Jump to content

Empfohlene Beiträge

Hallo Zusammen,

 

ich habe mein Raspi mit neuer SD KArte am laufen. Dieser soll meinen lokalen TRaffic via Openvpn durch den Tunnel routen.

Mir fehlt allerdings noch eine IPtables Regel.

 

Da ich ohne NAT Arbeiten möchte ( der arme hat schon genug zutun :) ), will ich transparent Routen, sodass nachvollziebar ist , woher der TRaffic stammt.

 

Dazu fehlt mir aber noch eine IPtables Regel. Die I Route für die Statische IP habe ich remote auf der PFsense eingerichtet. Ebenso wie das Client Network.

 

Dabei ergibt sich folgendes:

sudo iptables -I FORWARD -i eth0 -o tun0 -s 10.211.14.0/24 -d 0.0.0.0/0 -m conntrack --ctstate NEW -j ACCEPT

Was mache ich falsch ?

 

Vielen Dank.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was funktioniert denn genau nicht? :)
Zum reinen Routen brauchst Du iptables gar nicht.

Hast Du Routing überhaupt aktiviert (in /etc/sysctl.conf)? Was sagt uns

cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv6/conf/all/forwarding

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

"Zurückrouten" passiert auf der anderen Seite. Mit FW-Regeln, Routingtabellen, etc. kannst Du nur beeinflussen, was bei Dir wie und wo raus geht. Mit iptables kann man z.B. die Quelladresse umschreiben oder Firwallregeln festlegen. Der Weg zurück wird aber auf der Gegenseite entschieden. Routing kann auch asymmetrisch sein, d.h. Antwortpakete gehen einen komplett anderen Weg.

Ohne genauere Netz- + Fehlerbeschreibung kann man allerdings nur glaskugeln :P

bearbeitet von RipperFox

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nabend.

 

okay. Ich versuche mich mal klarer Auszudrücken.

 

Lokales Netz

 

10.211.14.0/24

Raspberry PI 10.211.14.253/24 -- Lokale IP

Raspberry PI 10.129.132.251 -- VPN IP ( redirect all traffic to vpn tunnel)

 

VPN Netz

 

10.129.132.0/24

10.129.132.1/24 -- PFsense

 

Mein Ziel  Lokaler Datenverkehr ebenfalls durch den VPN Tunnel des PIs zu schleifen. Allerdings will ich das NAT deaktivieren, da dies nur quatsch ist.

 

Nur dazu muss ich den traffic ja forwarden. Nur wie ?

Mit NAT klappt das ja so

 

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Der Raspi soll lokal als Default Gateway eingetragen werden.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn du die Gegenseite im Zugriff hast, musst du für alle Betroffenen eine Route legen. Das heißt, alle Router müssen das Netz (10.211.14.0/24) aus dem du kommst kennen. Wenn du auf den/die Router der Gegenseite keinen Zugriff hast, aktiviere vlt. NAT, dann wird's Routing ringsum entspannend

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wie FISI-Prüfer schon schrieb - wenn die PFSense die Route nach 10.211.14.0/24  via 10.129.132.251 kennt sollte es funktionieren. Ich nehme an, die PFSense soll dann NAT für alles dahinter machen - ggf. muss man das noch konfigurieren..
Btw: /24-Transfernetze sind schon Verschwendung :), normal kriegt man das auch mit 'ner Hostroute, also /32 hin.

Dein (dann sowieso hinfälliges) iptables Beispiel macht übrigens zwei mal NAT - d.h. die Quelladresse würde in beide Richtungen umgeschrieben. Das braucht man eigentlich nie - für Internet langt normal einmaliges NAT..

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung