OpenVPN auf Homer-Server

[Duff]

Hallo,

ich habe auf meinem Home-Server nun endlich die Netzwerktopologie geändert.
Die eingerichteten Dienste funktionieren nun auch endlich (bisher zumindestens, da es noch keine Beschwerden gegeben hat).

Nun muss ich aber auch mein OpenVPN anpassen.

Zu meinem Netzwerk:


Ich kann von meinem Client aus (debian lenny) über OpenVPN auf das Netzwerk zugreifen und auch Rechner (die eingeschaltet sind) anpingen. Pinge ich jedoch einen Drucker (IP-Adresse 192.168.1.12) aus dem Netz an, so erhalte ich keine Antwort. Vom Server selber bekomme ich eine Antwort.

Client im Internet:

Code: Alles auswählen

daniel@laptop:~/server$ ping -c3 192.168.1.99
PING 192.168.1.99 (192.168.1.99) 56(84) bytes of data.
64 bytes from 192.168.1.99: icmp_seq=1 ttl=64 time=107 ms
64 bytes from 192.168.1.99: icmp_seq=2 ttl=64 time=117 ms
64 bytes from 192.168.1.99: icmp_seq=3 ttl=64 time=108 ms

--- 192.168.1.99 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 107.960/111.459/117.859/4.532 ms
daniel@laptop:~/server$ ping -c3 192.168.1.118
PING 192.168.1.118 (192.168.1.118) 56(84) bytes of data.
64 bytes from 192.168.1.118: icmp_seq=1 ttl=127 time=108 ms
64 bytes from 192.168.1.118: icmp_seq=2 ttl=127 time=108 ms
64 bytes from 192.168.1.118: icmp_seq=3 ttl=127 time=118 ms

--- 192.168.1.118 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 108.050/111.896/118.907/4.979 ms
daniel@laptop:~/server$ ping -c3 192.168.1.12
PING 192.168.1.12 (192.168.1.12) 56(84) bytes of data.

--- 192.168.1.12 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2009ms

Server

Code: Alles auswählen

daniel@homer:~$ ping -c3 192.168.1.12
PING 192.168.1.12 (192.168.1.12) 56(84) bytes of data.
64 bytes from 192.168.1.12: icmp_seq=1 ttl=255 time=0.908 ms
64 bytes from 192.168.1.12: icmp_seq=2 ttl=255 time=0.552 ms
64 bytes from 192.168.1.12: icmp_seq=3 ttl=255 time=0.578 ms

--- 192.168.1.12 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 0.552/0.679/0.908/0.163 ms

Habe auf dem Server folgende iptables-Regeln aktiv:

Code: Alles auswählen

#!/bin/bash
# 
# Autor	: Daniel D. 
# Version: 0.1
# Datum	: 26.10.2008
#
# Dieses Skript lädt die Regeln für die Firewall

# 
# Devices festlegen und IP-Adressen zuweisen
#
INET_IFACE=eth0			# IP-Adresse 192.168.2.98 
LAN_IFACE=eth1				# IP-Adresse 192.168.1.99
INET_IP="192.168.2.98"
LAN_IP="192.168.1.99"
INET_NET="192.168.2.0/24"
LAN_NET="192.168.1.0/24"
TUN_IFACE=tun0

#
# Definiere einige Befehle
#
ECHO=$(which echo)
IPTABLES=$(which iptables)
SYSCTL=$(which sysctl)
MODPROBE=$(which modprobe)

#
# Verwerfe erstmal alles
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP	

#
# Leere die Ketten
#
$IPTABLES -F
$IPTABLES -t nat -F
#$IPTABLES -t mangel -F
$IPTABLES -X

# 
# Module laden
# 
$MODPROBE ip_conntrack
$MODPROBE ip_nat
$MODPROBE ipt_REDIRECT
$MODPROBE ipt_MASQUERADE
$MODPROBE ipt_LOG
$MODPROBE ipt_recent

# 
# Kernelparameter setzen
#
$ECHO "1" > /proc/sys/net/ipv4/ip_forward
# Alternativ
# $SYSCTL -w net.ipv4.ip_forward=1

#
# Die Regeln
#

# Akzeptiere alle Pakete, die Teil einer aufgebauten Verbindung sind
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Akzeptiere Verbindungsaufbauten von innen 
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state NEW -j ACCEPT

# Loopback erlauben
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# Zugriff auf den SSH-Server (Port 22) aus dem Internet erlauben
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 4 --rttl --name SSH -j DROP
#$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp --sport 22 -j ACCEPT
$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m hashlimit --hashlimit 1/min --hashlimit-mode srcip --hashlimit-name SSH -m state --state NEW -j ACCEPT

# Zugriff auf den SSH-Server (Port 22) vom LAN_IFACE aus erlauben
#$IPTABLES -A INPUT -i $LAN_IFACE -p tcp --dport 22 -m state --state NEW -j ACCEPT

# ICMP-Pakete (z.B. pingen) erlauben
$IPTABLES -A FORWARD -s $LAN_NET -p icmp -m state --state NEW -j ACCEPT

# Squid-Proxy benutzen
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -A INPUT -i $LAN_IFACE -p tcp -s $LAN_NET --dport 3128 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o $INET_IFACE -m state --state NEW -j ACCEPT

