Openvpn Routing ohne NAT

[fundave3]

Hallo Zusammen,

 

ich habe mein Raspi mit neuer SD KArte am laufen. Dieser soll meinen lokalen TRaffic via Openvpn durch den Tunnel routen.

Mir fehlt allerdings noch eine IPtables Regel.

 

Da ich ohne NAT Arbeiten möchte ( der arme hat schon genug zutun ), will ich transparent Routen, sodass nachvollziebar ist , woher der TRaffic stammt.

 

Dazu fehlt mir aber noch eine IPtables Regel. Die I Route für die Statische IP habe ich remote auf der PFsense eingerichtet. Ebenso wie das Client Network.

 

Dabei ergibt sich folgendes:

sudo iptables -I FORWARD -i eth0 -o tun0 -s 10.211.14.0/24 -d 0.0.0.0/0 -m conntrack --ctstate NEW -j ACCEPT

Was mache ich falsch ?

 

Vielen Dank.

 

 

[RipperFox]

Was funktioniert denn genau nicht?
Zum reinen Routen brauchst Du iptables gar nicht.

Hast Du Routing überhaupt aktiviert (in /etc/sysctl.conf)? Was sagt uns

cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv6/conf/all/forwarding

 

[fundave3]

Ach mist.

Stimmt ja. Das Forwarding habe ich vergessen.

aber eine Iptables Regel brauche ich dennoch , denn ich will ja auch zurück routen. Aber ohne NAT.

 

wie mache ich das ?

 

 

vielen dank.

 

Chriatian

[RipperFox]

"Zurückrouten" passiert auf der anderen Seite. Mit FW-Regeln, Routingtabellen, etc. kannst Du nur beeinflussen, was bei Dir wie und wo raus geht. Mit iptables kann man z.B. die Quelladresse umschreiben oder Firwallregeln festlegen. Der Weg zurück wird aber auf der Gegenseite entschieden. Routing kann auch asymmetrisch sein, d.h. Antwortpakete gehen einen komplett anderen Weg.

Ohne genauere Netz- + Fehlerbeschreibung kann man allerdings nur glaskugeln

Bearbeitet 2. Juli 2019 von RipperFox

[fundave3]

Nabend.

 

okay. Ich versuche mich mal klarer Auszudrücken.

 

Lokales Netz

 

10.211.14.0/24

Raspberry PI 10.211.14.253/24 -- Lokale IP

Raspberry PI 10.129.132.251 -- VPN IP ( redirect all traffic to vpn tunnel)

 

VPN Netz

 

10.129.132.0/24

10.129.132.1/24 -- PFsense

 

Mein Ziel  Lokaler Datenverkehr ebenfalls durch den VPN Tunnel des PIs zu schleifen. Allerdings will ich das NAT deaktivieren, da dies nur quatsch ist.

 

Nur dazu muss ich den traffic ja forwarden. Nur wie ?

Mit NAT klappt das ja so

 

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Der Raspi soll lokal als Default Gateway eingetragen werden.

 

 

[FISI-Prüfer]

Wenn du die Gegenseite im Zugriff hast, musst du für alle Betroffenen eine Route legen. Das heißt, alle Router müssen das Netz (10.211.14.0/24) aus dem du kommst kennen. Wenn du auf den/die Router der Gegenseite keinen Zugriff hast, aktiviere vlt. NAT, dann wird's Routing ringsum entspannend

[RipperFox]

Wie FISI-Prüfer schon schrieb - wenn die PFSense die Route nach 10.211.14.0/24  via 10.129.132.251 kennt sollte es funktionieren. Ich nehme an, die PFSense soll dann NAT für alles dahinter machen - ggf. muss man das noch konfigurieren..
Btw: /24-Transfernetze sind schon Verschwendung , normal kriegt man das auch mit 'ner Hostroute, also /32 hin.

Dein (dann sowieso hinfälliges) iptables Beispiel macht übrigens zwei mal NAT - d.h. die Quelladresse würde in beide Richtungen umgeschrieben. Das braucht man eigentlich nie - für Internet langt normal einmaliges NAT..