trohn-javolta
Dec 01, 2018
view2335
view42
0
Goto Top

(OpenWrt-Lede) Vpnserver und Vpnclient auf einem Router, Vpnclient IP nicht erreichbar über Vpn tunnel

GermanQuestionRouters, RoutingNetworks
Hallo an alle, ich kämpfe mit diesem Problem schon seit über einem Jahr, vllt. gibt es hier jemanden der mir helfen kann.
Folgende Situation:

Ich habe auf meinem Linksys Router (Openwrt/Lede läuft darauf) sowohl einen Vpnclient als auch einen Vpnserver aufgesetzt.
Der Vpnclient verbindet sich mit meinem Vpn provider torguard, allerdings wollte ich nicht, dass alle IP's in meinem Netzwerk durch den Vpn Tunnel zum Provider gehen, nur eine IP/Gerät. In der Folge bezeichne ich diese IP/Gerät als odroid-hc2.

Deshalb nutze ich eine vpn-policy-routing app gemeinsam mit den Vpnclient Optionen 
nobind
und 
route-nopull
.
Ich weiß nicht genau was diese vpn-policy-routing app macht, denke es wird eine neue Routing Tabelle erstellt. Hier die Einstellungen der vpn-policy-routing app:

config vpn-policy-routing 'config'  
	option verbosity '2'  
	option ipv6_enabled '1'  
	option strict_enforcement '1'  
	option dnsmasq_enabled '1'  
	option output_chain_enabled '1'  
	option enabled '1'  
	list ignored_interface 'vpnserver'  

config policy
	option comment 'odroid-hc2'  
	option local_addresses '192.168.1.111'  
	option interface 'torguardvpn'  

config policy
	option comment 'ovpnserver'  
	option interface 'wan'  
	option local_ports '1194'

Soweit funktioniert das auch tadellos: Alle IP's gehen ganz normal raus, nur odroid-hc2 geht durch den Tunnel zum Vpn Provider.

Nun kommt der Vpnserver ins Spiel: Da ich mich aus der Ferne erfolgreich zum Vpnserver verbinden kann, nehme ich an, dass grundsätzlich alles korrekt eingestellt ist.
Ich kann so alle IP's erreichen AUßER! eben die odroid-hc2 IP face-sad

Im Lan kann ich die odroid-hc2 IP ohne Probleme erreichen.
Kann mir wer helfen, die odroid-hc2 IP auch aus der Ferne zu erreichen?

Mein Routing wissen ist recht begrenzt, vllt. gibt es hier einen Routing Guru der mir weiterhelfen kann.

Zum Schluss möchte poste ich noch die Config files zur firewall, zum Vpnserver und client:

/etc/config/openvpn

config openvpn 'torguard'  
	option client '1'  
	option dev 'tun0'  
	option proto 'udp'  
	option resolv_retry 'infinite'  
	option nobind '1'  
	option persist_key '1'  
	option persist_tun '1'  
	option ca '/etc/config/torguard/ca.crt'  
	option route_nopull '1'  
	option remote_cert_tls 'server'  
	option cipher 'AES-128-CBC'  
	option compress 'lzo'  
	option verb '3'  
	option fast_io '1'  
	option auth_user_pass '/etc/config/torguard/userpass.txt'  
	option remote_random '0'  
	option auth 'SHA1'  
	option reneg_sec '0'  
	list remote 'nl.torguardvpnaccess.com 80'  
	option sndbuf '524288'  
	option rcvbuf '524288'  
	option fragment '0'  
	option mssfix '0'  
	option mute_replay_warnings '1'  
	option auth_nocache '1'  
	option enabled '1'  
	option log '/tmp/openvpnclient.log'  

config openvpn 'vpnserver'  
	option enabled '1'  
	option dev_type 'tun'  
	option dev 'tun1'  
	option port '1194'  
	option topology 'subnet'  
	option tls_server '1'  
	option mode 'server'  
	option server '192.168.200.0 255.255.255.0'  
	option route_gateway 'dhcp'  
	option compress 'lz4'  
	option keepalive '10 120'  
	option persist_key '1'  
	option persist_tun '1'  
	option verb '4'  
	option ca '/etc/openvpn/ca.crt'  
	option cert '/etc/openvpn/my-server.crt'  
	option key '/etc/openvpn/my-server.key'  
	option dh '/etc/openvpn/dh2048.pem'  
	option tls_auth '/etc/openvpn/tls-auth.key 0'  
	option client_to_client '1'  
	option log '/tmp/openvpnserver.log'  
	list push 'topology subnet'  
	list push 'redirect-gateway def1'  
	list push 'route-gateway dhcp'  
	list push 'route 192.168.200.0 255.255.255.0'  
	list push 'dhcp-option DNS 192.168.1.1'  
	list push 'compress lz4'  
	list push 'persist-key'  
	list push 'persist-tun'  
	option proto 'tcp'  


/etc/config/firewall

config defaults
	option input 'ACCEPT'  
	option output 'ACCEPT'  
	option forward 'DROP'  
	option syn_flood '1'  
	option drop_invalid '1'  

config rule
	option name 'Allow-OpenVPN-Inbound'  
	option target 'ACCEPT'  
	option src '*'  
	option proto 'tcpudp'  
	option dest_port '1194'  

config zone
	option name 'lan'  
	option network 'lan'  
	option input 'ACCEPT'  
	option output 'ACCEPT'  
	option forward 'DROP'  
	option masq '1'  

config zone
	option name 'vpnserver'  
	option network 'vpnserver'  
	option input 'ACCEPT'  
	option forward 'REJECT'  
	option output 'ACCEPT'  
	option masq '1'  

config zone
	option name 'vpnclientfw'  
	option network 'torguardvpn'  
	option input 'REJECT'  
	option output 'ACCEPT'  
	option forward 'REJECT'  
	option masq '1'  
	option mtu_fix '1'  

config zone
	option name 'wan'  
	option network 'wan wan6'  
	option input 'DROP'  
	option output 'ACCEPT'  
	option forward 'DROP'  
	option masq '1'  
	option mtu_fix '1'  

config forwarding
	option src 'vpnserver'  
	option dest 'wan'  

config forwarding
	option src 'vpnserver'  
	option dest 'lan'  

config forwarding
	option dest 'vpnclientfw'  
	option src 'lan'  

config forwarding
	option src 'vpnserver'  
	option dest 'vpnclientfw'  

config forwarding
	option dest 'wan'  
	option src 'lan'  

config rule
	option name 'Allow-DHCP-Renew'  
	option src 'wan'  
	option proto 'udp'  
	option dest_port '68'  
	option target 'ACCEPT'  
	option family 'ipv4'  

config rule
	option name 'Allow-Ping'  
	option src 'wan'  
	option proto 'icmp'  
	option icmp_type 'echo-request'  
	option family 'ipv4'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-IGMP'  
	option src 'wan'  
	option proto 'igmp'  
	option family 'ipv4'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-DHCPv6'  
	option src 'wan'  
	option proto 'udp'  
	option src_ip 'fc00::/6'  
	option dest_ip 'fc00::/6'  
	option dest_port '546'  
	option family 'ipv6'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-MLD'  
	option src 'wan'  
	option proto 'icmp'  
	option src_ip 'fe80::/10'  
	list icmp_type '130/0'  
	list icmp_type '131/0'  
	list icmp_type '132/0'  
	list icmp_type '143/0'  
	option family 'ipv6'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-ICMPv6-Input'  
	option src 'wan'  
	option proto 'icmp'  
	list icmp_type 'echo-request'  
	list icmp_type 'echo-reply'  
	list icmp_type 'destination-unreachable'  
	list icmp_type 'packet-too-big'  
	list icmp_type 'time-exceeded'  
	list icmp_type 'bad-header'  
	list icmp_type 'unknown-header-type'  
	list icmp_type 'router-solicitation'  
	list icmp_type 'neighbour-solicitation'  
	list icmp_type 'router-advertisement'  
	list icmp_type 'neighbour-advertisement'  
	option limit '1000/sec'  
	option family 'ipv6'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-ICMPv6-Forward'  
	option src 'wan'  
	option dest '*'  
	option proto 'icmp'  
	list icmp_type 'echo-request'  
	list icmp_type 'echo-reply'  
	list icmp_type 'destination-unreachable'  
	list icmp_type 'packet-too-big'  
	list icmp_type 'time-exceeded'  
	list icmp_type 'bad-header'  
	list icmp_type 'unknown-header-type'  
	option limit '1000/sec'  
	option family 'ipv6'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-IPSec-ESP'  
	option src 'wan'  
	option dest 'lan'  
	option proto 'esp'  
	option target 'ACCEPT'  

config rule
	option name 'Allow-ISAKMP'  
	option src 'wan'  
	option dest 'lan'  
	option dest_port '500'  
	option proto 'udp'  
	option target 'ACCEPT'  

config include 'miniupnpd'  
	option type 'script'  
	option path '/usr/share/miniupnpd/firewall.include'  
	option family 'any'  
	option reload '1'  

config zone 'gastwlanfw'  
	option name 'gastwlanfw'  
	option network 'gastwlan'  
	option forward 'REJECT'  
	option output 'ACCEPT'  
	option input 'REJECT'  

config forwarding 'gastwlanfw_fwd'  
	option src 'gastwlanfw'  
	option dest 'wan'  

config rule 'gastwlanfw_dhcp'  
	option name 'gastwlanfw_DHCP'  
	option src 'gastwlanfw'  
	option target 'ACCEPT'  
	option proto 'udp'  
	option dest_port '67-68'  

config rule 'gastwlanfw_dns'  
	option name 'gastwlanfw_DNS'  
	option src 'gastwlanfw'  
	option target 'ACCEPT'  
	option proto 'tcp udp'  
	option dest_port '53'  

config rule
	option src 'lan'  
	option dest 'wan'  
	option name 'switchblock'  
	option src_mac '04:03:D6:55:8C:E5'  
	option target 'REJECT'  
	option enabled '0'  

config rule
	option src 'lan'  
	option dest 'wan'  
	option name 'switchblock_lan'  
	option src_mac 'A0:CE:C8:C1:9A:F8'  
	option target 'REJECT'  
	option enabled '0'
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 394417

Url: https://administrator.de/contentid/394417

Printed on: April 16, 2024 at 12:04 o'clock

42 Comments
Latest comment
Goto Top
Member: Spirit-of-Eli
Spirit-of-Eli Dec 01, 2018 at 11:48:27 (UTC)
Goto Top
Moin,

du hast nur einen Gedanklichen break.
Die Rückroute vom Odroid scheint durch diese VPN APP Geschichte zu fehlen.
Oder der Zugriff ist nicht mehr erlaubt, da dieser ja eigentlich nur noch in den Tunnel gehen soll.

Gruß
Spirit
Member: aqui
aqui Dec 01, 2018 updated at 13:01:08 (UTC)
Goto Top
sowohl einen Vpnclient als auch einen Vpnserver aufgesetzt.
Wie immer die Frage WELCHES der zahllosen VPN Protokolle nutzt du ?? Leider dazu kein Wort face-sad
Der Konfig nach zu urteilen ist das OpenVPN also SSL ?!
allerdings wollte ich nicht, dass alle IP's in meinem Netzwerk durch den Vpn Tunnel zum Provider gehen
Dann darfst du KEIN Gateway Redirect machen in der OVPN Server Konfig !
https://openvpn.net/community-resources/how-to/#redirect
Ich kann so alle IP's erreichen AUßER! eben die odroid-hc2 IP
Dem fehlt ganz sicher die Route in das interne OVPN IP Netz des Clients !
Sieh dir auf dem Rechner die Routing Tabelle an (route print = Winblows, netstat -r -n = unixoide OS) !
Beim Odroid MUSS dort eine Route in das interne OVPN IP Netz des Clients sichtbar sein via VPN Server IP.
Ohne diese Route kein Odroid...logisch !
Routing Tabelle und Traceroute Tool sind hier wie immer deine besten Freunde !
Member: trohn-javolta
trohn-javolta Dec 01, 2018 updated at 14:01:09 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

du hast nur einen Gedanklichen break.
Die Rückroute vom Odroid scheint durch diese VPN APP Geschichte zu fehlen.
Oder der Zugriff ist nicht mehr erlaubt, da dieser ja eigentlich nur noch in den Tunnel gehen soll.

Gruß
Spirit

Ok. Und wie könnte ich diese Rückroute nun konkret schaffen?
Member: trohn-javolta
trohn-javolta Dec 01, 2018 updated at 14:01:28 (UTC)
Goto Top
Zitat von @aqui:

Der Konfig nach zu urteilen ist das OpenVPN also SSL ?!
Openvpn ja.

Dann darfst du KEIN Gateway Redirect machen in der OVPN Server Konfig !
https://openvpn.net/community-resources/how-to/#redirect
Sry das versteh ich nicht. Der redirect gateway Eintrag in meiner server conf betriff ja clients die sich auf meinen Vpnserver verbinden.
Hier hab ich ja IP's aus meinem Lan gemeint, die rausgehen.
Dem fehlt ganz sicher die Route in das interne OVPN IP Netz des Clients !
Leider hab ich keine Ahnung wie ich dies ändern kann. Könntest du mir da helfen? Hab mir alles soweit angelesen um Server u. Client so aufzusetzen, dass alles soweit funktioniert aber wenns dann um irgendwelche Routen oder Tabellen geht steig ich aus face-sad
Sieh dir auf dem Rechner die Routing Tabelle an (route print = Winblows, netstat -r -n = unixoide OS) !
Beim Odroid MUSS dort eine Route in das interne OVPN IP Netz des Clients sichtbar sein via VPN Server IP.
Ohne diese Route kein Odroid...logisch !
Ok, wenn ich auf einer anderen IP netstat -r -n laufen lasse bekomm ich diesen Output:
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.1.1     0.0.0.0         255.255.255.255 UH        0 0          0 eth0

Und der output der Odroid IP ist dieser:
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0
172.18.0.0      0.0.0.0         255.255.0.0     U         0 0          0 br-1bbcf5e2d7b7
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
Member: Spirit-of-Eli
Spirit-of-Eli Dec 01, 2018 at 14:01:28 (UTC)
Goto Top
In dem du dir erstmal die Routing table anschaust.
Wenn dort keine Route vom Subnetz des Odroid zum entsprechenden Ziel ist, solltest du diese händisch ergänzen.
Member: aqui
aqui Dec 01, 2018 updated at 14:12:33 (UTC)
Goto Top
Und der output der Odroid IP ist dieser:
Siehst du ja dann wohl (hoffentlich) selber, oder ??!!
Fairerweise müsste man natürlich noch die Routing Tabelle des Routers 192.168.1.1 mal sehen ob es dort eine spezifische Route ins 192.168.200.0 /24er Netz gibt ?!

