PP-VPN & nach außen Erreichbar?

PapaBaer76

New Member
Wie kann ich auf meinem Debian 9 (Stretch Minimal) die Iptable (Firewall) einstellen, damit ich meinen Fileserver nach außen Erreichbar wird?

Folgendes schon versucht:
  • Ich kann in meinem Netzwerk den Odroid XU4 ansprechen, aber wenn ich unterwegs bin und der VPN (OpenVPN-Client / Amsterdam) läuft, nicht.
  • Über meine Fritz!Box 7590 alle Freigaben offen und bei Debian9 / DNSoMatic (öffentliche IP) soweit eingestellt.
  • Ohne VPN läuft alles, aber mit VPN eben nicht. Da sich ja die öffentliche IP ändert.
Liegt das jetzt an die Iptables oder wo kann ich noch ansetzen? Bin ein absoluter Newbie in Linux und hab nie damit (Iptables) bisher gearbeitet. Kann mir hier vielleicht einer ne einfache Anleitung geben?
...sonnige Grüße :)
 

moejoe

Member
Hallo @PapaBaer76

Glaube dass da meistens ein routing Eintrag fehlt ( linux befehl “route“).

Ich habe aber genau dasselbe Problem und habe mich schon durch diverse Foren gehangelt es aber nicht hinbekommen,da ich selber mit routing unter linux nicht viel am Hut hatte.

Und hier im Forum gibt es glaube ich so gut wie keine Leute die sich wirklich damit auskennen.

Grüsse moejoe
 

PapaBaer76

New Member
Das dachte ich mir auch. Wie schon erwähnt, läuft alles ohne VPN gut. Schalte ich aber VPN dazu, kann ich meinen Server außerhalb des internen Netzwerkes nicht erreichen.
Habe jetzt ein DynDNS-Updatescript laufen, der die aktuelle "öffentliche" IP weiterleitet, aber irgendwie lässt sich diese (IP von PP) nicht ansprechen.
Sonnige Grüße
 

PP Frank

Staff member
Du brauchst dazu einen offenen Port auf unserem Server(1zu1 Port), musst dann deinen Service darauf anpassen und ebenso der Client muss von dem offenen Port wissen. Unser Service ist aber nicht unbedingt dazu gedacht, dass man Server dahinter nutzt. Unser Portforwarding läuft ja immer nach 7 Tagen ab, von daher ist das so oder so unpraktikabel.
Wir bieten auch RPF nur für 7 Tage aus Sicherheitsgründen an, denn wir wollen das mit den festen Ports genauso wenig wie mit dedicated IP's. Sinn unseres Services ist es ja das der Traffic den du verursachst nicht deinem Account zugeordnet werden kann und dedicated IP's und auch feste Ports sind technisch zwangsweise einem Account zugeordnet.
 

moejoe

Member
Portforwarding halte ich an dieser Stelle auch für die falsche Lösung.

Du musst schauen, dass du eine Route setzt zwischen dem Normalen Netz und dem TUN VPN Netz.

Aber wie gesagt ich keine mich ( und ich glaube auch hier auch keiner so richtig ) nicht so gut aus mit dem Routing zeug.

evtl. hilft dir das hier weiter: https://sweetcode.io/routing-all-traffic-through-a-vpn-gateway-on-linux/

edit:

Es gibt glaube ich noch die Möglichkeit per Postrouting und Masquerade-Parameter dasselbe per Iptables zu erreichen.

grüsse moejoe
 
Last edited:

PP Frank

Staff member
Wenn du einen Server der hinter VPN steckt nach aussen hin erreichbar machen willst, kommst du ohne RPF nicht weiter.
 

PapaBaer76

New Member
Stelle die Frage mal anders: mir geht es nicht um Filesharing, sondern um die Webseite die ich auf meinem Server hoste. Zugang zu dieser habe ja nur ich, da hält sich der Traffic in Grenzen. Ich kann diese aber bei aktivem VPN (außerhalb meines Netzwerkes) nicht aufrufen. Das würde ich sehr gern lösen!
 

odium89

New Member
Hey,

ich bin darin auch nicht gut bisschen ahnung habe ich aber.
Wenn ich dich richtig verstanden hab läuft auf deinem PC Linux und der VPN client und auf dem PC deine Website/Dein Fileserver.