# Maskiere alle Pakete bei der Weiterleitung nach außen
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

# Alles vom LAN zum Server ($LAN_IFACE) erlauben und umgekehrt
$IPTABLES -A INPUT -i $LAN_IFACE -s $LAN_NET -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -d $LAN_NET -j ACCEPT

# OpenVPN
TUN="tun0"
TUN_NET="10.8.0.0/24"
$IPTABLES -A INPUT -i $INET_IFACE -p udp --dport 443 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o $INET_IFACE -p udp --sport 443 -j ACCEPT
$IPTABLES -A INPUT -i $TUN -s $TUN_NET -j ACCEPT
$IPTABLES -A OUTPUT -o $TUN -d $TUN_NET -j ACCEPT
$IPTABLES -A FORWARD -i $TUN -o $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -o $TUN -i $LAN_IFACE -j ACCEPT

Auf der Fritzbox im Netzwerk des Servers habe ich noch die Rückroute 10.8.0.0 über 192.168.2.98 eingerichtet.

Habe ich eventuell noch einen Fehler in meiner Konfiguration???

[gms]

Habe ich eventuell noch einen Fehler in meiner Konfiguration???

möglich, aber selbst wenn, dann dürfte das mit dem Drucker-Problem nichts zu tun haben.
Wenn du über das VPN die Rechner im 192.168.1.0/24 Subnetz erreichen kannst, einen Drucker auch aus diesem Subnetz aber nicht, dann liegt das mit großer Wahrscheinlichkeit an der Konfiguration des Druckers. Dort würde ich also nachhacken und z.B das Defaultgateway, Routingtabelle, .. überprüfen

Gruß
gms

[Duff]

Ok, danke.

Was mich noch wundert ist folgendes:

1. Pingen:

Vom Linux-Client aus kann ich problemlos den Server bzw. einen Client hinter dem Server anpingen.
Von einem Windows-Client aus bekomme ich zwischen den Antworten des öfteren eine Zeitüberschreitung der Anforderung gemeldet.

2. Remote-Zugriff

Ich kann weder vom Linux-Client über rdesktop -f <IP> noch über die Remoteverbindung von Windows auf den Client zugreifen bzw. mir dessen Desktop holen. Wie kann das sein?
Habe schon sämtlichen iptables-Verkehr auf logging gestellt (iptables -A INPUT (FORWARD und OUTPUT) -j LOG --log-prefix "INPUT (usw.) (all):"

[Duff]

Zu Punkt 1)

Es treten zwar vom Windows-Rechner noch immer diese ping-Aufälle auf, aber ein mounten der SAMBA-Laufwerk über VPN funktioniert nun schonmal.


Zu Punkt 2)

Hier kann ich noch immer keinen Fehler finden.
Vielleicht noch jemand eine Idee?


Neuer Punkt 3)

Gibt es eine Möglichkeit, dass ich bei einem Verbindungsversuch/-aufbau per OpenVPN neben den Zertifikaten noch als weitern Schutz einen bestimmten Key eingeben muss?

[6uellerBelästigungspanda]

wichtig ist das du das du beim gateway einen routingeintrag machst
ebenso das forwarding auf dem OpenVPN Server siehe -> /proc/sys/net/ipv4/ip_forward

Neuer Punkt 3)

Gibt es eine Möglichkeit, dass ich bei einem Verbindungsversuch/-aufbau per OpenVPN neben den Zertifikaten noch als weitern Schutz einen bestimmten Key eingeben muss?

ja anstatt ./build-key musst du

Code: Alles auswählen

./build-key-pass

nehmen.

[Duff]

wichtig ist das du das du beim gateway einen routingeintrag machst

Wo genau meinst du jetzt (an welcher Stelle genau)?

ebenso das forwarding auf dem OpenVPN Server siehe -> /proc/sys/net/ipv4/ip_forward

Das Routing auf dem Server ist aktiviert (sonst könnten die Clients aus dem Netz 192.168.1.0 auch ohne OpenVPN nichts ins Internet gelangen).


Und danke für den Hinweis auf ./build-keys-pass.
Werde ich mir anschauen!

[6uellerBelästigungspanda]

Wo genau meinst du jetzt (an welcher Stelle genau)?

beim gateway wo die openvpn clients hinwollen - ich glaub bei dir ist das 192.168.1.0 netz

[Duff]

Wo genau meinst du jetzt (an welcher Stelle genau)?

beim gateway wo die openvpn clients hinwollen - ich glaub bei dir ist das 192.168.1.0 netz

Sorry, aber kannst du das vielleicht anhand der obigen Grafik beschreiben (z.B. fritzbox im LAN rechts).

Weil ich kann über vpn die Clients anpingen.

[6uellerBelästigungspanda]

Zu Punkt 1)

Es treten zwar vom Windows-Rechner noch immer diese ping-Aufälle auf, aber ein mounten der SAMBA-Laufwerk über VPN funktioniert nun schonmal.

mein fehler das hatte ich überlesen..

[Duff]

Ja dann haben wir aneinander vorbei gesprochen.

Ich dachte nämlich, du meinst den Punkt 2, wo ein Remotezugriff nicht funktioniert.