Der VPN Server hat intern das 192.168.200.0 /24er Netz mit dem der VPN Client am Server ankommt !
Wenn der Odroid nun das IP Paket bekommt will er das an den Client mit der 192.168.200.x zurücksenden.
Da ihm die spezifische Route auf die VPN Server IP fehlt, sendet er es dann an sein Default Gateway 192.168.1.1 was vermutlich der Internet Router ist und der sendet es OHNE spezifische Route 192.168.200er Route dann ins (Provider) Nirwana (Private RFC 1918 IP).
Klar also das das nicht geht sollte diese Route im .1.1er Router fehlen...?!
Füge also am Router 192.168.1.1 eine statische Route ins 192.168.200.0 /24 Netz hinzu mit Next Hop VPN Server IP.
Das sollte das Problem fixen !
Kann der keine statischen Routen dann direkt auf dem Odroid mit route add 192.168.200.0 mask....
Member: trohn-javolta
trohn-javolta Dec 01, 2018 at 14:52:20 (UTC)
Goto Top
Zitat von @aqui:

Fairerweise müsste man natürlich noch die Routing Tabelle des Routers 192.168.1.1 mal sehen ob es dort eine spezifische Route ins 192.168.200.0 /24er Netz gibt ?!
Hier der Output vom Router (192.168.1.1):
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         81.217.146.1    0.0.0.0         UG        0 0          0 eth1.2
10.22.0.5       0.0.0.0         255.255.255.255 UH        0 0          0 tun0
81.217.146.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1.2
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 br-lan
192.168.200.0   0.0.0.0         255.255.255.0   U         0 0          0 tun1

Der VPN Server hat intern das 192.168.200.0 /24er Netz mit dem der VPN Client am Server ankommt !
Wenn der Odroid nun das IP Paket bekommt will er das an den Client mit der 192.168.200.x zurücksenden.
Da ihm die spezifische Route auf die VPN Server IP fehlt, sendet er es dann an sein Default Gateway 192.168.1.1 was vermutlich der Internet Router ist und der sendet es OHNE spezifische Route 192.168.200er Route dann ins (Provider) Nirwana (Private RFC 1918 IP).
Super erklärt, hab sogar ich als noob verstanden. Wusst bis jz gar nicht dass die odroid IP überhaupt was bekommt u. "nur" das zurücksenden das Problem ist.
Füge also am Router 192.168.1.1 eine statische Route ins 192.168.200.0 /24 Netz hinzu mit Next Hop VPN Server IP.
Das sollte das Problem fixen !
Kann der keine statischen Routen dann direkt auf dem Odroid mit route add 192.168.200.0 mask....

Also am Router gibt's die Option statische Routern hinzuzufügen, aber ich steh schon beim ersten Punkt an: Schnittstelle...lan oder?
Kannst du mir da noch helfen? Hier ein Bild von den Optionen:
unbenannt

Auswählen kann bei Schnittstellen zw. Lan, Wan ,Wan6, torguardvpn, gastwlan, vpnserver.
Bei Routen Typ: unicast, local, broadcast, multicast, unreachable, prohibit, blackhole, anycast.
Member: trohn-javolta
trohn-javolta Dec 06, 2018 at 12:43:24 (UTC)
Goto Top
Wird meine Frage hier absichtlich nicht weiterbehandelt? Schaffe es nicht diese Rückroute einzutragen u. wäre für jede konkrete Antwort um das Problem zu lösen dankbar.
Member: aqui
aqui Dec 06, 2018 updated at 13:00:03 (UTC)
Goto Top
Schaffe es nicht diese Rückroute einzutragen
Warum nicht ??
Gaaanz langsam mit der Tastatur eingeben und die <Return> Taste nicht vergessen zu drücken !
Danach die Routing Tabelle ansehen und checken ob sie eingetragen wurde.
Fertsch.
Was ist so schwer daran ? Das hätte auch Johnny Travo seinerzeit geschafft face-wink
Member: trohn-javolta
trohn-javolta Dec 06, 2018 updated at 13:25:36 (UTC)
Goto Top
Zitat von @aqui:

Schaffe es nicht diese Rückroute einzutragen
Warum nicht ??
Gaaanz langsam mit der Tastatur eingeben und die <Return> Taste nicht vergessen zu drücken !
Danach die Routing Tabelle ansehen und checken ob sie eingetragen wurde.
Fertsch.
Was ist so schwer daran ? Das hätte auch Johnny Travo seinerzeit geschafft face-wink

Wie gesagt, ich weiß nicht was ich eingeben müss. Und ob ich hier in den Routereinstellungen überhaupt richtig bin.
Fängt bei der Schnittstelle schon an: Muss ich nicht von der vpnclient Schnittstelle zur vpnserver Schnittstelle routen?
Diese Option hab ich in dem Dialog gar nicht. Ziel ist in dem Fall das Vpnserver Subnetz 192.168.200.0 oder? Und was dann bei Gateway und Routentyp?
Member: aqui
aqui Dec 06, 2018 at 13:31:44 (UTC)
Goto Top
Ja, der Odroid hat ja als Default Router den Internet Router angegeben.
Die Route muss also auf dem Router eingestellt werden und da es sich rein komplett auf dem LAN Port abspielt ist "LAN" dort logischerweise auch richtig.
Dort gibst du das Zielnetz an, sprich das interne OVPN Netz und den Next Hop um dahin zu kommen. Letzteres ist der OVPN Server bzw. seine LAN IP Adresse im LAN Netz des Routers.
Da das Netz am OVPN Server selber direkt dran ist "kennt" der das also. Dessen Default Gateway zeigt auch auf den Router.
Fertsch ! face-wink
Member: trohn-javolta
trohn-javolta Dec 06, 2018 at 14:13:43 (UTC)
Goto Top
Zitat von @aqui:

Ja, der Odroid hat ja als Default Router den Internet Router angegeben.
Die Route muss also auf dem Router eingestellt werden und da es sich rein komplett auf dem LAN Port abspielt ist "LAN" dort logischerweise auch richtig.
Dort gibst du das Zielnetz an, sprich das interne OVPN Netz und den Next Hop um dahin zu kommen. Letzteres ist der OVPN Server bzw. seine LAN IP Adresse im LAN Netz des Routers.
Da das Netz am OVPN Server selber direkt dran ist "kennt" der das also. Dessen Default Gateway zeigt auch auf den Router.
Fertsch ! face-wink

Meinst du mit next hop das gateway?..
Würds so funktionieren:
img_041

Bei Routen Typ local?
Member: trohn-javolta
trohn-javolta Dec 06, 2018 at 14:34:30 (UTC)
Goto Top
Funktioniert leider nicht face-sad
Member: aqui
aqui Dec 06, 2018 at 17:26:38 (UTC)
Goto Top
Sorry, aber diese Route ist doch Schwachsinn !!!
Siehst du doch auch selber !!
Du sagst ihm wie der Router ein ihm unbekanntes Netzwerk .200.0 erreichen kann und gibst ihm dann als Gateway um dahin zu kommen eine IP Adresse die auch in dem ihm unbekannten Netzwerk liegt.
Wie soll der arme Router da also jemals hinkommen...??
Den Blödsinn siehst du wohl auch selber, oder ? Kannst du gleich wieder löschen !

