(OpenWrt-Lede) Vpnserver und Vpnclient auf einem Router, Vpnclient IP nicht erreichbar über Vpn tunn

Dieses Thema im Forum "Linksys" wurde erstellt von trohn_javolta, 17. Mai 2019.

Schlagworte:
  1. trohn_javolta

    trohn_javolta Starter

    Registriert seit:
    17. Mai 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hallo, ich habe nun schon seit sehr langer Zeit ein Problem mit meiner Vpn config auf meinem Linksys Router.
    Ich habe erfolglos versucht, dies in einem anderen Forum zu lösen, möchte aber nicht aufgeben.
    Ich glaube es könnte für jemanden, der es versteht u. sich mit Routing u. Firewallregeln auskennt relativ einfach zu lösen sein.
    Kurz gesagt möchte ich, dass nur eine IP über den vpn tunnel zum vpn provider läuft, der rest soll normal laufen.
    Das hab ich mit einem Programm gelöst. Problem ist jz: Wenn ich mich auswärts zu meinem vpn server am router verbinde, erreiche ich diese eine IP nicht. Alle anderen schon.

    Ich hoffe es ist nicht unhöflich hier einfach den Link zu dem Thread zu posten, den ich im anderen Forum schon erstellt habe. Darin finden sich neben einer ausführlicheren Erklärung auch die verwendeten Configdateien.
    https://administrator.de/forum/open...er-ip-nicht-erreichbar-vpn-tunnel-394417.html

    Vllt. findet sich ja wer, der sich das durchlesen möchte u. helfen will.

    PS: Sollte ich im falschen Unterforum sein oder wisst ihr eines das besser geeignet wäre für so Vpn-Firewall-Routing Probleme könnt ihr das Ganze gern verschieben wenn möglich.
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,

    willkommen im Forum.

    Da hast du ja schon einiges hinter dir im "Forum der Profis".:rolleyes: Ich finde, du hast dich dort zu Recht beschwert.:up:

    Die lokale Firewall auf dem Rechner, der nicht zu erreichen ist (odroid-hc2), erlaubt den Zugriff aus anderen Netzsegmenten als dem eigenen? Also im konkreten Fall aus dem Netzwerksegment 192.168.200.0/24?

    Das Problem (für mich) ist, dass du dieses Zusatzpaket für "VPN Policy-based Routing" verwendest: Das kenne ich nicht und es erzeugt einen Haufen zusätzlicher Firewall-Rules, die ziemlich schwer zu lesen sind, wenn man sich mit dem Arbeitsprinzip des Paketes nicht auskennt.

    Mein Gefühl sagt mir ( :) ), dass die Routing-Tabelle für den speziellen Client "odroid-hc2" ausgehebelt wird. Die Verarbeitung der Pakete von diesem Client in der Firewall führt dazu, dass gar keine "ordentliche" Routing-Entscheidung mehr getroffen wird, sondern die Pakete durch das Firewall Regelwerk direkt in die Output-Queue des vpnserver-Interfaces geschoben werden - was du ja eigentlich auch erreichen willst;).

    Was du mal versuchen könntest:
    Code:
    config policy
    option comment 'odroid-hc2-to-vpnserver'
    option local_address '192.168.1.111'
    option remote_address '192.168.200.0/24'
    option interface 'vpnserver'
    Dazu muss eventuell das Interface "vpnserver" aus der Liste der ignorierten Interfaces entfernt werden. Diese Regel sollte vor der Policy mit der Umleitung des Client "odroid-hc2" auf das Interface "torguardvpn" eingefügt werden.

    Hast du es sonst schon mal in den OpenWRT-Foren versucht? Die sollten sich doch mit ihrer Software auskennen, oder?

    VG
     
    trohn_javolta hat sich bedankt.
  3. trohn_javolta

    trohn_javolta Starter

    Registriert seit:
    17. Mai 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Danke für die Rückmeldung! Ja, in diesem Forum wars relativ anstrengend aber bin ja auch nicht in der Position irgendwas zu fordern, bin froh wenn ich Hilfe bekomme. :)
    Im Openwrt/lede Forum hab ich es als erstes versucht, da konnte man mir leider auch nicht weiterhelfen:(
    Den Thread verlinke ich auch mal, ist alles in Englisch. Eventuell lags auch an einer Sprachbarriere,.. obwohl ich mein Englisch jz eig. als gut bezeichnen würde. Sofern ich mich richtig erinnere, hats mal kurz geklappt mit einer Firewall Regel und dann nicht mehr..
    Das hab ich damals geändert, dann gings, aber jz funktioniert das mit der Änderung nicht mehr:
    https://forum.openwrt.org/t/vpn-policy-based-routing-web-ui-discussion/10389/34?u=trohn_javolta
    (was früher hummingboard mit ip .103 war ist jz odroid-hc2 mit ip .111)
    U. hier der Thread:
    https://forum.openwrt.org/t/routing...-to-vpn-provider-both-on-same-router/17075/14