Hab mal nachgeschaut es müsste am Routing liegen wenn ich es richtig verstehe wird einach alles über tun0 (VPN) geroutet schau mal in deine routing tabelle
(der befehl müsste "route" [ohne "] sein) was da drin steht solange VPN aktiv ist.

Gruß
 

moejoe

Member
Hallo @odium89

Erstma danke für deine Hilfe

Aber soweit war ich auch,schon das es was mit den routen zu tun haben könnte.

Denke es ist die default route die geändert werden muss, aber wie genau das weiss ich nicht.

Grüsse moejoe
 

gspelvin

Junior Member
Leute hier geht ja einiges durcheinander. Zu erstmal benötigst Du für Dienste, die Du durch das VPN nach außen sichtbar machen willst Portforwarding auf den VPN Servern (denn diese sind ja Dein eigentliches Gateway ins öffentliche Netz), wie PPFrank schon ganz richtig anmerkte. Auf Deiner PP Mitgliederseite kannst Du dies konfigurieren.

Dann musst Du sicherstellen, das Du die richtige Portkonfiguration verwendest.
Beispiel: Dein Webserver ist normalerweise in Deinem Netz auf Port 80 (der Standardport) erreichbar. Wenn Du nun eine Portweiterleitung einrichtest, dann gibt dir der Dialog drei Ports für eine IP vor, die Du von draußen erreichen kannst. Auf einen dieser Ports musst Du Deinen internen Webserver also verbiegen, und diesen dann beim Aufruf der Webseite (über den VPN Server) im Browser angeben. Das gleiche gilt dann z.B. für Deinen Fileserver. Die entsprechenden Dienste in Deinem Netz kannst Du dann nach außen an der Portnummer unterscheiden.

PS: Deine Default-Route solltest Du nicht anfassen, da diese durch die Verbindung zum VPN ja ohnehin (hoffentlich) umgebogen wird! Und auf dem VPN-Server kannst Du ja sowieso keine Routen setzen, weshalb es von vornherein sinnlos ist, das zu versuchen.
 

moejoe

Member
@gspelvin

Ok ich muss dir das doch nochmal genauer anschauen, hab noch eine andere Baustelle, wo ich bei eth und einer wlan connection die incoming connections auf des wlan umbiegen will.

Habe es zumindest hingekriegt indem ich einen default gw Eintrag erstellt habe fürs wlan interface, das er ausgehende Verbindungen über wlan zulässt.


Hast du irgendwo ein gutes TUT, das für jemanden der nicht viel mit Routing am Hut hat es einfach und nachvollziehbar erklärt ?
Am besten mit einem Diagramm

PS: Ich verstehe auch nicht, wann ich am besten iptables für Routing einsetzen soll und wann normale Routing Table einträge.

grüße moejoe
 

moejoe

Member
Sorry ich muss das hier nochmal aufgreifen.

Wenn ich einen Server ( RASPI) mit einem Webdienst der von aussen hin erreichbar sein soll,und auf diesen auch die VPN Verbindung zu PP herstelle, komme ich ohne RPF nicht weiter ?
Folglich müsste ich jede Woche diese neu einstellen ?

Das kann doch nicht sein dass es dafür keine andere Möglichkeit gibt

grüsse
 

PapaBaer76

New Member
Ich hab bisher auch keine Lösung für das Problem gefunden. Bin leider auch ein blutiger Anfänger und verstehe manche Zusammenhänge im Linux noch überhaupt nicht.

