It is currently 16.12.2017 18:41


All times are UTC




Post new topic Reply to topic  [ 6 posts ] 
Author Message
 Post subject: Bestimmte Ports von einem VPN zum anderen durchrouten
PostPosted: 28.11.2016 14:01 
DES
DES

Joined: 08.10.2013 13:16
Posts: 6
Hallo,

ich habe in einem Rechenzentrum einen Server gemietet und betreibe diesen als VPN Server. In meinem Netzwerk steht als Standardgateway ein Raspberry Pi, der mit dem VPN-Server verbunden ist und mein komplettes Netzwerk (ohne das Gästenetz) durch diesen leitet.
Nun möchte ich, dass das Gästenetz mit einem eigenen Raspberry Pi und einem eigenen VPN-Server, der auf dem gleichen, gemieteten Rechner läuft, ins Internet geht. Das ist soweit kein Problem, dass lässt sich leicht einrichten. Ich möchte diese Installation aber auch für eine weitere Einstellung nutzen:

Ich möchte, dass Gäste aus meinem Gästenetz bestimmte Dinge (durch speziell zugewiesene Ports) in meinem Netzwerk ausführen können. Ein Portforwarding vom Gästenetz ins private Netz lässt die Fritzbox nicht zu, was grundsätzlich auch sinnvoll ist. Meine Idee war nun, die beiden VPN-Server so zu konfigurieren, dass Anfragen auf eben diesen Ports nicht ins Internet geschickt werden, sondern von dem einen VPN auf den anderen. Gibt es die Möglichkeit so etwas wie ein IP-Forwarding, oder besser ein Portforwarding einzurichten?

Könnte das so funktionieren?
Code:
iptables -t nat -A POSTROUTING -o venet0 -s 10.8.0.0/24 -p tcp --sport 1234 -j SNAT --to 10.8.1.0/24
iptables -t nat -A POSTROUTING -o venet0 -s 10.8.0.0/24 -j SNAT --to xxx.xxx.xxx.xxx
iptables -A INPUT -s 10.8.0.0/24 -d 10.8.1.0/24 -j DROP
iptables -A INPUT -s 10.8.0.0/24 -d 192.168.178.0/24 -j DROP

iptables -A INPUT -s 10.8.0.0/24 -p tcp --sport 1234 -d 10.8.1.0/24 -j ACCEPT
iptables -A INPUT -s 10.8.1.0/24 -p tcp --sport 1234 -d 10.8.0.0/24 -j ACCEPT


Mein Gedanke dabei:
Nur den Verkehr von 10.8.0.0 auf Port 1234 weiterleiten an 10.8.1.0. Den Rest von 10.8.0.0 ins Internet weiterleiten.
Grundsätzlich alles von dem VPN mit der IP 10.8.0.0 nach 10.8.1.0 verbieten. Dann von dem VPN mit der IP 10.8.0.0 und dem Port 1234 nach 10.8.1.0 erlauben und weiterhin von dem VPN mit der IP 10.8.1.0 und dem Port 1234 nach 10.8.0.0 erlauben. Die zweite Erlaubnis müsste unnötig sein, da in die Richtung ja nichts verboten wurde, oder?

Danke
Gerd


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Bestimmte Ports von einem VPN zum anderen durchrouten
PostPosted: 02.12.2016 19:10 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi gerdchen03,
Ich habe mehrere Tunnel auf einem APU-Board mit pfSense am laufen. Die OpenVPN-Server sind zum Teil per "push / route" Kommando untereinander verbunden. Natürlich kann man den Traffic auf bestimmten Ports per Iptables problemlos blocken oder freigeben. Kein Thema mit den entsprechenden Rules. Nur musst Du auf den OpenVPN-Server Zugriff haben.
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Bestimmte Ports von einem VPN zum anderen durchrouten
PostPosted: 02.12.2016 22:59 
DES
DES

Joined: 08.10.2013 13:16
Posts: 6
Hallo orcape,

danke für deine Antwort. Ich bin noch nicht so fit auf dem Gebiet, und bräuchte leider etwas mehr Infos.

Ich betreibe auf dem Server zwei VPN-Server. Einer hat die IP 10.8.1.0, der andere 10.8.0.0.

Am 10.8.0.0 hängt ein Rechner mit der internen IP 192.168.1.12. Dieser soll Zugriff auf den Rechner 192.168.178.12, welcher am VPN-Server 10.8.1.0 hängt, über den Port 1234 haben, ohne dabei unverschlüsselt über das Internet zu gehen.

Ich habe auf alle Dateien des VPN-Servers Zugriff. Ich kann also alle Änderungen vornehmen und ausprobieren. Kannst du es mir bitte etwas genauer erklären?

Gruß
Dirk


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Bestimmte Ports von einem VPN zum anderen durchrouten
PostPosted: 03.12.2016 12:51 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
Quote:
...über den Port 1234 haben, ohne dabei unverschlüsselt über das Internet zu gehen.

...ist mir noch nicht ganz klar, was Du damit sagen willst.
Du kannst die beiden Server verbinden, z.B. so....
server1
Code:
push "route 192.168.1.0 255.255.255.0"
route 10.8.1.0 255.255.255.0

server2
Code:
route 10.8.0.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

Sind die Clients 192.168.1.12 und 192.168.178.12 denn auch die OpenVPN-Clients zu den Servern?
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Bestimmte Ports von einem VPN zum anderen durchrouten
PostPosted: 03.12.2016 15:03 
DES
DES

Joined: 08.10.2013 13:16
Posts: 6
Ich will damit sagen, dass der gesamte Verkehr beider VPNs grundsätzlich ins Internet gehen soll und ein Zugriff auf das jeweils andere Netz ausgeschlossen werden soll. Lediglich eine Anfrage vom Rechner 192.168.1.12 auf dem Port 1234 soll zu dem Rechner 192.168.178.12 auf den Port 1234 umgeleitet werden. Das soll also die definierte Ausnahme sein.

Code:
push "route 192.168.1.0 255.255.255.0"
route 10.8.1.0 255.255.255.0
route 10.8.0.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"


hätte ja zur Folge, dass alle Rechner im jeweiligen anderen Netzwerk auf allen Ports erreichbar sind, oder sehe ich das falsch?

Quote:
Sind die Clients 192.168.1.12 und 192.168.178.12 denn auch die OpenVPN-Clients zu den Servern?

Nein, die VPN-Clients zu den Servern sind zwei Raspberrys mit anderen IPs in den jeweiligen Netzwerken.

Ich hab ein bisschen an den IP-Tables experimentiert und derzeit folgende Variante am Laufen:
Code:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I FORWARD -s 10.8.0.0/24 -o tun0 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to XXX.XXX.XXX.XXX
iptables -t nat -A POSTROUTING -o eth0 -s 10.8.1.0/24 -j SNAT --to XXX.XXX.XXX.XXX
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.178.0/24 -j SNAT --to XXX.XXX.XXX.XXX
iptables -A INPUT -s 10.8.0.0/24 -d 10.8.1.0/24 -j DROP
iptables -I INPUT -s 10.8.0.0/24 -d 192.168.178.0/24 -j DROP


Die Zeile "iptables -t nat -A POSTROUTING -o eth0 -s 192.168.178.0/24 -j SNAT --to XXX.XXX.XXX.XXX" brauche ich wahrscheinlich nicht, muss ich noch testen.

Die Zeilen:
Code:
iptables -I INPUT -s 10.8.0.0/24 -d 10.8.1.0/24 -j DROP
iptables -I INPUT -s 10.8.0.0/24 -d 192.168.178.0/24 -j DROP


sind dazu gedacht, dass kein Zugriff auf das Netz des 10.8.1.0/24, hinter dem das 192.168.178.0/24 hängt, von 10.8.0.0/24 erfolgen kann. Aber derzeit wird dieser Zugriff nicht verhindert. Wenn das klappt, will ich die Ausnahme definieren.

Ich hoffe mein Anliegen ist jetzt verständlicher ;-)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Bestimmte Ports von einem VPN zum anderen durchrouten
PostPosted: 03.12.2016 16:39 
DES
DES

Joined: 08.10.2013 13:16
Posts: 6
Hab es hinbekommen:

iptables -I FORWARD -s 10.8.0.0/24 -d 192.168.178.0/24 -j DROP
iptables -I FORWARD -s 10.8.0.12 -p tcp --dport 1234 -d 192.168.178.12 -j ACCEPT


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 6 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 14 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net