VPN Server auf Ubuntu Host internetbox Standard Port probleme

Hallo zerg0

Ich kann dir nur die Logik aufzeigen, umsetzen auf iptables musst du dann übernehmen.

Welche Port man weiterleiten musst für VPN bei einem Doppel Nat muss ich auch zuerst nachschauen, aber Google weiss alles.

Bei mir habe ich die Subnetze auf 255.255.255.0 gesetzt.

IB = Swisscom Internet Box  IP = 192.168.1.1

Wan1 von der IB  IP = öffentliche IP Adresse

Lan1 von der IB   IP Range DHCP = 192.168.1.100 bis 192.168.1.200

FW = deine Firewall  IP = 192.168.2.1

Wan2 von der FW      IP = IP von Lan1 (muss aber immer die gleiche sein, wegen Port Weiterleitung an deine FW)

Lan2 von der FW       IP Range DHCP = 192.168.2.100 bis 192.168.2.200

VPN für die Geräte   IP Range DHCP = 192.168.3.100 bis 192.168.3.200

Die IP Range dürfen nicht dieselben sein, ansonsten funktioniert das Routing nicht.

Ich hoffe ich konnte dir soweit helfen, habe jetzt nicht alles ins kleinste Detail beschrieben, denke du weisst jetzt wie.

Gruss

Peter

Hallo Peter,

danke für die Antwort. Das Netzwerk auf verschiedene Subnetze aufteilen, daran hab ich auch schon gedacht. Allerdings hab ich nach einer möglichkeit gesucht dies direkt auf der Swisscom Box zu machen und wollte zuerst nicht auf ein Externes Gerät zurückgreifen. 

Aber ist der Gedanke korrekt, dass nur der VPN Port an das WAN2 der Firewall weitergeleitet werden muss und keine Remotesteuerungsprotokolle etc. Diese werden intern gehandhabt?

Mit meinen IPtables wollte ich das Routing ursprünglich vom internen Netz 192.168.1.x nach 10.8.0.y routen. Welches sich um das VPN Netz handelt.

Wieso muss dann noch ein weiteres Subnetz erstellen?

Grüsse

zer0g

Hallo Peter, 

danke für den Input. Wenn das so ist schau ich mir mal die Konfiguration mit der ASA5505 an die müsst ich irgendwo noch rumligen haben. Hoffentlicht mit gig ports. 

Ansonsten such ich nach einer weiteren Netzwerkkarte für meinen Desktop PC auf welchem momentan der VPN Server läuft. Und konfiguriere darauf das nötige. Sollte ja auch klappen. 

Leider werde ich vor dem Wochenende kaum dazu kommen.

Danke für die Hilfe. Ich Informiere dich über den Stand sobald wie möglich.

Grüsse

zer0g

Also wenn der ssh Server und der openvpn Server die gleiche Maschine ist, braucht es von Seite Openvpn und Router keine weitere Konfiguration.

Daher wird vermutlich dein Setup einen Fehler haben.

Ich würde mich an das openvpn Wiki von Ubuntuusers halten. Da ist auch nochmals genauer beschrieben das für eine weitergehende Konfiguration in diesem Fall noch eine Route auf der Internet-Box (Im Wiki Fritzbox) erstellt werden muss.

Das wäre aber in diesem einfachen Fall aber gar nicht nötig.

https://wiki.ubuntuusers.de/OpenVPN/

Hallo TuxOne,

danke für deine Antwort. Ich habe mich bei der Installation und konfiguration des OpenVPN Server an die Anleitung des Ubunutu Forums gehalten. 

Der ssh Server und der OpenVPN Server sind die selben. Doch es existieren noch weitere nicht Unix Systeme im Netzwerk welche über eine Remoteverbindung erreicht werden sollten. Vorzugsweise über RDP. Windows.

Beide Verbindungen funktionieren, wenn ich mich im Netzwerk befinde, daher die Frage wo die Ports geöffnet werden müssen, dass die Reotesteuerung auch vom VPN Netzwerk aus funktioniert.

Grüsse

zer0g

Das ist abhängig wie deine Maschinen konfiguriert sind. Ist auf diesen ebenfalls eine Firewall aktiv so muss diese auch angepasst werden damit diese Verbindungen aus dem VPN Netz erlauben.

Bei mir zB. ist auf dem NAS eine Firewall aktiv. Explizit habe ich hier das VPN Netz erlaubt.

Nebenbei habe ich zB. noch ein arm Serverli ohne aktives iptables. Hier sind die Regeln nur auf der Firewall definiert da diese Maschine so oder so eine dezidierte Schnittstelle zur Firewall hat.

In deinem Fall so wie ich sehe können also nur die Firewall auf dem Server und eventuell auf den Clients eine Rolle spielen.

Du kannst ja iptables mal kurzfristig deaktivieren um zu schauen wo das Problem ist.