    Also gleich vorweg: Auf die vpn-policy-routing app kann ich gern verzichten, wenn du eine Idee hast wie man das anders machen kann.
    Ich kenn mich halt viel zu wenig aus, war froh, dass ich vpn client u. server überhaupt soweit aufsetzten konnte. Und um nur die eine IP durch den vpn tunnel zum provider zu bringen, war die app halt die einfachste Möglichkeit.

    Ich glaub der letzte Teil in der vpn policy routing config ist relativ unnötig oder?
    config policy
    option comment 'ovpnserver'
    option interface 'wan'
    option local_ports '1194'

    Den hab ich aktuell wieder rausgenommen, seh ich gerade. Ansonsten sollte die config vom Thread der jetzigen entsprechen.

    Der Punkt mit der Firewall vom odroid-hc2 ist interessant, wär mir gar nicht in den Sinn gekommen.
    Auf dem Server läuft debian. Hast du zufällig eine Idee, wie ich prüfen könnte, ob Zugriffe aus anderen Netzwerksegmenten akzeptiert werden? Das würd ich dann nämlich zuerst mal prüfen.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,
    mit iptables die Firewall-Konfiguration anzeigen lassen und hier posten. Die kann ich mir dann anschauen.

    Willst du auch mal meinen Vorschlag mit der zusätzlichen config policy ausprobieren?

    VG
     
  5. trohn_javolta

    trohn_javolta Starter

    Registriert seit:
    17. Mai 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hier der output von iptables vom odroid server:

    Code:
    root@hc2:~# iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination
    DOCKER-USER  all  --  anywhere             anywhere
    DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    DOCKER     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    DOCKER     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
    ACCEPT     all  --  anywhere             anywhere
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain DOCKER (2 references)
    target     prot opt source               destination
    ACCEPT     tcp  --  anywhere             172.18.0.2           tcp dpt:9000
    ACCEPT     tcp  --  anywhere             172.18.0.7           tcp dpt:tproxy
    ACCEPT     tcp  --  anywhere             172.18.0.6           tcp dpt:http
    ACCEPT     tcp  --  anywhere             172.18.0.5           tcp dpt:58946
    ACCEPT     tcp  --  anywhere             172.18.0.5           tcp dpt:58846
    ACCEPT     tcp  --  anywhere             172.18.0.5           tcp dpt:8112
    
    Chain DOCKER-ISOLATION-STAGE-1 (1 references)
    target     prot opt source               destination
    DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
    DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
    RETURN     all  --  anywhere             anywhere
    
    Chain DOCKER-ISOLATION-STAGE-2 (2 references)
    target     prot opt source               destination
    DROP       all  --  anywhere             anywhere
    DROP       all  --  anywhere             anywhere
    RETURN     all  --  anywhere             anywhere
    
