Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Openvpn Routing ohne NAT

fundave3
in Netzwerke

Empfohlene Antworten

Veröffentlicht

Hallo Zusammen,

 

ich habe mein Raspi mit neuer SD KArte am laufen. Dieser soll meinen lokalen TRaffic via Openvpn durch den Tunnel routen.

Mir fehlt allerdings noch eine IPtables Regel.

 

Da ich ohne NAT Arbeiten möchte ( der arme hat schon genug zutun :) ), will ich transparent Routen, sodass nachvollziebar ist , woher der TRaffic stammt.

 

Dazu fehlt mir aber noch eine IPtables Regel. Die I Route für die Statische IP habe ich remote auf der PFsense eingerichtet. Ebenso wie das Client Network.

 

Dabei ergibt sich folgendes:

sudo iptables -I FORWARD -i eth0 -o tun0 -s 10.211.14.0/24 -d 0.0.0.0/0 -m conntrack --ctstate NEW -j ACCEPT

Was mache ich falsch ?

 

Vielen Dank.

 

 

  • Autor

Ach mist.

Stimmt ja. Das Forwarding habe ich vergessen. :)

aber eine Iptables Regel brauche ich dennoch , denn ich will ja auch zurück routen. Aber ohne NAT.

 

wie mache ich das ?

 

 

vielen dank.

 

Chriatian

"Zurückrouten" passiert auf der anderen Seite. Mit FW-Regeln, Routingtabellen, etc. kannst Du nur beeinflussen, was bei Dir wie und wo raus geht. Mit iptables kann man z.B. die Quelladresse umschreiben oder Firwallregeln festlegen. Der Weg zurück wird aber auf der Gegenseite entschieden. Routing kann auch asymmetrisch sein, d.h. Antwortpakete gehen einen komplett anderen Weg.

Ohne genauere Netz- + Fehlerbeschreibung kann man allerdings nur glaskugeln :P

Bearbeitet von RipperFox

  • Autor

Nabend.

 

okay. Ich versuche mich mal klarer Auszudrücken.

 

Lokales Netz

 

10.211.14.0/24

Raspberry PI 10.211.14.253/24 -- Lokale IP

Raspberry PI 10.129.132.251 -- VPN IP ( redirect all traffic to vpn tunnel)

 

VPN Netz

 

10.129.132.0/24

10.129.132.1/24 -- PFsense

 

Mein Ziel  Lokaler Datenverkehr ebenfalls durch den VPN Tunnel des PIs zu schleifen. Allerdings will ich das NAT deaktivieren, da dies nur quatsch ist.

 

Nur dazu muss ich den traffic ja forwarden. Nur wie ?

Mit NAT klappt das ja so

  

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Der Raspi soll lokal als Default Gateway eingetragen werden.

 

 

Wenn du die Gegenseite im Zugriff hast, musst du für alle Betroffenen eine Route legen. Das heißt, alle Router müssen das Netz (10.211.14.0/24) aus dem du kommst kennen. Wenn du auf den/die Router der Gegenseite keinen Zugriff hast, aktiviere vlt. NAT, dann wird's Routing ringsum entspannend

Wie FISI-Prüfer schon schrieb - wenn die PFSense die Route nach 10.211.14.0/24  via 10.129.132.251 kennt sollte es funktionieren. Ich nehme an, die PFSense soll dann NAT für alles dahinter machen - ggf. muss man das noch konfigurieren..
Btw: /24-Transfernetze sind schon Verschwendung :), normal kriegt man das auch mit 'ner Hostroute, also /32 hin.

Dein (dann sowieso hinfälliges) iptables Beispiel macht übrigens zwei mal NAT - d.h. die Quelladresse würde in beide Richtungen umgeschrieben. Das braucht man eigentlich nie - für Internet langt normal einmaliges NAT..

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.