Code: Alles auswählen
sudo $IPTABLES -A FORWARD -p tcp --dport 3389 -j ACCEPT
sudo $IPTABLES -A INPUT -p tcp --dport 3389 -j ACCEPT
sudo $IPTABLES -A OUTPUT -p tcp --dport 3389 -j ACCEPTDann versuch mal Folgendes: Temporär die default policy der FORWARD chain auf ACCEPT lassen und den Traffic in der FORWARD chain lediglich loggen (mit iptables und dem target LOG) über einen geeigneten Zeitraum. So kannst Du feststellen welche Ports, Interfaces und IP-Adressen aus deiner Konstellation die FORWARD chain passieren und danach das Blocken/Freigeben für diese chain entsprechend konfigurieren.joe2017 hat geschrieben:31.08.2018 09:03:05Ja das ist mir schon bewußt. Jedoch wenn ich die Ports öffne geht es ja ebenfalls nicht.
Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 10.5.0.10/16
gateway 10.5.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 10.5.0.254
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.5.0.10
up route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.5.0.10Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 192.168.0.10/24
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.0.254
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.10
up route add -net 10.5.0.0 netmask 255.255.0.0 gw 192.168.0.10Code: Alles auswählen
$ ipcalc 10.5.0.0/16
Address: 10.5.0.0 00001010.00000101. 00000000.00000000
Netmask: 255.255.0.0 = 16 11111111.11111111. 00000000.00000000
Wildcard: 0.0.255.255 00000000.00000000. 11111111.11111111
=>
Network: 10.5.0.0/16 00001010.00000101. 00000000.00000000
HostMin: 10.5.0.1 00001010.00000101. 00000000.00000001
HostMax: 10.5.255.254 00001010.00000101. 11111111.11111110
Broadcast: 10.5.255.255 00001010.00000101. 11111111.11111111
Guten Morgen, das ist natürlich ein Tippfehler. Entschuldige. Ich bessere das in meinem Post gleich aus. Danke.dufty2 hat geschrieben:11.09.2018 20:16:48Angegeben hast Du
OpenVPN Server = 10.5.0.10
In Deiner config steht aber
address 10.5.0.0/16
Vertippt? Absicht?
Ohne statische Route in der FritzBox musst Du die Route dann in jedem einzelnen Client (aus dem W/LAN der FritzBox) konfigurieren, damit die Clients das VPN-Gateway finden.joe2017 hat geschrieben:11.09.2018 17:46:21Ich habe meine Routen in den FritzBoxen ausgetragen ...
Wenn nicht alle Clients das VPN nutzen sollen, hast Du recht.joe2017 hat geschrieben:12.09.2018 11:34:41Es kann aber doch nicht sein, dass ich die Routen in jedem einzelnen Client in meinem Clinet Netz konfigurieren muss.
Ja, für den einen Client ist das OK.joe2017 hat geschrieben:12.09.2018 11:34:41Ich hab in dem Client einfach als Gateway die OpenVPNClient IP eingetragen. Es sollte doch somit ausreichen, wenn der OpenVPNClient die Routen kennt oder?
Code: Alles auswählen
port 1194
proto udp
dev tun
ca /etc/openvpn/ssl/ca.chain.pem
cert /etc/openvpn/ssl/server.crt.pem
key /etc/openvpn/ssl/server_re.key.pem
dh none
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
client-config-dir ccd
route 192.168.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/ssl/ta.key 0 # This file is secret
cipher AES-256-GCM
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 10.5.0.10/16
gateway 10.5.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 10.5.0.254
up route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.5.0.10 dev enp1s0
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.5.0.10 dev enp1s0Code: Alles auswählen
iroute 192.168.0.0 255.255.255.0Code: Alles auswählen
client
dev tun
proto udp
remote PUBLIC-IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ssl/ca.chain.crt.pem
cert /etc/openvpn/ssl/client.crt.pem
key /etc/openvpn/ssl/client_re.key.pem
remote-cert-tls server
tls-auth /etc/openvpn/ssl/ta.key 1
cipher AES-256-GCM
verb 3Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 192.168.0.10/24
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.0.254
up route add -net 10.1.0.0 netmask 255.255.0.0 gw 192.168.0.10 dev enp1s0
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.10 dev enp1s0Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 192.168.0.20/24
gateway 192.168.0.10
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.0.254Wie sind auf diesem Client, die Ausgaben von:
Code: Alles auswählen
ip a
route -n
Code: Alles auswählen
default via 10.5.0.254 dev enp1s0 onlink
10.5.0.0/16 dev enp1s0 proto kernel scope link src 10.5.0.10
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
192.168.0.0/24 via 10.8.0.2 dev tun0Code: Alles auswählen
0.0.0.0/1 via 10.8.0.5 dev tun0
default via 192.168.0.254 dev enp1s0 onlink