Vielleicht wurde aber schon hier eine gute Lösung beschrieben:
Genau hier liegt Dein Fehler.
Zum einen darfst Du nicht als Zieladresse für den Apache Server amsterdam.perfect-privacy.com eingeben sondern musst hier die aktuelle IP Adresse eintragen die Dir auf Deinem Heimrechner mit aktivierten VPN angezeigt wird. Das Problem ist ganz einfach, dass unter der Serveradresse amsterdam.perfect-privacy.com 5 verschiedene Server zusammengefasst sind mit noch einmal viel mehr verschiedenen IP Adressen. Wenn Du nun nur über die Serveradresse versuchst auf Deinen Rechner zuzugreifen weiss diese Adresse ja nicht welche IP Dein Rechner nun hat.
Der Zweite Fehler liegt bei deinem Port. Du hast hier den Port1234 eingetragen wenn Du versuchst dich zu verbinden.
Hier musst Du stattdessen den neuen Port eingeben den PP für Dich in der Portfowarding Section im Memberbereich für den jeweiligen Server generiert hat.

Jetzt noch einmal in der richtigen Reihenfolge was Du genau wie machen musst
1.
Im Mitgliederbereich unter Individuelle Port-Weiterleitung nutzen (nicht Default Port-Forwarding) die Servergruppe Amsterdam auswählen.
Hier unter Port-Weiterleitung auf lokalen Port deinen Port 1234 eintragen. Nun wird ein 5 stelliger Quellport generiert. Diesen nun notieren weil Du dich über diesen später mit Deinem Handy verbinden musst.
2.
Mit dem HeimPC welchen Du erreichen willst eine ganz normale VPN Verbindung über den Clienten mit Amsterdam starten.
3.
über eine Webseite wie wieistmeineip.de oder ähnliche Webseite die momentane Perfect-Privacy IP Adresse herausfinden und notieren.
4.
Mit Deinem zweiten Gerät nun die Verbindung starten indem Du die vorher notierte IP Adresse + den vorher notierten Port eingibst.
Es sollte also zum Beispiel so aussehen:
95.211.199.130:50679 (die Zahlen sind nur Beispiele, diese nicht verwenden)

Fertig

Der Nachteil ist hier, dass falls Du Deinen HeimPC vom VPN disconnectest und wieder neue connectest weisst Dir PP jedesmal automatisch Random eine neue IP zu. Das heisst nach neuen VPN Connect musst Du jedesmal wieder Deine IP Checken und aufschreiben.

erweitert zu 3.
An diesem Punkt kannst Du aber auch einen DynDNS Service benutzen z. Bsp https://dyndnss.net/updater.php Dieser muss aber auf dem zu kontrollierenden Gerät installiert, werden (nicht auf der Fritzbox). https://dyndnss.net/updater-tool.php
Also auch der DynDNS von Deiner Fritzbox wird hier nicht funktionieren.
Das heisst dieser DynDNS service ermittelt nun für Dich Deine Momentane Perfect-Privacy IP Adresse und leitet sie auf eine Namensadresse um.
Jetzt sollte Dein Login folgend aussehen:
Die vom DynDNS Dienst vergebene Adresse plus der vorher notierte Port, zum Beispiel:
https://dyndnss.net/Userxxxx:50679
Den externen Dyndns würde ich aber erst einrichten, nachdem die Verbindung mit der direkten IP funktioniert hat um so noch weitere Fehler ausyuschliessen. ;)


Der einzige Nachteil hier bei PP ist, dass nach 7 Tagen Dein Login Port automatisch gelöscht wird, dass heisst Du musst ihn alle 7 Tage im Memberbereich notieren und der 5stellige Port ändert sich für dich alle 7 Tage beim Login.

Vielleicht kann es einer mal für Anfänger einfacher beschreiben...;) Lg
 

moejoe

Member
Glaub eigentlich würde es mir schon reichen, wenn ich mit der vpn Verbindung rauskomme und dir eingehenden über das normale inet gehen.
Geht das wenigstens?

Grüsse
 

moejoe

Member
Vielleicht kann sich das jemand mal ansehen, der wirklich davon eine Ahnnug hat. Evtl. vielleicht @gspelvin

Würde ja gerne eine Testumgebung installieren aber wenn ich ne VM Aufziehe, kann ich das ja nicht wirklich simulieren, da die VM zum host ja schon anderes Routing benutzt als ein Ras an einem Telekom Router.

grüsse
 
Top