 1
    =>
    Network:   192.168.0.228/31     11000000.10101000.00000000.1110010 0
    HostMin:   192.168.0.228        11000000.10101000.00000000.1110010 0
    HostMax:   192.168.0.229        11000000.10101000.00000000.1110010 1
    Hosts/Net: 2                     Class C, Private Internet, PtP Link RFC 3021

    Bei meinem vpn habe ich das "manuell" so gemacht:

    Code
    up {
    ifconfig "%% 10.3.0.2 pointopoint 10.3.0.1 netmask 255.255.255.254";
           route "add -net 192.168.188.0 netmask 255.255.255.0 gw 10.3.0.1";
    firewall "-t nat -A POSTROUTING -o %% -j MASQUERADE";
     };
    Code
    10.3.0.0        0.0.0.0         255.255.255.254 U     0      0        0 tun0
    192.168.188.0   10.3.0.1        255.255.255.0   UG    0      0        0 tun0
    Code
    tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
             inet Adresse:10.3.0.2  P-z-P:10.3.0.1  Maske:255.255.255.254
             UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
             RX-Pakete:24 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
             TX-Pakete:29 Fehler:0 Verloren:0 Überläufe:0 Träger:0
             Kollisionen:0 Sendewarteschlangenlänge:500 
             RX-Bytes:1281 (1.2 KB)  TX-Bytes:1230 (1.2 KB)

    EDIT:

    Der Thread des TE im debian-Forum: http://debianforum.de/forum/viewtopic.php?f=30&t=158871
    (... um stets auf dem Laufenden zu sein).

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (29. Dezember 2015 um 18:42)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!