Welche LAN IP hat denn dein OVPN Server im lokalen LAN am Router ? Das muss ja eine 192.168.1.x Adresse sein, richtig ? Gleiches IP Netz wie der LAN Port des Routers.
Die Route muss also lauten:
Ziel: 192.168.200.0, Maske: 255.255.255.0, Gateway: 192.168.1.x
Wobei x die OVPN LAN IP ist.

In der OVPN Server Konfig oben ist auch noch ein ziemlicher Fehler:
Der OVPN Server hat ja am LAN Port eine 192.168.1.x IP und sein internes IP Netz ist 192.168.200.0
In der Konfig steht aber: "push 'route 192.168.200.0 255.255.255.0' " und damit ein völlig falsches Push Route Kommando !
Hier muss das Netzwerk des lokalen LANs stehen und nicht das des internen OVPN Netzes was ja so oder so alle Clients kennen. Das LAN was sie nicht kennen muss er per push route Kommando an die Clients propagieren.
Also "push 'route 192.168.1.0 255.255.255.0' "
Steht auch immer so in allen OVPN Dokus wie z.B. hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Vermutlich funktioniert es wenn du diese beiden Fehler noch beseitigst.
Member: trohn-javolta
trohn-javolta Dec 06, 2018 at 17:50:31 (UTC)
Goto Top
Sry ich kenn mich nun immer weniger aus. Wie kann man diese LAN IP des Ovpn Servers im lokalen Lan herausfinden? Kann mich beim aufsetzten des Ovpn Servers nicht erinnern eine solche irgendwo angeg. zu haben.

Habe zum Aufsetzten des Ovpn Servers dieses Tutorial befolgt: https://oldwiki.archive.openwrt.org/doc/howto/openvpn-streamlined-server ...
Member: aqui
aqui Dec 07, 2018 updated at 13:43:21 (UTC)
Goto Top
Wie kann man diese LAN IP des Ovpn Servers im lokalen Lan herausfinden?
Sorry, aber die hast DU doch selber installiert und konfiguriert.
Das ist der LAN Port auf dem Gerät wo der OVPN Server rennt, ist doch logisch !
Bei dir also (vermutlich) deine OpenWRT Gurke wohl. Oder wenn nicht wodrauf rennt denn der OVPN Server ?

Der OVPN bzw. sein Setup braucht das auch nicht aber du musst ihm doch das lokale LAN was er an seinem LAN Port hat nach außen propagieren lassen.
Niemals das interne IP Netz (.200.0) das kennt er doch selber !

Wenn das dein OpenWRT ist und die CLI Zugang hast gibst du mal ifconfig ein oder siehst im Web GUI nach welche IP dort am LAN Port von dir konfiguriert wurde.
Member: trohn-javolta
trohn-javolta Dec 14, 2018 at 12:26:23 (UTC)
Goto Top
Sry für die späte Antwort, hab nun den gewünschten Output von ifconfig.
Sorry, aber die hast DU doch selber installiert und konfiguriert.
Das ist der LAN Port auf dem Gerät wo der OVPN Server rennt, ist doch logisch !
Verstehe was du meinst, kann mich aber nicht erinnern das irgendwo festgelegt zu haben. Das Tutorial nach dem vorgegangen bin hab ich ja schon verlinkt.
Bei dir also (vermutlich) deine OpenWRT Gurke wohl. Oder wenn nicht wodrauf rennt denn der OVPN Server ?
Genau, wie gesagt: OVPN Server und OVPN Client laufen auf dem selben Router, einem Linksys 1900acs auf welchem OpenWRT läuft.
Wenn das dein OpenWRT ist und die CLI Zugang hast gibst du mal ifconfig ein oder siehst im Web GUI nach welche IP dort am LAN Port von dir konfiguriert wurde.
Hier also der Output von ifconfig:
img_042
img_043
Member: aqui
aqui Dec 15, 2018 at 15:09:11 (UTC)
Goto Top
Arbeitest du mit VLANs ? Nich nachgefragt wegen der Interfaces eth 1.2 und eth 0.1. Das isnd in der Regel VLAN Interfaces ?
Wichtig fürs Routing sind aber die beiden Tunnel interfaces !
Die IP Netze 10.22.0.0 /24 und 192.168.200.0 /24 MUSST du auf dem Internet Router statisch auf das br-lan interface als next Hop routen.
Member: trohn-javolta
trohn-javolta Dec 15, 2018, updated at Apr 21, 2022 at 12:36:13 (UTC)
Goto Top
Kenn mich nun gar nicht mehr aus. Was ist nun die LAN IP des Ovpn Servers?
Die IP Netze 10.22.0.0 /24 und 192.168.200.0 /24 MUSST du auf dem Internet Router statisch auf das br-lan interface als next Hop routen.
Wie stelle ich das an?? Kannst du mir nicht einfach sagen, was bei der statischen Route einzutragen ist?

Was soll ich wo eintragen? Mehr möchte ich nicht wissen.
Member: aqui
aqui Dec 16, 2018 at 13:37:03 (UTC)
Goto Top
Was ist nun die LAN IP des Ovpn Servers?
Das ist das Interface mit der dein OpenVPN Server im lokalen LAN Heimnetz) angeschlossen.
Wenn das also dein OpenWRT ist, dann ist es die IP Adresse die der OpenVPN Router (daruf läuft ja der OpenVPN Server !) im lokalen Heimnetz hat !
Ganz einfach....
Kannst du mir nicht einfach sagen, was bei der statischen Route einzutragen ist?
Klar, es kommt immer auf die Syntax dieser Routen im Internet Router an das ist Hersteller spezifisch. Es folgt aber immer einem gleichen Muster.
Du musst dort ins Routing Setup und dann dort eingeben:
Zielnetz: 10.22.0.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>
Zielnetz: 192.168.200.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>
Fertisch !
Auf "hinzufügen" klicken, beide Routen eingeben, Metrik lässt du auf 1 und MTU default ebenso Routen Typ.
Fertisch !
Am Ende sollten dann da beide Routen drinstehen ! Ggf. Screenshot zum Prüfen posten hier...
Member: trohn-javolta
trohn-javolta Dec 16, 2018 updated at 17:51:30 (UTC)
Goto Top
Du musst dort ins Routing Setup und dann dort eingeben: Zielnetz: 10.22.0.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>
Zielnetz: 192.168.200.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>
Fertisch !
Auf "hinzufügen" klicken, beide Routen eingeben, Metrik lässt du auf 1 und MTU default ebenso Routen Typ.
Fertisch !
Am Ende sollten dann da beide Routen drinstehen ! Ggf. Screenshot zum Prüfen posten hier...

