FIP VPN auf Debian Stretch

Mit unserem VPN Dienste machen wir Netzwerke erreichbar die keine öffentliche IP-Adresse besitzen oder keine Änderungen im Router möglich sind.
hegi
Beiträge: 20
Registriert: Mo 25. Sep 2017, 17:08

Re: FIP VPN auf Debian Stretch

Beitrag von hegi » Do 18. Jan 2018, 20:26

Moin Michael,

... ich bin noch mal tiefer eingestiegen und habe den Eindruck, dass ich - mangels besserem Wissen und mangels umfänglicher Doku - mir scheinbar dadurch ins Knie geschossen habe, dass ich erst über das Script

Code: Alles auswählen

fipboxvpn.sh 
ein komplettes Setup für einen openVPN-Server gemacht habe, allerdings läuft das fipVPN mit statischer IP als VPN-Client auf der Fipbox - oder habe ich das falsch verstanden?

In der Folge ist das tunnel-Interface "tun0" im 10.193.45.xxx Netz. - Und meine Verbindung zu meiner statischen IP auf "tun1". -- Dass da die ganzen iptables Regeln nicht richtig greifen ist kein Wunder. - Nur hatte ich in den letzten Tagen (um die Config anzupassen) den openvpn-Dienst komplett ausgeknipst, danach aber nur den Client wieder angefahren (service openvpn@fipVPN-105xxx start). - Dann lag die statische IP auf tun0. Aber eben nur dann ...

Sehe ich das richtig, dass ich die fipboxvpn.sh config incl. dem ganzen easy-rsa Kram usw gar nicht brauche? - Ich denke, ich brauche nur die fipbox-Einrichtung (raspian2fipbox) und eine "normale /einfache" openvpn Installation.

Ferner gehe ich davon aus, dass ich dann auch einen Portmapper auf die 1194 nicht brauche und den Port in meinem Router nicht an die Fipbox unter IPv6 durchreichen muss, korrekt?

Dann bin ich zumindest so weit, dass ich stabil und reproduzierbar selektiv Ports auf meiner fipbox erreichen kann und ggf. umbiegen kann. - Nur das Weiterreichen an andere PCs gelingt noch nicht. - Aber wenn ich da aufgeräumt habe, verschwinden dann ggf. auch weitere potentielle Fehlerquellen.

Ferner habe ich für mich die Anpassungen der iptables aus der /etc/rc.local in ein anderes Script gepackt, so dass fipedit nicht jedesmal die komplette rc.local abarbeiten muss (die ursprünglichen Kommandos habe ich fürs Startup erstmal dort gelassen). Wichtig ist, das fipedit das macht, was erforderlich ist um Änderungen sauber zu übernehmen. Wenn ich dann später meine shorewall wieder anknipse, muss ich die dazu erfoderlichen Dinge dann noch ergänzen, denn das "/sbin/iptables -t nat -F" macht natürlich alle nat-Regeln platt ... Gut, hier also mein /etc/fip/fiprouting.sh:

Code: Alles auswählen

echo "resetting routing for FIP-Box..."

/sbin/iptables -t nat -F

cat /etc/fipbox | grep "#AKTIV#DNS#" | grep -v ihr-name | awk -F "#" '{print "/usr/local/bin/inadyn-mt --background --dyndns_server_name members.feste-ip.net --username "$5" --update_period_sec 124 --ip_server_name v6.checkip.feste-ip.net / --password \""$6"\" --alias "$4" ip6"}' | grep -v ihr-name | /bin/sh
cat /etc/fipbox | grep "#AKTIV#PORTMAPPER#" | grep -v IPv4ZielIP | awk -F "#" '{print "/usr/bin/6tunnel -6 "$4" "$5" "$6}' | /bin/sh
cat /etc/fipbox | grep "#AKTIV#VPNMAPTCP" | awk -F "#" '{print "/sbin/iptables -A PREROUTING -t nat -i tun0 -p tcp --dport "$4" -j DNAT --to "$5":"$6}' | /bin/sh
cat /etc/fipbox | grep "#AKTIV#VPNMAPUDP" | awk -F "#" '{print "/sbin/iptables -A PREROUTING -t nat -i tun0 -p udp --dport "$4" -j DNAT --to "$5":"$6}' | /bin/sh
cat /etc/fipbox | grep "#AKTIV#VPNMAP" | awk -F "#" '{print "/sbin/iptables -t nat -A POSTROUTING -o eth0 --dst "$5}' | /bin/sh

echo "... Finished setting up fipbox routing!"
... und das in Folge angepasste /bin/fipedit

Code: Alles auswählen

sudo nano /etc/fipbox
sudo pkill 6tunnel
sudo pkill inadyn-mt
sudo /etc/fip/fiprouting.sh
ps ax | grep 6tunnel | grep -v grep
So viel für heute.
VG
Hegi.

