fundave3 Geschrieben 30. Juni 2019 Geschrieben 30. Juni 2019 Hallo Zusammen, ich habe mein Raspi mit neuer SD KArte am laufen. Dieser soll meinen lokalen TRaffic via Openvpn durch den Tunnel routen. Mir fehlt allerdings noch eine IPtables Regel. Da ich ohne NAT Arbeiten möchte ( der arme hat schon genug zutun ), will ich transparent Routen, sodass nachvollziebar ist , woher der TRaffic stammt. Dazu fehlt mir aber noch eine IPtables Regel. Die I Route für die Statische IP habe ich remote auf der PFsense eingerichtet. Ebenso wie das Client Network. Dabei ergibt sich folgendes: sudo iptables -I FORWARD -i eth0 -o tun0 -s 10.211.14.0/24 -d 0.0.0.0/0 -m conntrack --ctstate NEW -j ACCEPT Was mache ich falsch ? Vielen Dank. Zitieren
RipperFox Geschrieben 1. Juli 2019 Geschrieben 1. Juli 2019 Was funktioniert denn genau nicht? Zum reinen Routen brauchst Du iptables gar nicht. Hast Du Routing überhaupt aktiviert (in /etc/sysctl.conf)? Was sagt uns cat /proc/sys/net/ipv4/ip_forward cat /proc/sys/net/ipv6/conf/all/forwarding Zitieren
fundave3 Geschrieben 1. Juli 2019 Autor Geschrieben 1. Juli 2019 Ach mist. Stimmt ja. Das Forwarding habe ich vergessen. aber eine Iptables Regel brauche ich dennoch , denn ich will ja auch zurück routen. Aber ohne NAT. wie mache ich das ? vielen dank. Chriatian Zitieren
RipperFox Geschrieben 2. Juli 2019 Geschrieben 2. Juli 2019 (bearbeitet) "Zurückrouten" passiert auf der anderen Seite. Mit FW-Regeln, Routingtabellen, etc. kannst Du nur beeinflussen, was bei Dir wie und wo raus geht. Mit iptables kann man z.B. die Quelladresse umschreiben oder Firwallregeln festlegen. Der Weg zurück wird aber auf der Gegenseite entschieden. Routing kann auch asymmetrisch sein, d.h. Antwortpakete gehen einen komplett anderen Weg. Ohne genauere Netz- + Fehlerbeschreibung kann man allerdings nur glaskugeln Bearbeitet 2. Juli 2019 von RipperFox Zitieren
fundave3 Geschrieben 2. Juli 2019 Autor Geschrieben 2. Juli 2019 Nabend. okay. Ich versuche mich mal klarer Auszudrücken. Lokales Netz 10.211.14.0/24 Raspberry PI 10.211.14.253/24 -- Lokale IP Raspberry PI 10.129.132.251 -- VPN IP ( redirect all traffic to vpn tunnel) VPN Netz 10.129.132.0/24 10.129.132.1/24 -- PFsense Mein Ziel Lokaler Datenverkehr ebenfalls durch den VPN Tunnel des PIs zu schleifen. Allerdings will ich das NAT deaktivieren, da dies nur quatsch ist. Nur dazu muss ich den traffic ja forwarden. Nur wie ? Mit NAT klappt das ja so iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE Der Raspi soll lokal als Default Gateway eingetragen werden. Zitieren
FISI-Prüfer Geschrieben 2. Juli 2019 Geschrieben 2. Juli 2019 Wenn du die Gegenseite im Zugriff hast, musst du für alle Betroffenen eine Route legen. Das heißt, alle Router müssen das Netz (10.211.14.0/24) aus dem du kommst kennen. Wenn du auf den/die Router der Gegenseite keinen Zugriff hast, aktiviere vlt. NAT, dann wird's Routing ringsum entspannend Zitieren
RipperFox Geschrieben 3. Juli 2019 Geschrieben 3. Juli 2019 Wie FISI-Prüfer schon schrieb - wenn die PFSense die Route nach 10.211.14.0/24 via 10.129.132.251 kennt sollte es funktionieren. Ich nehme an, die PFSense soll dann NAT für alles dahinter machen - ggf. muss man das noch konfigurieren.. Btw: /24-Transfernetze sind schon Verschwendung , normal kriegt man das auch mit 'ner Hostroute, also /32 hin. Dein (dann sowieso hinfälliges) iptables Beispiel macht übrigens zwei mal NAT - d.h. die Quelladresse würde in beide Richtungen umgeschrieben. Das braucht man eigentlich nie - für Internet langt normal einmaliges NAT.. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.