OpenVPN-Server und Internet-Zugang (z.B. apt update)

[rimatheou]

Einen Gruß in die Runde,

auf einem Netbook mit den Schnittstellen enp1s0 und wlp2s0b1 habe ich testweise einen OpenVPN-Server installiert und nach dieser Anleitung: https://wiki.debian.org/OpenVPN#TLS-enabled_VPN eingerichtet. Alles schön und gut, Client und Server können sich gegenseitig ansprechen. Jetzt habe ich das Phänomen, dass ich auf dem Server keine Software mehr installieren kann (z.B. Open-SSH) und die EasyBox kann ich auch nicht mehr anpingen. Eine Recherche hat ergeben, dass ich iptables entsprechend konfigurieren muss, um wieder Internet-Zugang zu bekommen. Ich habe viele Beispiel-Konfigurationen ausprobiert, aber keine hat funktioniert (weil ich es vlt. auch nicht richtig kapiert habe). Wer will mir unter die Arme greifen? Welche Informationen darf ich noch liefern? Brauche ich zwei Ethernet-Schnittstellen? Ich würde gerne Software nachinstallieren.

Gruß, rima

[mat6937]

Jetzt habe ich das Phänomen, dass ich auf dem Server keine Software mehr installieren kann (z.B. Open-SSH) und die EasyBox kann ich auch nicht mehr anpingen.

Hast Du noch Internetzugang, mt deinem Server?
Wie sind auf deinem Server die Ausgaben von:

Code: Alles auswählen

ip a
route -n
ping -c 3 1.1.1.1
host heise.de 1.1.1.1
cat /etc/resolv.conf
iptables -nvx -L -t nat

?

[rimatheou]

Code: Alles auswählen

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether bc:ae:c5:a1:5a:e9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.55/24 brd 192.168.5.255 scope global enp1s0
       valid_lft forever preferred_lft forever
    inet6 fe80::beae:c5ff:fea1:5ae9/64 scope link 
       valid_lft forever preferred_lft forever
3: wlp2s0b1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 48:5d:60:d2:25:38 brd ff:ff:ff:ff:ff:ff

und

Code: Alles auswählen

route -n

-bash: route: Kommando nicht gefunden

und

Code: Alles auswählen

ping -c 3 1.1.1.1

PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.

--- 1.1.1.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 55ms

und

Code: Alles auswählen

host heise.de 1.1.1.1

;; connection timed out; no servers could be reached

und

Code: Alles auswählen

cat /etc/resolv.conf

search meinheimnetzwerk.local
nameserver 192.168.22.1

und

Code: Alles auswählen

iptables -nvx -L -t nat

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Die fehlgeschlagenen iptables-rules habe ich nicht gespeichert.

[mat6937]

Code: Alles auswählen

route -n

-bash: route: Kommando nicht gefunden

Dann die Ausgabe von:

Code: Alles auswählen

ip r

BTW: Poste die Ausgaben, wenn zum Server auch eine VPN-Verbindung vorhanden ist.

[rimatheou]

Also, wie gewünscht:

Code: Alles auswählen

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether bc:ae:c5:a1:5a:e9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.55/24 brd 192.168.5.255 scope global enp1s0
       valid_lft forever preferred_lft forever
    inet6 fe80::beae:c5ff:fea1:5ae9/64 scope link 
       valid_lft forever preferred_lft forever
3: wlp2s0b1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 48:5d:60:d2:25:38 brd ff:ff:ff:ff:ff:ff
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::506f:b5da:f810:bd6e/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

und

Code: Alles auswählen

ip r

default via 192.168.22.1 dev enp1s0 onlink 
10.8.0.0/24 via 10.8.0.2 dev tun0 
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 
169.254.0.0/16 dev enp1s0 scope link metric 1000 
192.168.5.0/24 dev enp1s0 proto kernel scope link src 192.168.5.55 

und

Code: Alles auswählen

ping -c 3 1.1.1.1

PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.

--- 1.1.1.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 39ms

und

Code: Alles auswählen

host heise.de 1.1.1.1

;; connection timed out; no servers could be reached

Die nicht aufgeführten Befehle sind unverändert.

[mat6937]

Also, wie gewünscht:

Code: Alles auswählen

i
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether bc:ae:c5:a1:5a:e9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.55/24 brd 192.168.5.255 scope global enp1s0
       

und

Code: Alles auswählen

ip r

default via 192.168.22.1 dev enp1s0 onlink 
 

Kannst Du das gw (192.168.22.1) der default route, via enp1s0 erreichen?
Wie ist die Ausgabe von:

Code: Alles auswählen

ping -c 3 -I enp1s0 192.168.22.1

?

[rimatheou]

Code: Alles auswählen

ping -c 3 -I enp1s0 192.168.22.1

PING 192.168.22.1 (192.168.22.1) from 192.168.5.55 enp1s0: 56(84) bytes of data.

--- 192.168.22.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 31ms

[mat6937]

Code: Alles auswählen

3 packets transmitted, 0 received, 100% packet loss, time 31ms

Ich denke, dann kann der Internetzugang ja auch nicht funktionieren.
Wie ist diese "default route" mit diesem gateway zustande gekommen? Welches deiner Geräte hat diese IP-Adresse (192.168.22.1)?

[rimatheou]

Bitte dazu folgendes Bild betrachten:



Das ist die VPN-Konfiguration meiner EasyBox. Grafik meines Heimnetzwerkes folgt.

[rimatheou]

Et voila, mein Heimnetzwerk:

[MSfree]

Möchten sie ihr Fahrzeug veräussern?

*SCNR*

[rimatheou]

Nach diesem Beitrag habe ich

Code: Alles auswählen

killall openvpn

ausgeführt, um meinen Server komplett zu beenden. Wenn ich jetzt

Code: Alles auswählen

ps ax | grep openvpn

ausführe, erhalte ich dennoch eine PID, bspw. 853. Die PID ändert sich jedoch bei jedem Absetzen von

Code: Alles auswählen

ps ax | grep openvpn

sodass ich den Prozess mit kill -9 <PID> nicht erwische.

Welche Möglichkeit gibt es noch, den openvpn-server vorübergehend einfach zu beenden, um Software zu installieren?

[rimatheou]

Ich habe meinen Server neu aufgesetzt. Ich habe jetzt beide Netzwerkschnittstellen (enp und wlp) konfiguriert, so dass ich abwechselnd den VPN-Server über enp laufen lassen kann, und wenn ich apt ausführen möchte, nehme ich wlp. Mal schauen, ob es funktioniert.