PP-VPN & nach außen Erreichbar?

Discussion in 'IT-Allgemein' started by PapaBaer76, May 15, 2018.

  1. PapaBaer76

    PapaBaer76 New Member

    Wie kann ich auf meinem Debian 9 (Stretch Minimal) die Iptable (Firewall) einstellen, damit ich meinen Fileserver nach außen Erreichbar wird?

    Folgendes schon versucht:
    • Ich kann in meinem Netzwerk den Odroid XU4 ansprechen, aber wenn ich unterwegs bin und der VPN (OpenVPN-Client / Amsterdam) läuft, nicht.
    • Über meine Fritz!Box 7590 alle Freigaben offen und bei Debian9 / DNSoMatic (öffentliche IP) soweit eingestellt.
    • Ohne VPN läuft alles, aber mit VPN eben nicht. Da sich ja die öffentliche IP ändert.
    Liegt das jetzt an die Iptables oder wo kann ich noch ansetzen? Bin ein absoluter Newbie in Linux und hab nie damit (Iptables) bisher gearbeitet. Kann mir hier vielleicht einer ne einfache Anleitung geben?
    ...sonnige Grüße :)
     
  2. m

    moejoe Member

    Hallo @PapaBaer76

    Glaube dass da meistens ein routing Eintrag fehlt ( linux befehl “route“).

    Ich habe aber genau dasselbe Problem und habe mich schon durch diverse Foren gehangelt es aber nicht hinbekommen,da ich selber mit routing unter linux nicht viel am Hut hatte.

    Und hier im Forum gibt es glaube ich so gut wie keine Leute die sich wirklich damit auskennen.

    Grüsse moejoe
     
  3. PapaBaer76

    PapaBaer76 New Member

    Das dachte ich mir auch. Wie schon erwähnt, läuft alles ohne VPN gut. Schalte ich aber VPN dazu, kann ich meinen Server außerhalb des internen Netzwerkes nicht erreichen.
    Habe jetzt ein DynDNS-Updatescript laufen, der die aktuelle "öffentliche" IP weiterleitet, aber irgendwie lässt sich diese (IP von PP) nicht ansprechen.
    Sonnige Grüße
     
  4. PP Frank

    PP Frank Staff Member

    Du brauchst dazu einen offenen Port auf unserem Server(1zu1 Port), musst dann deinen Service darauf anpassen und ebenso der Client muss von dem offenen Port wissen. Unser Service ist aber nicht unbedingt dazu gedacht, dass man Server dahinter nutzt. Unser Portforwarding läuft ja immer nach 7 Tagen ab, von daher ist das so oder so unpraktikabel.
    Wir bieten auch RPF nur für 7 Tage aus Sicherheitsgründen an, denn wir wollen das mit den festen Ports genauso wenig wie mit dedicated IP's. Sinn unseres Services ist es ja das der Traffic den du verursachst nicht deinem Account zugeordnet werden kann und dedicated IP's und auch feste Ports sind technisch zwangsweise einem Account zugeordnet.
     
  5. m

    moejoe Member

    Portforwarding halte ich an dieser Stelle auch für die falsche Lösung.

    Du musst schauen, dass du eine Route setzt zwischen dem Normalen Netz und dem TUN VPN Netz.

    Aber wie gesagt ich keine mich ( und ich glaube auch hier auch keiner so richtig ) nicht so gut aus mit dem Routing zeug.

    evtl. hilft dir das hier weiter: https://sweetcode.io/routing-all-traffic-through-a-vpn-gateway-on-linux/

    edit:

    Es gibt glaube ich noch die Möglichkeit per Postrouting und Masquerade-Parameter dasselbe per Iptables zu erreichen.

    grüsse moejoe
     
    Last edited: May 16, 2018
  6. PP Frank

    PP Frank Staff Member

    Wenn du einen Server der hinter VPN steckt nach aussen hin erreichbar machen willst, kommst du ohne RPF nicht weiter.
     