10.5.0.0/16 via 10.8.0.5 dev tun0
10.8.0.0/24 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
128.0.0.0/1 via 10.8.0.5 dev tun0
PUBLIC-IP via 192.168.0.254 dev enp1s0
192.168.0.0/24 dev enp1s0 proto kernel scope link src 192.168.0.10Code: Alles auswählen
default via 192.168.0.10 dev enp2s0 onlink
192.168.0.0/24 dev enp2s0 proto kernel scope link src 192.168.0.20Dieser Client hat nur eine default route und eine definierte Route nach 192.168.0.0/24.joe2017 hat geschrieben:12.09.2018 14:40:39Clinet hinter OpenVPN Client
ip -4 rCode: Alles auswählen
default via 192.168.0.10 dev enp2s0 onlink 192.168.0.0/24 dev enp2s0 proto kernel scope link src 192.168.0.20
Code: Alles auswählen
up route add -net 10.5.0.0 netmask 255.255.0.0 gw 192.168.0.10 dev enp1s0
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.10 dev enp1s0
Ich denke nicht, dass mit diesem gateway 192.168.0.10 (bzw. mit diesem interface enp1s0) die Subnetze 10.5.0.0/16 und 10.8.0.0/24 erreicht werden können.joe2017 hat geschrieben:12.09.2018 15:13:16..., und in meinem OpenVPN Client (192.168.0.10) folgende Routen eintrage, dass ich anschließend die Route aufgebaut habe.Code: Alles auswählen
up route add -net 10.5.0.0 netmask 255.255.0.0 gw 192.168.0.10 dev enp1s0 up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.10 dev enp1s0
Eine VPN-Verbindung brauchst Du nicht auf jedem Client, aber das erforderliche Routing, da Du es ja nicht zentral im (W)LAN vom Router machen lassen willst.joe2017 hat geschrieben:12.09.2018 15:13:16Hab ich hier doch ein Denkfehler? Ich möchte das gesamte Netzwerk hinter dem OpenVPN Client durch schleifen. Ohne mit jedem Client eine VPN Verbindung aufbauen zu müssen.
Das wäre schon möglich, wenn Du deinen Server als Router konfiguriert hast. D. h. z. B. auch DNS und NTP (Zeit) via deinen Server. Alles was auch eine FritzBox als Router so macht, in einem (W)LAN/VPN.joe2017 hat geschrieben:12.09.2018 17:46:56Ich möchte eigentlich mein Debian Server als Router verwenden.
Das Routing müsste doch hier ebenfalls möglich sein.
Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 192.168.1.1/24
allow-hotplug enp2s0
iface enp2s0 inet static
address 10.5.0.1/16
gateway 10.5.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 10.5.0.254
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.1 dev enp1s0
down route del -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.1 dev enp1s0
up route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.1 dev enp1s0
down route del -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.1.1 dev enp1s0
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev enp1s0
down route del -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev enp1s0Code: Alles auswählen
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug enp1s0
iface enp1s0 inet static
address 192.168.1.2/16
allow-hotplug enp2s0
iface enp2s0 inet static
address 192.168.0.1/16
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.0.254
up route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dev enp1s0
down route del -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dev enp1s0
up route add -net 10.5.0.0 netmask 255.255.0.0 gw 192.168.1.2 dev enp1s0
down route del -net 10.5.0.0 netmask 255.255.0.0 gw 192.168.1.2 dev enp1s0
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.2 dev enp1s0
down route del -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.2 dev enp1s0Code: Alles auswählen
default via 10.5.0.254 dev enp2s0 onlink
10.5.0.0/16 dev enp2s0 proto kernel scope link src 10.5.0.1
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
192.168.1.0/24 dev enp1s0 proto kernel scope link src 192.168.1.1
192.168.0.0/24 via 10.8.0.2 dev tun0
traceroute to 192.168.0.188 (192.168.0.188), 30 hops max, 60 byte packets
1 10.8.0.6 (10.8.0.6) 1.087 ms 1.071 ms 1.067 ms
2 192.168.0.188 (192.168.0.188) 1.232 ms 1.239 ms 1.236 ms
Code: Alles auswählen
default via 192.168.0.254 dev enp2s0 onlink
10.5.0.0/16 via 10.8.0.5 dev tun0
10.8.0.0/24 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
192.168.1.0/24 dev enp1s0 proto kernel scope link src 192.168.1.2
192.168.0.0/24 dev enp2s0 proto kernel scope link src 192.168.0.1
traceroute to 10.5.0.73 (10.5.0.73), 30 hops max, 60 byte packets
1 localhost (10.8.0.1) 1.132 ms 1.107 ms 1.100 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
Code: Alles auswählen
192.168.0.188 via 10.8.0.2 dev tun0 src 10.8.0.1Code: Alles auswählen
10.5.0.73 via 10.8.0.5 dev tun0 src 10.8.0.6