Nö, so funktioniert's mal definitiv nicht.
laskjfaöklfjdsalk
Member: aqui
aqui Dec 17, 2018 at 12:53:53 (UTC)
Goto Top
Aber das Bild zeigt doch DAS es funktioniert ??
Oder meinst du die Gesamtfunktion ??
Bedenke auch wenn dein Router ein Firewall Router ist das du die Firewall Regeln entsprechend für diese netze anpasst. Sonst wird es natürlich trotz richter Routen weiterhin nicht klappen wenn die den Traffic blocken.
Member: trohn-javolta
trohn-javolta Dec 17, 2018 updated at 17:09:50 (UTC)
Goto Top
Aber das Bild zeigt doch DAS es funktioniert ??
Oder meinst du die Gesamtfunktion ??

Meine natürlich das das Erreichen des Odroid via Vpn Verbindung.
Warum ich jetzt überhaupt 2 Routen brauche versteh ich schon nicht. Lt. einem älteren Kommentar von dir fehlt die Rückroute vom Odroid ins Ovpn Server Netz. Warum nun 2 Routen?
Bedenke auch wenn dein Router ein Firewall Router ist das du die Firewall Regeln entsprechend für diese netze anpasst. Sonst wird es natürlich trotz richter Routen weiterhin nicht klappen wenn die den Traffic blocken.
Wie soll ich das bedenken, wenn ich keine Ahnung von der Materie hab? :D
Ok, also braucht es Änderungen an der Firewall auch noch. Sagst du mir auch welche? Da lässt sich ziemlich viel einstellen:
Das sieht man unter allgemeine Einstellungen:
laskjfaöklfjdsalk
dann gibts noch den Punkt Portweiterleitungen..brauche ich denke ich nicht?..
und dann gibt's noch Verkehrsregeln:
verkehrsreg1


verkehrsreg2
und zu guter Letzt benutzerdefinierte Regeln:
benutzerdefinierte regeln
Member: aqui
aqui Dec 18, 2018 at 11:31:37 (UTC)
Goto Top
Nur mal blöd nachgefragt:
Ist dein Openwrt/Lede Router auch gleichzeitig dein Internet Router ??
Wenn ja:
Ist der direkt ans Internet angeschlossen via integriertem Modem oder bedtreibst du den in einer Router Kaskade mit einem weiteren NAT Router davor ??
Nur um mal eine L3 Zeichnung hier zu posten wie das Routing dann läuft ! Oder laufen soll....
Member: trohn-javolta
trohn-javolta Dec 18, 2018, updated at Apr 21, 2022 at 12:36:31 (UTC)
Goto Top
Ist dein Openwrt/Lede Router auch gleichzeitig dein Internet Router ??
Ja ist er. Hier ein Bild (nur die Geräte+IP Adressen darauf sind nicht mehr ganz aktuell. Und das vpn client interface ist tun0, vpn server tun1):

Homeserver= Odroid

Wenn ja:
Ist der direkt ans Internet angeschlossen via integriertem Modem oder bedtreibst du den in einer Router Kaskade mit einem weiteren NAT Router davor ??
Davor ist nur das Modem vom ISP.
Member: aqui
aqui Dec 18, 2018 updated at 12:10:05 (UTC)
Goto Top
Nochmal nachgefragt...
Ist das "Modem" wirklich ein reines NUR Modem ?? Also ein passiver Medienwandler der KEIN IP Forwarding macht ?
Sprich du hast am WAN/Internat Port des Openwrt/Lede Router eine öffentliche Provider IP ??
Oder ist das ein aktiver NAT Router ?
Zu befürchten ist das der Ciusco im Router Mode arbeitet. Meist sind das Kabel TV Router.
Kann man immer sehen ob man am Kaskade Port (LAN Port Cisco) eine private RFC 1918 IP bekommt oder hat.
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Genau dann ist es ein Router und kein Modem.
Member: trohn-javolta
trohn-javolta Dec 18, 2018 at 12:34:52 (UTC)
Goto Top
Nochmal nachgefragt...
Ist das "Modem" wirklich ein reines NUR Modem ?? Also ein passiver Medienwandler der KEIN IP Forwarding macht ?
Sprich du hast am WAN/Internat Port des Openwrt/Lede Router eine öffentliche Provider IP ??
Ja, konkret handelt es sich um dieses Modem: Cisco EPC3212
Ja, am Openwrt Router sehe ich unter der WAN Schnittstelle die öffentliche Provider IP.
Member: aqui
aqui Dec 18, 2018 updated at 12:46:33 (UTC)
Goto Top
OK, damit ist es dann wirklich ein reines Modem face-wink

Damit ist dann natürlich die gesamte obige Routen Diskussion obsolet ! face-sad
Klar, denn diese ging von einer Router Kaskade aus. OK, vergessen das Ganze...
Wenn aber nun der Openwrt/Lede Router die Komponente ist die zentral ALLE IP Netze direkt an sich selbst angeschlossen hat, dann sind die o.a. Routern natürlich vollkommen überflüssig und auch gefährlich.
Die solltest du also schnellstens wieder entfernen !

Der Homeserver wie auch generell ALLE anderen Endgeräte im lokalen LAN 192.168.1.0 /24 haben dann den Openwrt/Lede Router ja als Default Gateway.
Alle IP Netze sind da also zentral beheimatet und so "kennt" der auch alles an lokalen IP Netzen und VPN Netzen und was er eben nicht kennt geht zum Provider.
Also Fazit:
Alle Statischen Routen wieder weg !
Openwrt/Lede Router hat nur eine einzige Default Route zum Provider.

Der Fehler liegt woanders....
Deine lokale IP LAN Adressierung mit 192.168.1.0 /24 ist nicht gerade sehr intelligent wenn man ein VPN nutzt.
Hast du dir hier DAS mal zu dem Thema durchgelesen:
VPNs einrichten mit PPTP
Könnte das ein mögliches Problem sein wenn du von remote zugreifst ??
Ansonsten bleibt nur das Firewall Regeln dir da einen Streich spielen.
Member: trohn-javolta
trohn-javolta Dec 18, 2018 at 13:10:12 (UTC)
Goto Top
Lol, nach 28 Antworten sind wir wieder komplett bei 0 face-sad
Hilft dir vllt. der Output der von mir verwendeten, eingangs erwähnten vpn-policy-routing app weiter?

root@LEDE:~# /etc/init.d/vpn-policy-routing restart
vpn-policy-routing 0.0.1-25 stopped [✓]
Creating table 'wan/eth1.2/<pub. IP>/fe80::/64' [✓]  
Creating table 'torguardvpn/tun0/10.22.0.9/fe80::69d1:a6d2:37e8:1' [✓]  
Routing 'odroid-hc2' via torguardvpn [✓]  
vpn-policy-routing 0.0.1-25 started on wan/eth1.2/<pub. IP>/fe80::/64 torguardvpn/tun0/10.22.0.9/fe80::69d1:a6d2:37e8:1 [✓]
vpn-policy-routing 0.0.1-25 monitoring interfaces: wan torguardvpn [✓]


Deine lokale IP LAN Adressierung mit 192.168.1.0 /24 ist nicht gerade sehr intelligent wenn man ein VPN nutzt.
Hast du dir hier DAS mal zu dem Thema durchgelesen:
VPNs einrichten mit PPTP
Könnte das ein mögliches Problem sein wenn du von remote zugreifst ??
Das lokale IP Netz möchte ich ungern komplett umstellen.
Ansonsten bleibt nur das Firewall Regeln dir da einen Streich spielen.
Fragt sich welche Regeln konkret...oder vllt. fehlt eine Regel?
Member: trohn-javolta
trohn-javolta Dec 18, 2018 at 13:15:32 (UTC)
Goto Top
...Müsste nicht eine Weiterleitung von der Firewall Zone vom vpn client (vpnclientfw) zur lan Zone erlaubt sein?
Aktuell steht neben der vpn client fw Zone nur Reject.

...Vllt. liegts daran. Eingangs meinte ja jemand, dass ich schon zum Odroid "hinkomme" aber dann nicht mehr zurück?.... Ich hab keine Ahnung, denk mir immer nur: Für jemanden, der sich auskennt müsste das doch ein Klacks sein, wenn da vllt. irgendwo eine Route und/oder eine Firewall regel fehlt.
Schade, dass ich nach über einem Jahr herumprobieren und herumfragen noch immer keinen Millimeter weiter bin face-sad
Member: aqui
aqui Dec 18, 2018 at 13:17:09 (UTC)
Goto Top
Hilft dir vllt. der Output der von mir verwendeten, eingangs erwähnten vpn-policy-routing app weiter?
Ja, hilft.
Noch hilfreicher wäre aber die Routing Tabelle des OpenWRT bei aktiven VPNs sprich ein netstat -r -n.
Aber nur wenn die Routen wieder komplett bereinigt wurden.
Das lokale IP Netz möchte ich ungern komplett umstellen.
Na ja sofern nur irgendeine deiner remoten Sessions sei es auf Client Seite oder auch Server Seite deines OpenVPNs auch ein 192.168.1er Netz betreibt ist es gleich komplett aus mit allen deinen VPN Verbindungen.
Ist dir vermutlich auch klar, oder ?
Die .1.0 ist mit großem Abstand das am meisten benutzte lokale Heimnetz aus Adress Sicht. Deshalb die Anmerkung das das nun wahrlich nicht besonders intelligent ist im VPN Umfeld.
Aber nungut. Wenn du ausschliessen kannst das kein einziger deiner remoten VPN Partner so ein netz benutzt dann ist das OK und wird dann klappen. Das muss aber wasserdicht sein !
Fragt sich welche Regeln konkret...oder vllt. fehlt eine Regel?
Möglich ist sowohl als auch...?!
Gibt es auf der Kiste ein Firewall Log was das ggf. anzeigt was geblockt wird ?
Member: trohn-javolta
trohn-javolta Dec 18, 2018 updated at 13:30:24 (UTC)
Goto Top
Noch hilfreicher wäre aber die Routing Tabelle des OpenWRT bei aktiven VPNs sprich ein netstat -r -n.
Aber nur wenn die Routen wieder komplett bereinigt wurden.
Routen wurden bereinigt, hier der Output:

root@LEDE:~# netstat -r -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         pub. IP   		0.0.0.0         UG        0 0          0 eth1.2
10.22.0.9       0.0.0.0         255.255.255.255 UH        0 0          0 tun0
pub. IP    		0.0.0.0         255.255.255.0   U         0 0          0 eth1.2
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 br-lan
192.168.200.0   0.0.0.0         255.255.255.0   U         0 0          0 tun1
Member: aqui
aqui Dec 18, 2018 at 14:26:51 (UTC)
Goto Top
Das sieht gut aus !
Der Fehler kann jetzt einzig und allein nur in den Firewall Regeln liegen.
Sowas wie NAT auf den VPN Tunneladapter tun0 und tun1 machst du (hoffentlich) nicht, oder !?
Member: trohn-javolta
trohn-javolta Dec 18, 2018 at 14:36:30 (UTC)
Goto Top
Zitat von @aqui:

Das sieht gut aus !
Der Fehler kann jetzt einzig und allein nur in den Firewall Regeln liegen.
Sowas wie NAT auf den VPN Tunneladapter tun0 und tun1 machst du (hoffentlich) nicht, oder !?
Weiß ich nicht, kann ich dir nicht beantworten.

Hilft dir die /etc/config/firewall vom 1. Betrag irgendwie weiter?
Member: aqui
aqui Dec 18, 2018 at 14:41:26 (UTC)
Goto Top
Müsste über die iptables realisiert werden. Kannst du die Regeln dort mal mit iptables -S anzeigen lassen ?
Ggf. kann man das auch über das GUI machen.
Member: trohn-javolta
trohn-javolta Dec 18, 2018 at 14:53:00 (UTC)
Goto Top
Hier der Output, die Namen sind ggf. etwas verwirrend, versuche mal anzuführen was wie heißt:

Schnittstellennamen:
gastwlan = br-gastwlan
lan = br-lan
torguardvpn = tun0
vpnserver = tun1
wan = eth1.2

Firewallzonen-namen:
wan
lan
gastwlanfw = Zone vom gastwlan/ br-gastwlan
vpnserver = Zone vom vpnserver/ tun1
vpnclientfw = Zone vom torguardvpn/tun0


