IP Forwarding / Routing Problem

[Valvepro]

Moin -
ich habe ein Problem und zwar möchte ich gerne einen Server hinter einem Server betreiben...
Das System ist wie folgt aufgebaut:

Internet -> Router -> Linux Server -> VPN -> Server Applikation (läuft auf einem VPN Client)

Der Port auf welchen die Applikation hört ist im Route bereits geöffnet um zum Linux Server geleitet worden.
Ab diesem Punkt komme ich nicht mehr so recht weiter... Ich möchte gerne, dass die Anfragen von Linux Server zum Applikations Server weitergeleitet werden.

Versucht habe ich eine Forward regel mit dem besagten Port
=> "Akzeptiert Wenn Protokoll ist TCP und Ziel Port ist 5000"

Leider funktioniert es nicht so wie ich gedacht habe

Ich hoffe jemand kann mit hierbei behilflich sein, vielen Dank im voraus.

MfG

[hec_tech]

Wie kommt denn der VPN ins Internet? Übers VPN also mit redirect gateway oder über seinen defaultgw?

Ich denke mal die Rückpakete verschwinden irgendwo.

Kannst du mal die Netzwerke angeben bzw die jeweiligen routing tables?

Die Forward Regel ist wo definiert?

[orcape]

Hi,

Leider funktioniert es nicht so wie ich gedacht habe

Hast Du in "/proc/sys/net/ipv4/ip_forward" aus der 0 eine 1 gemacht, um dem Kernel das Routing "schmackhaft " zu machen ?
Ansonsten gilt was @hec_tech schon gesagt hat....

Kannst du mal die Netzwerke angeben bzw die jeweiligen routing tables?

...sonst kann man auch gleich die Glaskugel befragen...
Gruß orcape

[Valvepro]

Moin -

Forwarding habe ich natürlich an =)

Code: Alles auswählen

Route Table:
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
10.10.0.0       10.10.0.100     255.255.255.0   UG    0      0        0 tun0
10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

10.10.0.100 ist der Server mit der Applikation
192.168.1.0 ist das Netz der FritzBox

Die Pakete kommen nicht einmal zum Server an

IP-Table evtl. falsch? Ich habe nur den Port auf "durchlass" gestellt...

[hec_tech]

Ok also wir reden hier von 2x nat/pat was ich nicht freiwillig machen würde wenn es nicht umbedingt notwendig ist.

Kommst du vom VPN Server überhaupt auf den Port des VPN Clients?

Wie ist der Router konfiguriert? Den ganzen Traffic auf den Linuxserver weiterleiten? Ich beweifle nämlich stark dass der Router überhaupt wohin mit den Paketen für das VPN Netz. Sein defaultgw dürfte auch ein anderer sein. Der wird versuchen das VPN Netz an die ISP Router weiterzuleiten und die haben von dem Netz auch keine Ahnung.

Welches VPN verwendest du überhaupt? (OpenVPN, IPSec)
Wie ist das VPN konfiguriert? Routed oder Bridged?

Funktioniert das VPN auch so wie es soll?

[Valvepro]

Also als VPN nutze ich OpenVPN und es funktioniert eig. wie es soll... Clienten können untereinander kommunizieren - Die FritzBox leitet alle Pakete mit dem Port 5000 zum Server wo der VPN drauf läuft von dort an soll er dieses Pakete eig. "nur" an den clienten mit der ip 10.10.0.100 weiterleiten... Aber natürlich soll die Antwort vol clienten auch wieder zurück ins Netz gesendet werden auf 10.10.0.100 läuft quasi ein Webserver.

Leider kann ich das Problem nicht anders lösen... Mir fällt dort zumindest nichts ein außer einen Proxy zu installieren aber ich möchte ja nicht, das dann auf das komplette System zugegriffen werden kann daher fällt Proxy für mich eig weg oder könnte ich ankommende packend mit dem Port 5000 einfach auf den Proxy umleiten? Und alle anderen verweigern?

[hec_tech]

Du müsstest mal versuchen herauszufinden wo die Pakete verworfen werden.

Zeig mal deine iptables von deinem Server. Da glaube ich dass sie verloren gehen.

Mach mal beim openvpn redirect-gateway eventuell hilft das ja schon.

[Valvepro]

Hallo -

mit "redirect-gateway" würde ich doch den gesammten Traffic durch das VPN schieben?

Code: Alles auswählen

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5000

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Gerade mit Wireshark bisschen gesnifft also der Router leitet die Pakete 100% an den Server weiter.

[orcape]

Hi Valvepro ,
Dein Tunnelnetz ist 10.10.0.0/24.
Dann müsste bei einem funktionierenden OpenVPN-Tunnel Deine Server die IP 10.10.0.1 und Deine Client die IP 10.10.0.2 (Server Applikation) sein.
Der Server Applikation (läuft auf einem VPN Client) , der ja per NW mit dem ersten Server verbunden ist, sollte eine IP haben die nicht im Range des OpenVPN-Tunnels liegt.
Beispiel:
192.168.1.0 ist das Netz der FritzBox
172.19.5.0 das Netz Server-Server und darauf läuft das tun-Netz mit 10.10.0.0/24
Ich habe auch ein OVPN-Netz 10.10.1.0/24, remote hängt ein Läppi als Client mit IP 10.10.1.2, aber allein vom Tunnelnetz kann das nicht funktionieren.
Dazu brauche Ich eine Verbindung vom Provider der mir eine IP gibt.
Entweder habe ich Dich falsch verstanden, was ohne eine kleine Zeichnung vom Netzwerk schon mal passieren kann oder Du hast da grundlegend was falsch gemacht.
Gruß orcape

[hschroed]

Moin,

ich glaube dein Problem ist das Routing, kann es sein das der Router die Portweiterleitung zu den Server macht, also an IP 192.168.1.x ?

Wenn dem so ist hast du zwei Möglichkeiten:

1. DNAT auf dem Server: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000 -j DNAT --to 10.10.0.100

oder

2. Route in die Fritzbox eintragen, eine Statische Route für das 10.10.0.0/24 mit der 192.168.1.x Server als Router

Es kann sein das du noch Masquerade brauchst oder auf dem 10.10.0.100 Server eine Rückroute zum 192.168.1.0/24 Netz

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE


Viel Spass beim Testen.

[Valvepro]

Danke funktioniert nun einwandfrei =)
Aber wieso wird diese Regel:

Code: Alles auswählen

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000 -j DNAT --to 10.10.0.100

nicht bei "iptables -L" angezeigt?

Vielen Dank für eure Hilfe

[rendegast]

nicht bei "iptables -L" angezeigt?

->

Code: Alles auswählen

iptables -L -t nat

[Valvepro]

Danke =)