Routing-Ausnahme?

[Natureshadow]

Hi,

mein Notebook baut einen VPN-Tunnel über Tinc zu einem Server auf, über den ich ins Internet routen kann.

Das System ist umfangreich gefirewallt. Eigentlich möchte ich, dass ausschließlich der VPN-Traffic über das echte Netzwerkinterface geht und aller Internet-Traffic durch den Tunnel.

So, die Firewallkonfig dafür ist trivial und die Standardroute durch den Tunnel setzen kann ich natürlich auch, eine statische Route für den VPN-Endpunkt ist auch trivial.

Das Problem ist, dass das Notebook tatsächlich unterwegs genutzt wird und sich sowohl das Interface, über das ich ins Internet komme, als auch die Gateway-IP, um den VPN-Endpunkt zu erreichen, laufend ändern.

Wie kann ich das gewünschte System trotzdem erreichen?

(Lösung per Skript ist klar - aber geht da auch was dynamisches?)

-nik

[Cae]

Mal ein bisschen gesponnen: Kann man den default-Router nicht auf dem lokalen Gateway belassen und mit iptables eine Regel stricken, die alles bis auf $vpnport zu $tunnelpartner mit ESTABLISHED,RELATED (auch NEW?) auf das tun-Device forwarded und dort im POSTROUTING NATtet? Okay, sind zwei Regeln. Dann wäre halt der Standardgateway dynamisch, aber dafür gibt's ja DHCP. Ich kann mich erinnern, bei so einem Problem mal allerdings ergebnislos herumgespielt zu haben.

Gruß Cae

[Natureshadow]

Guter Plan!

-nik

[Natureshadow]

So, hier mal, was ich gemacht habe (shorewall kann es mal wieder alles ...)

88.198.107.26 ist die IP meines VPN-Endpunkts
172.29.10.1 ist die interne VPN-IP des Gateways

/etc/shorewall/providers:

Code: Alles auswählen

#
# Shorewall version 4 - Providers File
#
# For information about entries in this file, type "man shorewall-providers"
#
# For additional information, see http://shorewall.net/MultiISP.html
#
############################################################################################
#NAME   NUMBER  MARK    DUPLICATE       INTERFACE       GATEWAY         OPTIONS         COPY
Tinc    1       1       main            tap0            172.29.10.1     track           none

/etc/shorewall/tcrules:

Code: Alles auswählen

#
# Shorewall version 4 - Tcrules File
#
# For information about entries in this file, type "man shorewall-tcrules"
#
# See http://shorewall.net/traffic_shaping.htm for additional information.
# For usage in selecting among multiple ISPs, see
# http://shorewall.net/MultiISP.html
#
# See http://shorewall.net/PacketMarking.html for a detailed description of
# the Netfilter/Shorewall packet marking mechanism.
##########################################################################################################################################
#ACTION SOURCE          DEST            PROTO   DEST    SOURCE  USER    TEST    LENGTH  TOS   CONNBYTES         HELPER    PROBABILITY DSCP
#                                               PORT(S) PORT(S)
1       -               88.198.107.26   tcp     1:654,656:65535
1       -               88.198.107.26   udp     1:654,656:65535
1       -               88.198.107.26   icmp

/etc/shorewall/rtrules:

Code: Alles auswählen

#
# Shorewall version 4 - route rules File
#
# For information about entries in this file, type "man shorewall-rtrules"
#
# For additional information, see http://www.shorewall.net/MultiISP.html
####################################################################################
#SOURCE                 DEST                    PROVIDER        PRIORITY        MASK
-                       88.198.107.26           main            11000
lo                      -                       Tinc            11001

Bleiben noch ein paar Problemchen:

• Der doofe NetworkManager überschreibt den VPN-Nameserver in resolv.conf
• Das Routing von Traffic zum VPN-Endpunkt für Ports außer 655 /also die tcrules) greifen noch nicht so richtig
• Wie komme ich jetzt an Hosts, die im lokalen Netz sind, über das ich route, und die ich vom Notebook aus erreichen muss? Also wenn ich an wlan0 jetzt 192.168.0.0/24 habe, dann fällt das ja jetzt in die Routingregel für Tinc. Und da ich ja roame, kann ich da auch nicht wirklich was konfigurieren ... ich könnte jetzt einfach das Routing für alle privaten Adressbereiche auf main legen, aber wenn ich dann mal öffentliche Adressen habe ...