  7. PapaBaer76

    PapaBaer76 New Member

    Danke für die Antworten. Dann muß ich mir was anderes ausdenken, denn Sicherheit geht vor!
     
  8. PapaBaer76

    PapaBaer76 New Member

    Stelle die Frage mal anders: mir geht es nicht um Filesharing, sondern um die Webseite die ich auf meinem Server hoste. Zugang zu dieser habe ja nur ich, da hält sich der Traffic in Grenzen. Ich kann diese aber bei aktivem VPN (außerhalb meines Netzwerkes) nicht aufrufen. Das würde ich sehr gern lösen!
     
  9. m

    moejoe Member

    Ich habe auxh dasselbe Problem

    Aber hier hat anscheinend keiner genügend linux skills für sowas

    Grüsse moejoe
     
    PapaBaer76 likes this.
  10. o

    odium89 Member

    Hey,

    ich bin darin auch nicht gut bisschen ahnung habe ich aber.
    Wenn ich dich richtig verstanden hab läuft auf deinem PC Linux und der VPN client und auf dem PC deine Website/Dein Fileserver.

    Hab mal nachgeschaut es müsste am Routing liegen wenn ich es richtig verstehe wird einach alles über tun0 (VPN) geroutet schau mal in deine routing tabelle
    (der befehl müsste "route" [ohne "] sein) was da drin steht solange VPN aktiv ist.

    Gruß
     
  11. m

    moejoe Member

    Hallo @odium89

    Erstma danke für deine Hilfe

    Aber soweit war ich auch,schon das es was mit den routen zu tun haben könnte.

    Denke es ist die default route die geändert werden muss, aber wie genau das weiss ich nicht.

    Grüsse moejoe
     
  12. gspelvin

    gspelvin Member

    Leute hier geht ja einiges durcheinander. Zu erstmal benötigst Du für Dienste, die Du durch das VPN nach außen sichtbar machen willst Portforwarding auf den VPN Servern (denn diese sind ja Dein eigentliches Gateway ins öffentliche Netz), wie PPFrank schon ganz richtig anmerkte. Auf Deiner PP Mitgliederseite kannst Du dies konfigurieren.

    Dann musst Du sicherstellen, das Du die richtige Portkonfiguration verwendest.
    Beispiel: Dein Webserver ist normalerweise in Deinem Netz auf Port 80 (der Standardport) erreichbar. Wenn Du nun eine Portweiterleitung einrichtest, dann gibt dir der Dialog drei Ports für eine IP vor, die Du von draußen erreichen kannst. Auf einen dieser Ports musst Du Deinen internen Webserver also verbiegen, und diesen dann beim Aufruf der Webseite (über den VPN Server) im Browser angeben. Das gleiche gilt dann z.B. für Deinen Fileserver. Die entsprechenden Dienste in Deinem Netz kannst Du dann nach außen an der Portnummer unterscheiden.

    PS: Deine Default-Route solltest Du nicht anfassen, da diese durch die Verbindung zum VPN ja ohnehin (hoffentlich) umgebogen wird! Und auf dem VPN-Server kannst Du ja sowieso keine Routen setzen, weshalb es von vornherein sinnlos ist, das zu versuchen.
     
    ItsFe and PapaBaer76 like this.
  13. m

    moejoe Member

    @gspelvin

    Ok ich muss dir das doch nochmal genauer anschauen, hab noch eine andere Baustelle, wo ich bei eth und einer wlan connection die incoming connections auf des wlan umbiegen will.

    Habe es zumindest hingekriegt indem ich einen default gw Eintrag erstellt habe fürs wlan interface, das er ausgehende Verbindungen über wlan zulässt.


    Hast du irgendwo ein gutes TUT, das für jemanden der nicht viel mit Routing am Hut hat es einfach und nachvollziehbar erklärt ?
    Am besten mit einem Diagramm

    PS: Ich verstehe auch nicht, wann ich am besten iptables für Routing einsetzen soll und wann normale Routing Table einträge.

    grüße moejoe
     
  14. m

    moejoe Member