samtech

Das Problem liegt im Routing, da eine defaultroute über den VPN Server erfolgen soll. VPN Server-IP: 212.20.160.20 Client IP: 212.20.160.22 Diese Route nimmt den Weg zum VPN Server als erstes über das ppp Interface, um den Tunnel aufzubauen. Lösung: Weise auf dem tap Interface zusätzlich eine zweite IP zu, im Privaten bereich, diese ist nicht mit dem bridge verbunden. Diese IP kann über den Tunnel angesprochen (von Client) werden, sowohl über SSH, als auch alles andere. Damit vom OpenVPN server an dem client etwas gesendet werden kann, wird ein SNAT auf den Server verwendet: iptables -t nat -I POSTROUTING -s 212.20.160.20 -d 212.20.160.22 -j SNAT --to 192.168.11.1 und iptables -t nat -I POSTROUTING -s 127.0.0.1 -d 212.20.160.22 -j SNAT --to 192.168.11.1 Damit wird die Source Adresse vom Localhost zu dem Zielhost über die locale IP Adresse gesendet. Route einrichte wäre nicht möglich, habe ich ausgiebig getestet: Grund: ein routing arbeitet auf Hardware Interface, Ich benötige eine Lösung auf IP ebene. Ein Prerouting habe ich an anderer Seite natürlich auch verwendet, nur hier bringt dies nichts. Nachtrag: Ich bin auf der Suche nach einem neuen Wirkungskreis (beruflich), vielleich ergibt sich etwas......

Hy, Ich habe ein Problem. Kurzbeschreibung: Linux Debian sarge, OpenVPN Server in tap bridges Modus soll auf OpenVPN Client zugreifen (bestimmte ports). Folgendes der OpenVPN Client kommt ins Internet über firewall (bridge einseitig) -- iptables -m physdev ...... Der openvpn Server kommt auch ins internet. Der OpenVPN Client (defaultroute über OpenVPN Server als GW) kann auf den OpenVPN Server zugreifen (z. B. über SSH), aber nicht umgekehrt. Der OpenVPN Server kann nicht auf den Client zugreifen, Grund routing defaultroute über OpenVPN Server. Ich kann dies jedoch nicht ändern, stattdessen habe ich eine andere Lösung gefunden: Netzwerkkonfiguration: br0 (mit fester öffentl. IP) <-- eth0 und tap0 gebridged Ich habe ein zweite IP Adresse den tap0 interface zugewiesen (tap0:1) im privaten netzbereich. Mit dieser Adresse kann ich ein Ping setzten auf den Client (ping -I ....) oder auch ein telnet über port 25 (telnet -s). Jetzt möchte ich über Prerouting / Postrouting mit iptables verwirklichen: Sobald von localhost (127.0.0.1 oder ip des öffentl.) an die Zieladresse auf den Port 25 oder icmp gesendet wird, soll nur über diese Adresse (tap0:1) gesendet werden, nicht über das Interface. Ein Routing über die routing tabelle ist nicht möglich, das dies Interface gebunden ist, und es würde ein bridge mehr funktionieren. Es ist sehr wichtig, das der OpenVPN Client über die bridge direkt ins internet kommt, nicht über routing. Dagegen soll der OpenVPN Server auf den Client zugreifen können. Wie kann ich es konfigurieren, über iptables, sobald von localhost an Ziel-IP gesendet wird, das er nur von einer IP Adresse sendet. Ist das überhaupt möglich? Besten Dank!! Viele Grüße Markus

Hy, Ich habe ein Problem. Kurzbeschreibung: Linux Debian sarge, OpenVPN Server in tap bridges Modus soll auf OpenVPN Client zugreifen (bestimmte ports). Folgendes der OpenVPN Client kommt ins Internet über firewall (bridge einseitig) -- iptables -m physdev ...... Der openvpn Server kommt auch ins internet. Der OpenVPN Client (defaultroute über OpenVPN Server als GW) kann auf den OpenVPN Server zugreifen (z. B. über SSH), aber nicht umgekehrt. Der OpenVPN Server kann nicht auf den Client zugreifen, Grund routing defaultroute über OpenVPN Server. Ich kann dies jedoch nicht ändern, stattdessen habe ich eine andere Lösung gefunden: Netzwerkkonfiguration: br0 (mit fester öffentl. IP) <-- eth0 und tap0 gebridged Ich habe ein zweite IP Adresse den tap0 interface zugewiesen (tap0:1) im privaten netzbereich. Mit dieser Adresse kann ich ein Ping setzten auf den Client (ping -I ....) oder auch ein telnet über port 25 (telnet -s). Jetzt möchte ich über Prerouting / Postrouting mit iptables verwirklichen: Sobald von localhost (127.0.0.1 oder ip des öffentl.) an die Zieladresse auf den Port 25 oder icmp gesendet wird, soll nur über diese Adresse (tap0:1) gesendet werden, nicht über das Interface. Ein Routing über die routing tabelle ist nicht möglich, das dies Interface gebunden ist, und es würde ein bridge mehr funktionieren. Es ist sehr wichtig, das der OpenVPN Client über die bridge direkt ins internet kommt, nicht über routing. Dagegen soll der OpenVPN Server auf den Client zugreifen können. Wie kann ich es konfigurieren, über iptables, sobald von localhost an Ziel-IP gesendet wird, das er nur von einer IP Adresse sendet. Ist das überhaupt möglich? Besten Dank!! Viele Grüße Markus

Hy, Ich habe ein Problem. Kurzbeschreibung: Linux Debian sarge, OpenVPN Server in tap bridges Modus soll auf OpenVPN Client zugreifen (bestimmte ports). Folgendes der OpenVPN Client kommt ins Internet über firewall (bridge einseitig) -- iptables -m physdev ...... Der openvpn Server kommt auch ins internet. Der OpenVPN Client (defaultroute über OpenVPN Server als GW) kann auf den OpenVPN Server zugreifen (z. B. über SSH), aber nicht umgekehrt. Der OpenVPN Server kann nicht auf den Client zugreifen, Grund routing defaultroute über OpenVPN Server. Ich kann dies jedoch nicht ändern, stattdessen habe ich eine andere Lösung gefunden: Netzwerkkonfiguration: br0 (mit fester öffentl. IP) <-- eth0 und tap0 gebridged Ich habe ein zweite IP Adresse den tap0 interface zugewiesen (tap0:1) im privaten netzbereich. Mit dieser Adresse kann ich ein Ping setzten auf den Client (ping -I ....) oder auch ein telnet über port 25 (telnet -s). Jetzt möchte ich über Prerouting / Postrouting mit iptables verwirklichen: Sobald von localhost (127.0.0.1 oder ip des öffentl.) an die Zieladresse auf den Port 25 oder icmp gesendet wird, soll nur über diese Adresse (tap0:1) gesendet werden, nicht über das Interface. Ein Routing über die routing tabelle ist nicht möglich, das dies Interface gebunden ist, und es würde ein bridge mehr funktionieren. Es ist sehr wichtig, das der OpenVPN Client über die bridge direkt ins internet kommt, nicht über routing. Dagegen soll der OpenVPN Server auf den Client zugreifen können. Wie kann ich es konfigurieren, über iptables, sobald von localhost an Ziel-IP gesendet wird, das er nur von einer IP Adresse sendet. Ist das überhaupt möglich? Besten Dank!! Viele Grüße Markus