MichaelWeigel
Beiträge: 286
Registriert: Di 24. Feb 2015, 11:13

Re: FIP VPN auf Debian Stretch

Beitrag von MichaelWeigel » Mi 24. Jan 2018, 11:50

Hallo,

um auf die FIP-Box selber zuzugreifen, wird kein Mapping benötigt. Also alle Einträge auf die IP192.168.2.250 raus.

Die anderen Firewall Rules sollten so Funktionieren. (getestet auf einem Neuen Raspbian) Sollten noch andere Firewall Tools Installiert sein , kann es aber sein, das diese sich nicht vertragen.

Sie können ja mal einen Mitschnitt des Netzwerkverkehrs mit tcpdump machen.

LG Michael

hegi
Beiträge: 20
Registriert: Mo 25. Sep 2017, 17:08

Re: FIP VPN auf Debian Stretch

Beitrag von hegi » Mi 24. Jan 2018, 19:26

Hallo Michael,

danke für Deine Antwort.

Leider weiß ich immer noch nicht, ob ich die Anpassung von fipboxvpn.sh (openvpn-server) überhaupt brauche. Habe mal fipboxathome.ovpn und die openvpn server.conf entfernt und damit auch das IPv6 Mapping von Port 1194. - Das übrige Verhalten ändert sich nicht, in so fern gehe ich davon aus, dass ich das alles nur brauche, wenn ich von extern per VPN auf mein Heimnetz zugreifen will. --> würde mich hier sehr über eine Bestätigung freuen, dann kann ich das geordnet zurückbauen.
um auf die FIP-Box selber zuzugreifen, wird kein Mapping benötigt. Also alle Einträge auf die IP192.168.2.250 raus.
OK. - Wobei Einträge, bei denen die Ports verbogen werden natürlich dennoch brauche. Ich habe die beiden UDP-Einträge und den SSH Eintrag auf Port 22 rausgeworfen. - übrig bleibt:

Code: Alles auswählen

#AKTIV#VPNMAPTCP#80#192.168.2.116#80
#AKTIV#VPNMAPTCP#81#192.168.2.250#631
#AKTIV#VPNMAPTCP#222#192.168.2.116#22
#AKTIV#VPNMAPTCP#2222#192.168.2.250#22
... die Einträge #2 und #4, welche auf die fipbox verweisen funktionieren, die beiden andern nach wie vor nicht. ... Ich begreif' es nicht. Sobald eine andere IP ins Spiel kommt klappt nichts mehr.
Die anderen Firewall Rules sollten so Funktionieren. (getestet auf einem Neuen Raspbian) Sollten noch andere Firewall Tools Installiert sein , kann es aber sein, das diese sich nicht vertragen.
D.h. ein "nackiges" Raspian, dann "raspian2fipbox.sh" und schließlich "apt-get install -y openvpn openssl" ...?
Stichwort Firewall-Tools: Ich habe meine Shorewall komplett disabled, so dass dies keinen Effekt haben kann, die iptables sehen ja auch sauber aus.
Sie können ja mal einen Mitschnitt des Netzwerkverkehrs mit tcpdump machen.
OK. - Anbei die kommentierten Daten. - Allerdings kann ich daraus noch nichts lesen, was intern passiert. Ich vermute das braucht andere Parameter ... aber da bin ich so langsam am Ende meiner Netzwerk-Expertise:

Code: Alles auswählen

# tcpdump -i tun0 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes

>>> lynx http://134.255.244.124:80		#AKTIV#VPNMAPTCP#80#192.168.2.116#80		--> timeout
... routing an weitere linux-box scheitert

