iptables Openvpn Problem

Sarem_Avuton · Beitrag von **Sarem_Avuton** » 19.06.2006 12:00:06

Hallo,

ich habe folgende Regel auf einem Debianrouter und will damit auf den hinter dem Router
liegenden OpenVPN Server forwarden.

Code: Alles auswählen

iptables -t nat -A PREROUTING -i $EXTDEV -p udp --dport 1194 -j DNAT --to-dest 192.168.6.203

Leider scheint das nicht zu reichen. OpenVPN meint dazu das 192.168.6.203 die Paktet wohl rejectet was aber nicht stimmt denn zu Testzwecken habe ich mich erfolgreich direkt mit 192.168.6.203 verbinden können.

Fehlt da noch eine Regel ?

iptables -L -t nat gibt folgendes aus:

Code: Alles auswählen

mail-new:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  anywhere             anywhere            tcp dpt:www redir ports 3128
DNAT       udp  --  anywhere             anywhere            udp dpt:openvpn to:192.168.6.203
DNAT       tcp  --  anywhere             anywhere            tcp dpts:6881:6889 to:192.168.6.140
DNAT       udp  --  anywhere             anywhere            udp dpts:6881:6889 to:192.168.6.140

Grüße Jörg

chroiss · Beitrag von **chroiss** » 19.06.2006 12:40:50

Ist die Forward Kette zunächst komplett gedropt ???

dann würde wohl ein

Code: Alles auswählen

iptables -A FORWARD -i $EXTDEV -o $INTDEV -d 192.168.6.203 -p udp --dport 1194 -j ACCEPT

was bringen..

gruss chroiss

Sarem_Avuton · Beitrag von **Sarem_Avuton** » 19.06.2006 16:00:43

Ich habe das mal mit reingenommen aber Irgenwie geht es nicht .

hier mal meine Firewallscript im Teststadium http://nopaste.debianforum.de/3467

Auf dem OpenVPN Server (192.168.6.203) kommt ja auch was an.

Code: Alles auswählen

Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: MULTI: multi_create_instance called
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 Re-using SSL/TLS context
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 LZO compression initialized
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 Local Options hash (VER=V4): 'f7df56b8'
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 Expected Remote Options hash (VER=V4): 'd79ca330'
Jun 19 15:39:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 TLS: Initial packet from 192.168.1.131:1194, sid=2133e281 ca56436c
Jun 19 15:40:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jun 19 15:40:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 TLS Error: TLS handshake failed
Jun 19 15:40:24 hylafax ovpn-openvpn_server[1584]: 192.168.1.131:1194 SIGUSR1[soft,tls-error] received, client-instance restarting

Die Log Regeln in iptables greifen auch nicht.

route -n auf dem openvpn Server bringt folgendes:

Code: Alles auswählen

hylafax:~# route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.6.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
0.0.0.0         192.168.6.201   0.0.0.0         UG    0      0        0 br0

wobei ...201 der Router ist.

Mhhh...im Moment weiß ich nicht wo ich noch was übersehen habe?

Grüße Jörg

chroiss · Beitrag von **chroiss** » 19.06.2006 16:21:40

mach mal aus

iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -m state --state ESTABLISHED,RELATED -j ACCEPT

ein

Code: Alles auswählen

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

(zeile 80)

Gruss chroiss

Sarem_Avuton · Beitrag von **Sarem_Avuton** » 19.06.2006 16:32:09

Das hilft leider auch nicht im Log es Openvpn Client kommt jetzt aber folgendes:

Code: Alles auswählen

Mon Jun 19 16:25:25 2006 OpenVPN 2.0.2 Win32-MinGW [SSL] [LZO] built on Aug 25 2005
Mon Jun 19 16:25:25 2006 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jun 19 16:25:25 2006 LZO compression initialized
Mon Jun 19 16:25:25 2006 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jun 19 16:25:25 2006 TAP-WIN32 device [my-tap] opened: \\.\Global\{F68A2153-2781-443E-825B-AA5E2A224AD8}.tap
Mon Jun 19 16:25:25 2006 TAP-Win32 Driver Version 8.1 
Mon Jun 19 16:25:25 2006 TAP-Win32 MTU=1500
Mon Jun 19 16:25:25 2006 Successful ARP Flush on interface [4] {F68A2153-2781-443E-825B-AA5E2A224AD8}
Mon Jun 19 16:25:25 2006 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Jun 19 16:25:25 2006 Local Options hash (VER=V4): 'd79ca330'
Mon Jun 19 16:25:25 2006 Expected Remote Options hash (VER=V4): 'f7df56b8'
Mon Jun 19 16:25:25 2006 UDPv4 link local (bound): [undef]:1194
Mon Jun 19 16:25:25 2006 UDPv4 link remote: 192.168.1.1:1194
Mon Jun 19 16:25:25 2006 TCP/UDP: Incoming packet rejected from 192.168.6.203:1194[2], expected peer address: 192.168.1.1:1194 (allow this incoming source address/port by removing --remote or adding --float)
Mon Jun 19 16:25:27 2006 TCP/UDP: Incoming packet rejected from 192.168.6.203:1194[2], expected peer address: 192.168.1.1:1194 (allow this incoming source address/port by removing --remote or adding --float)

Auf dem Openvpnserver (...203) ist aber im Moment noch kein FW installiert, Also sollte er keine Paket rejecten.

Ich schaue noch mal was doe Option --float zu bedeuten hat.

Grüße Jörg

PS: Hurra es geht mit --float Danke Dir chroiss für deine Hilfe!

Sarem_Avuton · Beitrag von **Sarem_Avuton** » 19.06.2006 17:15:26

Nee geht doch nicht! Oder es ging einmal ?!

Schade ich probier mal weiter . Falls jemand noch eine Idee hat oder weitere configs oder logs sehen will dann immer herdami

Bis dahin *grübelnd* Jörg

chroiss · Beitrag von **chroiss** » 19.06.2006 19:59:53

versuch doch mal testweise
die default ploicy der forward chain

auf ACCEPT zustellen

Code: Alles auswählen

iptables -P FORWARD ACCEPT

und dann natürlich die

Code: Alles auswählen

iptables -A FORWARD -i $IFACE_EXT -o $IFACE_INT -d 192.168.6.203 -p udp --dport 1194 -j ACCEPT

wieder auskommentieren.

ansonsten werde ich mal morgen oder so versuchen das nachzubauen .

gruss chroiss

Sarem_Avuton · Beitrag von **Sarem_Avuton** » 20.06.2006 08:18:52

Hallo ,

wenn ich default

Code: Alles auswählen

iptables -P FORWARD ACCEPT

mache dann kommt merkwürdigerweise im Log folgendes.

Code: Alles auswählen

 ...snip
Jun 20 08:11:13 mail-new kernel: FW:forward:IN=eth0 OUT=eth1 SRC=192.168.6.203 DST=192.168.1.131 LEN=42 TOS=0x00 PREC=0x00 TTL=63 ID=4780 DF PROTO=UDP SPT=1194 DPT=4385 LEN=22
Jun 20 08:11:20 mail-new kernel: FW:forward:IN=eth1 OUT=eth0 SRC=192.168.1.131 DST=192.168.6.203 LEN=42 TOS=0x00 PREC=0x00 TTL=127 ID=2455 PROTO=UDP SPT=4385 DPT=1194 LEN=22
..snip

Die Log Regel ist

Code: Alles auswählen

iptables -A FORWARD -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST -j LOG --log-prefix "FW:forward:"

Merkwürdig ? Ich dachte es werden nur Pakete gelogt die nicht schon vorher per regeln behandelt wurden?

Grüße Jörg

PS: Es sind übrigens beides XEN DomU's falls das vieleicht eine Rolle spielen könnte.

chroiss · Beitrag von **chroiss** » 21.06.2006 14:24:29

habs ma gerade ausprobiert....

funktioniert einwandfrei !

WIN (TUN/TAP) ---> Fortinet---- INTERNET --->> ROUTER ( DEBIAN ) ---> WIN(TUN/TAP)
-----INTERNE IP------------NAT----------WAN----------------NAT------------------------INTERNE IP
-------alpha-----------------------------------------------------------------------------------------beta

auf alpha :

Code: Alles auswählen

remote dyndns.ath.cx
dev tun
ifconfig 10.0.0.2 10.0.0.1
secret key.txt
port 5000

auf beta :

Code: Alles auswählen

dev tun
ifconfig 10.0.0.1 10.0.0.2
secret key.txt
port 5000

auf router :

Code: Alles auswählen

# OVPN
$IPTABLES -A FORWARD -i $INTDEV -p udp -s 192.168.10.5 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EXTDEV -p udp --dport 5000 -j DNAT --to-dest 192.168.10.5
$IPTABLES -A FORWARD -i $EXTDEV -o $INTDEV -d 192.168.10.5 -p udp --dport 5000 -j ACCEPT

Code: Alles auswählen

Wed Jun 21 14:53:55 2006 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2
006
Wed Jun 21 14:53:55 2006 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{9
516DB8E-00FD-4FC9-AFCD-DD8950A6043F}.tap
Wed Jun 21 14:53:55 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.0.0.2/255.255.255.252 on interface {9516DB8E-00FD-4FC9-AFCD-DD8950A6043F} [DHC
P-serv: 10.0.0.1, lease-time: 31536000]
Wed Jun 21 14:53:55 2006 Successful ARP Flush on interface [131076] {9516DB8E-00
FD-4FC9-AFCD-DD8950A6043F}
Wed Jun 21 14:53:55 2006 UDPv4 link local (bound): [undef]:5000
Wed Jun 21 14:53:55 2006 UDPv4 link remote: 213.196.252.xxx:5000
Wed Jun 21 14:54:05 2006 Peer Connection Initiated with 213.196.252.xxx:5000
Wed Jun 21 14:54:06 2006 Initialization Sequence Completed

gruss chroiss