Als Hilfe dünkt mich diese Seite nicht schlecht: https://parabing.com/2014/06/openvpn-on-ubuntu/

Da hast du die iptables Regeln auf dem vpn Server schön dargestellt.

+ das IP Routing auf dem VPN Server muss aktiviert sein

+ eine statische Route auf der Fritzbox erstellen: 10.8.0.0 255.255.255.0 > 192.168.0.10 wenn die IP's in deinem Netz wirklich so aufgebaut sind.

Hi,

Die statischen routen sind eingerichten auf das VPN Netz. Dennoch klappt es nicht. Die ufw firewall von Ubuntu hab ich ausgeschaltet und getestet um auf Firewallprobleme zu untersuchen trotztdem klappt es nicht. 

Daher der Gedanke bei der Swisscom Firewall welche die Ports blockt, auch wenn es aus meiner Sicht keinen Sinn ergibt, dass Swisscom die Ports blockt. 

Ich werde bei gelegenheit mal die Option von Peter mit verschiedenen Netzwerken Testen und mit einem zusätzlichen Gerät welches den VPN Tunnel eröffnet. 

Ansonsten wechsle ich auf die Internetbox 2 welche VPN als Dienst mitliefert. 

Grüsse und schönen Abend

zer0g

Uh wenn ich das Wort ib2 und "VPN" schon lese muss ich da fast noch etwas Energie investieren um das zu verhindern. Pfuiiii.

Also. Klar ist die Verwaltung auf einem Gerät, einer Firewall viel einfacher. Ob das eine A(N)SA, Zyxel, pfsense oder whuat ever ist soll mal hier keine Rolle spielen.

Aber auch die Konfig auf einem separaten Server ist machbar.

In deiner Grafik und dem geschriebenen hat es doch eine Diskrepanz. Dem kann man aber auf die Schliche kommen. Man braucht hier nur einige Angaben von dir. Diese kannst du hier posten.

• ifconfig Ausgabe des VPN Servers
• die /etc/openvpn/server.conf
• die /etc/sysctl.conf bzw. den Part mit net.ipv4.ip_forward=1 ausdokumentiert also ohne #
• die /etc/ufw/before.rules
• ein sudo ufw status verbose
• und die statische Route in der Internet Box

Hallo

So, habe mal meine Firewall auf Firmware 4.20 Patch 2 gepatcht.

Und habe mal wieder das Log angeschaut (Firewall ist ja in der DMZ von der IB2) hui was sehe ich da😳? Bild folgt dann.

Also das versteht Swisscom also unter DMZ 😀

Zum Glück entwickelt Swisscom keine Firewall 😂😂😂

Sorry Swisscom, konnte nicht mehr.

Aber ok, gut für mich, so muss ich mir keine gedanken mehr machen welche Port ich öffnen muss🙂

@Tux0ne ich habe schon viele Beiträge von dir gelesen, welche mir sehr geholfen haben. 

Vielen Dank

Firewall Log

Danke für die Unterstüzung, 

Das Log und die Konfiguration des OpenVPN kann ich momentan nicht liefern, da ich vorübergehend nicht Zuhause bin. Ich werde diese Bestenfalls am kommenden Samstag nachreichen. 

P.May

Ich sehe schon, dass ich mich noch zusätzlich über die Sicherheit Informieren muss befor ich wirklich das VPN Netz in Betrieb nehme. Da sind wohl einige SkriptKiddies unterwegs..

Bis bald und schönes neues Jahr.

Grüsse

zer0g

Easy das Forum läuft nicht davon.

Ich versuche in der Zwischenzeit noch die nomadische IPv6 Nutzung von unterwegs.

Der Entwickler oder ich sind noch am üben 🙂

https://twitter.com/Tux0ne/status/815544873243840512?lang=de

Hab noch einen Fehler in der Konfig entdeckt, welchen ich heute Abend anpassen werde. 

ufw befor.rules

das interface ish flasch emp0s25 > enp0s25

Der Fehler in der Konfig von der Ubuntu Firewall war nicht ausschlaggebend dafür, dass es nicht funktioniert hat sondern ein überlegungsfehler von mir. 

Hab in der Client Konfig nun mal die öffentliche IPAddresse der Internetbox eingertragen und siehe da es funktioniert.. 

Nun ergibts sich hier eine neue Frage und zwar ob diese öffentliche IP Adresse statisch oder dynamisch ist. 

Wenn sie dynamisch ist, kann ich dan den DynDNS Namen der IB in der Konfig des OpenVPN clients angeben sodass ich nicht immer die IP-Adresse anpassen muss?

Danke für die Hilfe

Grüsse

zer0g

Da bin ich auch froh 🙂
Werde die konfig wohl noch genau reinschreiben als Lösung für künftige mal schauen wann ich dazu komme.

Schönen Abend miteinander.

Grüsse

zer0g