    Chain DOCKER-USER (1 references)
    target     prot opt source               destination
    RETURN     all  --  anywhere             anywhere
    Code:
    root@hc2:~# iptables -S
    -P INPUT ACCEPT
    -P FORWARD DROP
    -P OUTPUT ACCEPT
    -N DOCKER
    -N DOCKER-ISOLATION-STAGE-1
    -N DOCKER-ISOLATION-STAGE-2
    -N DOCKER-USER
    -A FORWARD -j DOCKER-USER
    -A FORWARD -j DOCKER-ISOLATION-STAGE-1
    -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -o docker0 -j DOCKER
    -A FORWARD -i docker0 ! -o docker0 -j ACCEPT
    -A FORWARD -i docker0 -o docker0 -j ACCEPT
    -A FORWARD -o br-792a66416004 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -o br-792a66416004 -j DOCKER
    -A FORWARD -i br-792a66416004 ! -o br-792a66416004 -j ACCEPT
    -A FORWARD -i br-792a66416004 -o br-792a66416004 -j ACCEPT
    -A DOCKER -d 172.18.0.2/32 ! -i br-792a66416004 -o br-792a66416004 -p tcp -m tcp --dport 9000 -j ACCEPT
    -A DOCKER -d 172.18.0.7/32 ! -i br-792a66416004 -o br-792a66416004 -p tcp -m tcp --dport 8081 -j ACCEPT
    -A DOCKER -d 172.18.0.6/32 ! -i br-792a66416004 -o br-792a66416004 -p tcp -m tcp --dport 80 -j ACCEPT
    -A DOCKER -d 172.18.0.5/32 ! -i br-792a66416004 -o br-792a66416004 -p tcp -m tcp --dport 58946 -j ACCEPT
    -A DOCKER -d 172.18.0.5/32 ! -i br-792a66416004 -o br-792a66416004 -p tcp -m tcp --dport 58846 -j ACCEPT
    -A DOCKER -d 172.18.0.5/32 ! -i br-792a66416004 -o br-792a66416004 -p tcp -m tcp --dport 8112 -j ACCEPT
    -A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
    -A DOCKER-ISOLATION-STAGE-1 -i br-792a66416004 ! -o br-792a66416004 -j DOCKER-ISOLATION-STAGE-2
    -A DOCKER-ISOLATION-STAGE-1 -j RETURN
    -A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
    -A DOCKER-ISOLATION-STAGE-2 -o br-792a66416004 -j DROP
    -A DOCKER-ISOLATION-STAGE-2 -j RETURN
    -A DOCKER-USER -j RETURN
    Hab ich nun probiert, hat leider nicht funktioniert. Hier noch der output von der vpn policy routing app, vllt. hilft das:

    Code:
    root@LEDE:~# /etc/init.d/vpn-policy-routing restart
    vpn-policy-routing 0.0.1-25 stopped [✓]
    Creating table 'wan/eth1.2/**.***.***.*/fe80::/64' [✓]
    Creating table 'torguardvpn/tun0/10.22.0.5/fe80::465e:8438:7f70:1' [✓]
    Creating table 'vpnserver/tun1/192.168.200.1/fe80::e8e0:4836:74fa:1' [✓]
    Routing 'odroid-hc2-to-vpnserver' via vpnserver [✓]
    Routing 'odroid-hc2' via torguardvpn [✓]
    vpn-policy-routing 0.0.1-25 started on wan/eth1.2/**.***.***.*/fe80::/64 torguar                                                                             dvpn/tun0/10.22.0.5/fe80::465e:8438:7f70:1 vpnserver/tun1/192.168.200.1/fe80::e8                                                                             e0:4836:74fa:1 [✓]
    vpn-policy-routing 0.0.1-25 monitoring interfaces: wan torguardvpn vpnserver [✓]
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,

    obwohl ich mich mit Firewalls im Allgemeinen und sehr Linux-ähnlichen Firewalls in Routern, z.B. Mikrotik, ganz ordentlich auskenne, verstehe ich weder die Firewall-Regeln deines Servers noch die vom Router.

    Da brauchst du wohl doch einen Experten für OpenWRT und Linux-Firewall.

    VG
     
  7. trohn_javolta

    trohn_javolta Starter

    Registriert seit:
    17. Mai 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Oh no :'‑(. Trotzdem danke für den Versuch.
    Also das Docker Zeugs von der Server Firewall kannst du glaub ich ignorieren.
    Vllt. kann ich auch weiterhelfen bei unklaren Firewall Regeln in meiner Config (ich bezweifle es allerdings :D).

    Bei der Einrichtung des Openvpn Servers samt Firewall Regeln hab ich mich an dieses sehr ausführliche Tutorial gehalten:
    https://github.com/JW0914/Wikis/blo...Server HowTo (Streamlined) [OpenWrt Wiki].pdf
    (hab grad gesehen, dass das Tutorial von Openwrt runtergenommen wurde, aber der Link führt zum archivierten Tutorial)
     
  8. trohn_javolta

    trohn_javolta Starter

    Registriert seit:
    17. Mai 2019
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Bump! Vllt. stolpert ja hier wer drüber, der helfen kann od. Ideen hat wo ich diesbezüglich noch fragen könnte..
     
  9. RTBH

    RTBH Gelegenheits-User

    Registriert seit:
    19. März 2019
    Beiträge:
    12
    Punkte für Erfolge:
    3
    Hi, wenn noch Bedarf besteht... dann können wir das gerne nochmal angehen
    gruß RTBH