root@LEDE:~# iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N MINIUPNPD
-N forwarding_gastwlanfw_rule
-N forwarding_lan_rule
-N forwarding_rule
-N forwarding_vpnclientfw_rule
-N forwarding_vpnserver_rule
-N forwarding_wan_rule
-N input_gastwlanfw_rule
-N input_lan_rule
-N input_rule
-N input_vpnclientfw_rule
-N input_vpnserver_rule
-N input_wan_rule
-N output_gastwlanfw_rule
-N output_lan_rule
-N output_rule
-N output_vpnclientfw_rule
-N output_vpnserver_rule
-N output_wan_rule
-N reject
-N syn_flood
-N zone_gastwlanfw_dest_ACCEPT
-N zone_gastwlanfw_dest_REJECT
-N zone_gastwlanfw_forward
-N zone_gastwlanfw_input
-N zone_gastwlanfw_output
-N zone_gastwlanfw_src_REJECT
-N zone_lan_dest_ACCEPT
-N zone_lan_dest_DROP
-N zone_lan_forward
-N zone_lan_input
-N zone_lan_output
-N zone_lan_src_ACCEPT
-N zone_vpnclientfw_dest_ACCEPT
-N zone_vpnclientfw_dest_REJECT
-N zone_vpnclientfw_forward
-N zone_vpnclientfw_input
-N zone_vpnclientfw_output
-N zone_vpnclientfw_src_REJECT
-N zone_vpnserver_dest_ACCEPT
-N zone_vpnserver_dest_REJECT
-N zone_vpnserver_forward
-N zone_vpnserver_input
-N zone_vpnserver_output
-N zone_vpnserver_src_ACCEPT
-N zone_wan_dest_ACCEPT
-N zone_wan_dest_DROP
-N zone_wan_forward
-N zone_wan_input
-N zone_wan_output
-N zone_wan_src_DROP
-A INPUT -i lo -m comment --comment "!fw3" -j ACCEPT  
-A INPUT -m comment --comment "!fw3: Custom input rule chain" -j input_rule  
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT  
-A INPUT -m conntrack --ctstate INVALID -m comment --comment "!fw3" -j DROP  
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m comment --comment "!fw3" -j syn_flood  
-A INPUT -p tcp -m tcp --dport 1194 -m comment --comment "!fw3: Allow-OpenVPN-Inbound" -j ACCEPT  
-A INPUT -p udp -m udp --dport 1194 -m comment --comment "!fw3: Allow-OpenVPN-Inbound" -j ACCEPT  
-A INPUT -i br-lan -m comment --comment "!fw3" -j zone_lan_input  
-A INPUT -i tun1 -m comment --comment "!fw3" -j zone_vpnserver_input  
-A INPUT -i tun0 -m comment --comment "!fw3" -j zone_vpnclientfw_input  
-A INPUT -i eth1.2 -m comment --comment "!fw3" -j zone_wan_input  
-A INPUT -i br-gastwlan -m comment --comment "!fw3" -j zone_gastwlanfw_input  
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule  
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT  
-A FORWARD -m conntrack --ctstate INVALID -m comment --comment "!fw3" -j DROP  
-A FORWARD -i br-lan -m comment --comment "!fw3" -j zone_lan_forward  
-A FORWARD -i tun1 -m comment --comment "!fw3" -j zone_vpnserver_forward  
-A FORWARD -i tun0 -m comment --comment "!fw3" -j zone_vpnclientfw_forward  
-A FORWARD -i eth1.2 -m comment --comment "!fw3" -j zone_wan_forward  
-A FORWARD -i br-gastwlan -m comment --comment "!fw3" -j zone_gastwlanfw_forward  
-A OUTPUT -o lo -m comment --comment "!fw3" -j ACCEPT  
-A OUTPUT -m comment --comment "!fw3: Custom output rule chain" -j output_rule  
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT  
-A OUTPUT -m conntrack --ctstate INVALID -m comment --comment "!fw3" -j DROP  
-A OUTPUT -o br-lan -m comment --comment "!fw3" -j zone_lan_output  
-A OUTPUT -o tun1 -m comment --comment "!fw3" -j zone_vpnserver_output  
-A OUTPUT -o tun0 -m comment --comment "!fw3" -j zone_vpnclientfw_output  
-A OUTPUT -o eth1.2 -m comment --comment "!fw3" -j zone_wan_output  
-A OUTPUT -o br-gastwlan -m comment --comment "!fw3" -j zone_gastwlanfw_output  
-A reject -p tcp -m comment --comment "!fw3" -j REJECT --reject-with tcp-reset  
-A reject -m comment --comment "!fw3" -j REJECT --reject-with icmp-port-unreachable  
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -m comment --comment "!fw3" -j RETURN  
-A syn_flood -m comment --comment "!fw3" -j DROP  
-A zone_gastwlanfw_dest_ACCEPT -o br-gastwlan -m comment --comment "!fw3" -j ACCEPT  
-A zone_gastwlanfw_dest_REJECT -o br-gastwlan -m comment --comment "!fw3" -j reject  
-A zone_gastwlanfw_forward -m comment --comment "!fw3: Custom gastwlanfw forwarding rule chain" -j forwarding_gastwlanfw_rule  
-A zone_gastwlanfw_forward -m comment --comment "!fw3: Zone gastwlanfw to wan forwarding policy" -j zone_wan_dest_ACCEPT  
-A zone_gastwlanfw_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_gastwlanfw_forward -m comment --comment "!fw3" -j zone_gastwlanfw_dest_REJECT  
-A zone_gastwlanfw_input -m comment --comment "!fw3: Custom gastwlanfw input rule chain" -j input_gastwlanfw_rule  
-A zone_gastwlanfw_input -p udp -m udp --dport 67:68 -m comment --comment "!fw3: gastwlanfw_DHCP" -j ACCEPT  
-A zone_gastwlanfw_input -p tcp -m tcp --dport 53 -m comment --comment "!fw3: gastwlanfw_DNS" -j ACCEPT  
-A zone_gastwlanfw_input -p udp -m udp --dport 53 -m comment --comment "!fw3: gastwlanfw_DNS" -j ACCEPT  
-A zone_gastwlanfw_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_gastwlanfw_input -m comment --comment "!fw3" -j zone_gastwlanfw_src_REJECT  
-A zone_gastwlanfw_output -m comment --comment "!fw3: Custom gastwlanfw output rule chain" -j output_gastwlanfw_rule  
-A zone_gastwlanfw_output -m comment --comment "!fw3" -j zone_gastwlanfw_dest_ACCEPT  
-A zone_gastwlanfw_src_REJECT -i br-gastwlan -m comment --comment "!fw3" -j reject  
-A zone_lan_dest_ACCEPT -o br-lan -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP  
-A zone_lan_dest_ACCEPT -o br-lan -m comment --comment "!fw3" -j ACCEPT  
-A zone_lan_dest_DROP -o br-lan -m comment --comment "!fw3" -j DROP  
-A zone_lan_forward -m comment --comment "!fw3: Custom lan forwarding rule chain" -j forwarding_lan_rule  
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to vpnclientfw forwarding policy" -j zone_vpnclientfw_dest_ACCEPT  
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to wan forwarding policy" -j zone_wan_dest_ACCEPT  
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_lan_forward -m comment --comment "!fw3" -j zone_lan_dest_DROP  
-A zone_lan_input -m comment --comment "!fw3: Custom lan input rule chain" -j input_lan_rule  
-A zone_lan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_lan_input -m comment --comment "!fw3" -j zone_lan_src_ACCEPT  
-A zone_lan_output -m comment --comment "!fw3: Custom lan output rule chain" -j output_lan_rule  
-A zone_lan_output -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT  
-A zone_lan_src_ACCEPT -i br-lan -m comment --comment "!fw3" -j ACCEPT  
-A zone_vpnclientfw_dest_ACCEPT -o tun0 -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP  
-A zone_vpnclientfw_dest_ACCEPT -o tun0 -m comment --comment "!fw3" -j ACCEPT  
-A zone_vpnclientfw_dest_REJECT -o tun0 -m comment --comment "!fw3" -j reject  
-A zone_vpnclientfw_forward -m comment --comment "!fw3: Custom vpnclientfw forwarding rule chain" -j forwarding_vpnclientfw_rule  
-A zone_vpnclientfw_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_vpnclientfw_forward -m comment --comment "!fw3" -j zone_vpnclientfw_dest_REJECT  
-A zone_vpnclientfw_input -m comment --comment "!fw3: Custom vpnclientfw input rule chain" -j input_vpnclientfw_rule  
-A zone_vpnclientfw_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_vpnclientfw_input -m comment --comment "!fw3" -j zone_vpnclientfw_src_REJECT  
-A zone_vpnclientfw_output -m comment --comment "!fw3: Custom vpnclientfw output rule chain" -j output_vpnclientfw_rule  
-A zone_vpnclientfw_output -m comment --comment "!fw3" -j zone_vpnclientfw_dest_ACCEPT  
-A zone_vpnclientfw_src_REJECT -i tun0 -m comment --comment "!fw3" -j reject  
-A zone_vpnserver_dest_ACCEPT -o tun1 -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP  
-A zone_vpnserver_dest_ACCEPT -o tun1 -m comment --comment "!fw3" -j ACCEPT  
-A zone_vpnserver_dest_REJECT -o tun1 -m comment --comment "!fw3" -j reject  
-A zone_vpnserver_forward -m comment --comment "!fw3: Custom vpnserver forwarding rule chain" -j forwarding_vpnserver_rule  
-A zone_vpnserver_forward -m comment --comment "!fw3: Zone vpnserver to wan forwarding policy" -j zone_wan_dest_ACCEPT  
-A zone_vpnserver_forward -m comment --comment "!fw3: Zone vpnserver to lan forwarding policy" -j zone_lan_dest_ACCEPT  
-A zone_vpnserver_forward -m comment --comment "!fw3: Zone vpnserver to vpnclientfw forwarding policy" -j zone_vpnclientfw_dest_ACCEPT  
-A zone_vpnserver_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_vpnserver_forward -m comment --comment "!fw3" -j zone_vpnserver_dest_REJECT  
-A zone_vpnserver_input -m comment --comment "!fw3: Custom vpnserver input rule chain" -j input_vpnserver_rule  
-A zone_vpnserver_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_vpnserver_input -m comment --comment "!fw3" -j zone_vpnserver_src_ACCEPT  
-A zone_vpnserver_output -m comment --comment "!fw3: Custom vpnserver output rule chain" -j output_vpnserver_rule  
-A zone_vpnserver_output -m comment --comment "!fw3" -j zone_vpnserver_dest_ACCEPT  
-A zone_vpnserver_src_ACCEPT -i tun1 -m comment --comment "!fw3" -j ACCEPT  
-A zone_wan_dest_ACCEPT -o eth1.2 -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP  
-A zone_wan_dest_ACCEPT -o eth1.2 -m comment --comment "!fw3" -j ACCEPT  
-A zone_wan_dest_DROP -o eth1.2 -m comment --comment "!fw3" -j DROP  
-A zone_wan_forward -m comment --comment "!fw3: Custom wan forwarding rule chain" -j forwarding_wan_rule  
-A zone_wan_forward -p esp -m comment --comment "!fw3: Allow-IPSec-ESP" -j zone_lan_dest_ACCEPT  
-A zone_wan_forward -p udp -m udp --dport 500 -m comment --comment "!fw3: Allow-ISAKMP" -j zone_lan_dest_ACCEPT  
-A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT  
-A zone_wan_forward -j MINIUPNPD
-A zone_wan_forward -m comment --comment "!fw3" -j zone_wan_dest_DROP  
-A zone_wan_input -m comment --comment "!fw3: Custom wan input rule chain" -j input_wan_rule  
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment "!fw3: Allow-DHCP-Renew" -j ACCEPT  
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment "!fw3: Allow-Ping" -j ACCEPT  
-A zone_wan_input -p igmp -m comment --comment "!fw3: Allow-IGMP" -j ACCEPT  
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT  
-A zone_wan_input -m comment --comment "!fw3" -j zone_wan_src_DROP  
-A zone_wan_output -m comment --comment "!fw3: Custom wan output rule chain" -j output_wan_rule  
-A zone_wan_output -m comment --comment "!fw3" -j zone_wan_dest_ACCEPT  
-A zone_wan_src_DROP -i eth1.2 -m comment --comment "!fw3" -j DROP
Member: trohn-javolta
trohn-javolta Jan 03, 2019 at 13:23:31 (UTC)
Goto Top
Zitat von @aqui:

Müsste über die iptables realisiert werden. Kannst du die Regeln dort mal mit iptables -S anzeigen lassen ?
Ggf. kann man das auch über das GUI machen.

Hi, wollte nur kurz an meinen Beitrag hier erinnern. Lt. deiner letzten Antwort kann das Problem eig. nur an fehlenden iptables Regeln liegen. Kannst du mir da weiterhelfen, welche iptables Regel(n) ich ergänzen muss?
Member: trohn-javolta
trohn-javolta Jan 26, 2019 at 08:40:40 (UTC)
Goto Top
Wirklich schade, dass meine Frage hier nach so langem Verlauf nicht weiter beantwortet wird, vor allem wenn es vllt. nur an irgendeiner simplen firewall regel scheitert. face-sad
Member: aqui
aqui Jan 26, 2019 at 17:53:22 (UTC)
Goto Top
Dann schmeiss doch mal den Firewall Debugger an sieh dir an was genau dort dann gedropt wird !
Oder benutze eine Hardware die das entsprechend besser kann..
Member: trohn-javolta
trohn-javolta Jan 28, 2019 at 05:55:33 (UTC)
Goto Top
:D Das wär ca. So als würdest du jemanden, der fragt wie etwas in einem Programm funktioniert, sagst: Schau mal in den Quellcode vom Programm rein, dann kommst du schon drauf, zur not schmeiß halt einen Kompiler an. XD
Ich kenn mich damit nicht aus, drum frag ich ja hier nach. Oder wird hier d-von ausgeg. Dass man Netzerkkentnisse hat?...dann brauch ich ja die Frage funktion hier gar nicht :D
Member: Spirit-of-Eli
Spirit-of-Eli Jan 28, 2019 at 05:57:39 (UTC)
Goto Top
Also Basiswissen sollte schon da sein.
Member: trohn-javolta
trohn-javolta Jan 28, 2019 at 07:32:49 (UTC)
Goto Top
Ok, das hab ich dann wohl nicht.
Kennt ihr zufällig ein anderes Forum wo man so eine Frage ohne Basiswissen stellen kann u. diese auch noch präzise Beantwortet bekommt?

Ich bin hier wirklich am Ende meines Lateins. Die Frage umfasst jz schon 41 Beträge in welchen ich etliche Informationen gepostet habe und immer andere Antworten gekommen sind.
Mir kam es zwischendurch so vor, als würde der Beantworter @aqui stellenweise gar nicht mehr wissen, wie die ursprüngliche Frage eigentlich war.

So, nun will ich wieder etwas zurückrudern: Ist mir natürlich klar, dass ich hier nicht erwarten kann, dass auf alle Fragen sofort eine Antwort kommt die mir auch weiterhilft. Ich weiß auch, dass ihr das hier in eurer kostbaren Freizeit macht u. gar nicht machen müsstet. Das ist aller Ehren Wert, keine Frage!
Aber so eine lange Frage wie meine hier verschwendet ja nicht nur meine Zeit sondern vor allem eure.
Hätte @aqui irgendwo in der Mitte mal geschrieben
- "du, ich weiß grad auch nicht warum das nicht funktioniert oder wie du das hinbekommst" oder vllt. "es ist zu kompliziert es jemanden zu vermitteln der zu wenig Ahnung hat, wie du. Das wär ein Fall für jemanden, der Zeit hat und sich das bei dir per Fernwartung anschaut." -
wär das für mich voll ok gewesen.

Nun sind seit der Fragestellung fast 2 Monate vergangen und ich bin genau dort wo ich vor 2 Monaten war. Und das Ganze hat vor allem @aqui Zeit und wahrsch. auch Nerven gekostet..völlig umsonst.
GermanQuestionRouters, RoutingNetworks