Aber super Plan, Cae !

-nik

[Cae]

• Der doofe NetworkManager überschreibt den VPN-Nameserver in resolv.conf

/etc/resolvconf/resolvconf.d/base? Ich hab' den Mechanismus da nicht verstanden, auch nicht, wozu das gut sein soll, aber die Nameserver in der base überleben das Rumgefrickel vom neumodischen resolv-irgendwas.

Das lokale Netz müsste man sich eigentlich statisch wieder auf das echte Interface routen und das Forwarding kaputt machen. Nur ist ein statischer Eintrag bei wechselden Netzen nicht so dolle. 10.0.0.0/8 und so weiter? Auch blöde, irgendwie, inbesondere weil der Tunnel auch drin liegt.

Aber super Plan, Cae !

Danke!

Gruß Cae

[Natureshadow]

Das lokale Netz müsste man sich eigentlich statisch wieder auf das echte Interface routen und das Forwarding kaputt machen. Nur ist ein statischer Eintrag bei wechselden Netzen nicht so dolle. 10.0.0.0/8 und so weiter? Auch blöde, irgendwie, inbesondere weil der Tunnel auch drin liegt.

Nö, das mit dem Tunnel ist egal. Ich habe jetzt einfach 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 auf die main-Tabelle gelegt - die Route in das Tunnelnetz steht da ja drin, das klappt prima. Generell ist sowieso jeder Traffic auf den Interfaces gedroppt.

/etc/shorewall/rtrules:

Code: Alles auswählen

#
# Shorewall version 4 - route rules File
#
# For information about entries in this file, type "man shorewall-rtrules"
#
# For additional information, see http://www.shorewall.net/MultiISP.html
####################################################################################
#SOURCE                 DEST                    PROVIDER        PRIORITY        MASK
-                       88.198.107.26           main            11000
-                       10.0.0.0/8              main            11001
-                       172.16.0.0/12           main            11001
-                       192.168.0.0/16          main            11001
-                       0.0.0.0/0               Tinc            11002

[Natureshadow]

So, ich hatte noch das Problem, dass bei konfigurierter Firewall der VPN-Tunnel nicht neu aufgebaut werden konnte. Das, äh, lag an einem Zahlendreher im Port ...

Jetzt ist noch das Problem, dass ich irgendwie die externe Adresse des VPN-Servers nicht mehr erreichen kann, weder durch den Tunnel noch außen rum (natürlich, nachdem ich den Traffic in der Firewall erlaubt habe).

Wie kommt das?

[pangu]

Hi nik,

vielleicht hast du auf dem remote host sowas aehnliches fail2ban am Laufen oder sonstige Tools, die dich nun -aus welchen Gründen auch immer- blocken? ich hatte mal einen ähnlichen Fall, und hatte mich zu Tode gesucht bis ich drauf kam dass ich auf der fail2ban Liste sas. Hatte nämlich ewig rumprobiert und anhand der vielen Test-connects wurde ich verbannt *lol* nur so als Idee, vielleicht ist ja bei dir so was aehnliches passiert dass dich eine von deinen vielen "firewalls" blockt.

Ansonsten gibts beim Pendand openvpn den Eintrag push "redirect-gateway def1" in der config mit der man solche Sachen regeln kann. Ich kenne deine OpenVPN-Lösung nicht, aber vllt. gibts da ähnliches.

Grüße,
Pangu

[Natureshadow]

Nene ...