Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo Zusammen,

 

ich habe mein Raspi mit neuer SD KArte am laufen. Dieser soll meinen lokalen TRaffic via Openvpn durch den Tunnel routen.

Mir fehlt allerdings noch eine IPtables Regel.

 

Da ich ohne NAT Arbeiten möchte ( der arme hat schon genug zutun :) ), will ich transparent Routen, sodass nachvollziebar ist , woher der TRaffic stammt.

 

Dazu fehlt mir aber noch eine IPtables Regel. Die I Route für die Statische IP habe ich remote auf der PFsense eingerichtet. Ebenso wie das Client Network.

 

Dabei ergibt sich folgendes:

sudo iptables -I FORWARD -i eth0 -o tun0 -s 10.211.14.0/24 -d 0.0.0.0/0 -m conntrack --ctstate NEW -j ACCEPT

Was mache ich falsch ?

 

Vielen Dank.

 

 

Geschrieben

Was funktioniert denn genau nicht? :)
Zum reinen Routen brauchst Du iptables gar nicht.

Hast Du Routing überhaupt aktiviert (in /etc/sysctl.conf)? Was sagt uns

cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv6/conf/all/forwarding

 

Geschrieben

Ach mist.

Stimmt ja. Das Forwarding habe ich vergessen. :)

aber eine Iptables Regel brauche ich dennoch , denn ich will ja auch zurück routen. Aber ohne NAT.

 

wie mache ich das ?

 

 

vielen dank.

 

Chriatian

Geschrieben (bearbeitet)

"Zurückrouten" passiert auf der anderen Seite. Mit FW-Regeln, Routingtabellen, etc. kannst Du nur beeinflussen, was bei Dir wie und wo raus geht. Mit iptables kann man z.B. die Quelladresse umschreiben oder Firwallregeln festlegen. Der Weg zurück wird aber auf der Gegenseite entschieden. Routing kann auch asymmetrisch sein, d.h. Antwortpakete gehen einen komplett anderen Weg.

Ohne genauere Netz- + Fehlerbeschreibung kann man allerdings nur glaskugeln :P

Bearbeitet von RipperFox
Geschrieben

Nabend.

 

okay. Ich versuche mich mal klarer Auszudrücken.

 

Lokales Netz

 

10.211.14.0/24

Raspberry PI 10.211.14.253/24 -- Lokale IP

Raspberry PI 10.129.132.251 -- VPN IP ( redirect all traffic to vpn tunnel)

 

VPN Netz

 

10.129.132.0/24

10.129.132.1/24 -- PFsense

 

Mein Ziel  Lokaler Datenverkehr ebenfalls durch den VPN Tunnel des PIs zu schleifen. Allerdings will ich das NAT deaktivieren, da dies nur quatsch ist.

 

Nur dazu muss ich den traffic ja forwarden. Nur wie ?

Mit NAT klappt das ja so

 

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Der Raspi soll lokal als Default Gateway eingetragen werden.

 

 

Geschrieben

Wenn du die Gegenseite im Zugriff hast, musst du für alle Betroffenen eine Route legen. Das heißt, alle Router müssen das Netz (10.211.14.0/24) aus dem du kommst kennen. Wenn du auf den/die Router der Gegenseite keinen Zugriff hast, aktiviere vlt. NAT, dann wird's Routing ringsum entspannend

Geschrieben

Wie FISI-Prüfer schon schrieb - wenn die PFSense die Route nach 10.211.14.0/24  via 10.129.132.251 kennt sollte es funktionieren. Ich nehme an, die PFSense soll dann NAT für alles dahinter machen - ggf. muss man das noch konfigurieren..
Btw: /24-Transfernetze sind schon Verschwendung :), normal kriegt man das auch mit 'ner Hostroute, also /32 hin.

Dein (dann sowieso hinfälliges) iptables Beispiel macht übrigens zwei mal NAT - d.h. die Quelladresse würde in beide Richtungen umgeschrieben. Das braucht man eigentlich nie - für Internet langt normal einmaliges NAT..

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...