OpenVPN Netzwerk Zugriff über IP-Tables

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,

    möchte einen Server im Netzwerk über OpenVPN zugänglich machen. Die Clienten sollen nur auf den Server am Port 43432 mit udp Zugang haben.

    Habe folgenden Aufbau/Einstellungen:
    Client1

    Router:

    Code
    192.168.178.0/24

    OpenVPN-Server:

    Code
    192.168.178.72

    Server:

    Code
    192.168.178.4

    Client1.OpenVPN


    Server Openvpn


    Router:
    Portforwarding eingerichtet

    Code
    192.168.178.72 udp 1194


    und statische Route gesetzt:

    Code
    Netzwerk: 192.168.10.0
    Netzmaske: 255.255.255.0
    Gateway: 192.168.178.72

    am OpenVPN-Server:
    ip_forward eingeschaltet in /etc/sysctl.conf


    Die Verbindung bekomme ich hin. Ich kann auch den VPN-Server anpingen mit "ping 192.168.10.1".


    wenn ich am Server eine Route zum Client pushe
    push "route 192.168.178.0 255.255.255.0"
    dann bekomme ich Zugriff aufs komplette Netz -> was ich aber eigentlich nicht will.

    Wenn ich es über iptables mache, dann komme ich nicht ins Netzwerk.

    Habe schon folgendes probiert:

    Code
    iptables -I FORWARD -i tun0 -o eth0 -s 192.168.10.0/24 -d 192.168.178.4 -m conntrack --ctstate NEW -j ACCEPT
    iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

    oder

    Code
    iptables -I FORWARD -i tun0 -o eht0 -s 192.168.10.0/24 -d 192.168.178.4 -j ACCEPT

    Hoffe jemand kann mir hier helfen!
    Schonmal danke im voraus!

    Einmal editiert, zuletzt von n0niL (15. Januar 2015 um 18:16)

  • Ok, danke. Aber warum

    Code
    255.255.255.255


    und nicht

    Code
    255.255.255.0

    ?

    Was macht es für einen Unterschied, wenn ich es mit push route oder mit iptables mache? Habe des öfteren schon gelesen, dass man es lieber mit iptables machen sollte.

    Einmal editiert, zuletzt von n0niL (16. Januar 2015 um 13:53)


  • Ok, danke. Aber warum

    Code
    255.255.255.255


    und nicht

    Code
    255.255.255.0

    ?

    255.255.255.0 = 255 Adressen
    255.255.255.255 = 1 Adresse

    Es wird nur die Route für den einen Host gepushed.



    Was macht es für einen Unterschied, wenn ich es mit push route oder mit iptables mache? Habe des öfteren schon gelesen, dass man es lieber mit iptables machen sollte.

    Du solltest beides nutzen.
    Die Route sorgt dafür das nur ein Host geroutet wird.
    iptabels sorgt dann dafür das auch nur Pakete für den einen Host an den einen Port weitergeleitet werden.

    Code
    iptables -F
    iptables -X
    iptables -t nat -F
    
    
    iptables -P FORWARD DROP # Default blockt alles, wir müssen explizit erlauben
    iptables -A FORWARD -s 192.168.10.0/24 -p tcp -d 192.168.178.4 -dport 43432 -j ACCEPT

    Sorgt dafür das alles was von 192.168.10.0/24 kommt und TCP ist und zu 192.168.178.4 an Port 43432 will weitergeleitet wird.


    Lies mal hier :
    http://64-bit.de/dokumentatione…BLES-HOWTO.html

    Da sind die Ketten des Rotuing sehr gut beschrieben.
    Du kannst es an verschiedenen stellen Blocken.
    Wenn es in das Interface will
    wenn es im Routingprozess ist
    Wenn es aus dem Interface raus will.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!