18:43:06.633572 IP server1276-han.de-nserver.de.24106 > 134.255.244.124.http: Flags [S], seq 1591064826, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:07.631062 IP server1276-han.de-nserver.de.24106 > 134.255.244.124.http: Flags [S], seq 1591064826, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:09.633643 IP server1276-han.de-nserver.de.24106 > 134.255.244.124.http: Flags [S], seq 1591064826, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:09.706631 IP 134.255.244.124 > server1276-han.de-nserver.de: ICMP host 134.255.244.124 unreachable, length 60
18:43:09.706640 IP 134.255.244.124 > server1276-han.de-nserver.de: ICMP host 134.255.244.124 unreachable, length 60
18:43:09.706643 IP 134.255.244.124 > server1276-han.de-nserver.de: ICMP host 134.255.244.124 unreachable, length 60
[...]

>>> lynx http://134.255.244.124:81		#AKTIV#VPNMAPTCP#81#192.168.2.250#631		--> funktioniert

18:43:16.273617 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [S], seq 3115268123, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:16.273672 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [S.], seq 4261837708, ack 3115268124, win 28000, options [mss 1400,nop,nop,sackOK,nop,wscale 7], length 0
18:43:16.302070 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 1, win 229, length 0
18:43:16.352555 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [P.], seq 1:268, ack 1, win 229, length 267
18:43:16.352581 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [.], ack 268, win 228, length 0
18:43:16.352669 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [P.], seq 1:286, ack 268, win 228, length 285
18:43:16.352676 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [P.], seq 286:628, ack 268, win 228, length 342
18:43:16.352686 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [F.], seq 628, ack 268, win 228, length 0
18:43:16.379052 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 286, win 237, length 0
18:43:16.379078 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 628, win 245, length 0
18:43:16.417395 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 629, win 245, length 0
18:43:19.381366 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [F.], seq 268, ack 629, win 245, length 0
18:43:19.381396 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [.], ack 269, win 228, length 0
[...]

>>> ssh user@134.255.244.124 -p22		keine Regel in /etc/fipbox			--> timeout 
... sollte aber fipbox auf localer IP 192.168.2.250 erreichen

18:43:26.837461 IP server1276-han.de-nserver.de.50186 > 134.255.244.124.ssh: Flags [S], seq 3957331964, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:26.837494 IP 134.255.244.124.ssh > server1276-han.de-nserver.de.50186: Flags [R.], seq 0, ack 3957331965, win 0, length 0
18:43:27.831548 IP server1276-han.de-nserver.de.50186 > 134.255.244.124.ssh: Flags [S], seq 3957331964, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:27.831579 IP 134.255.244.124.ssh > server1276-han.de-nserver.de.50186: Flags [R.], seq 0, ack 1, win 0, length 0
18:43:29.478039 IP 134.255.244.124.17500 > 255.255.255.255.17500: UDP, length 154
18:43:29.835564 IP server1276-han.de-nserver.de.50186 > 134.255.244.124.ssh: Flags [S], seq 3957331964, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:29.835599 IP 134.255.244.124.ssh > server1276-han.de-nserver.de.50186: Flags [R.], seq 0, ack 1, win 0, length 0
[...]

>>> ssh user@134.255.244.124 -p222		#AKTIV#VPNMAPTCP#222#192.168.2.116#22		--> timeout
... routing an weitere linux-box scheitert

18:43:34.690960 IP server1276-han.de-nserver.de.42180 > 134.255.244.124.222: Flags [S], seq 3517759195, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:35.684639 IP server1276-han.de-nserver.de.42180 > 134.255.244.124.222: Flags [S], seq 3517759195, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:36.018445 IP imap.web.de.imaps > 134.255.244.124.60080: Flags [.], ack 2627762815, win 59, options [nop,nop,TS val 808268544 ecr 840667], length 0
18:43:41.698976 IP server1276-han.de-nserver.de.42180 > 134.255.244.124.222: Flags [S], seq 3517759195, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
[...]

>>> ssh user@134.255.244.124 -p2222              #AKTIV#VPNMAPTCP#2222#192.168.2.250#22		--> funktioniert

18:43:44.634955 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [S], seq 640620480, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:44.634984 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [S.], seq 2575468873, ack 640620481, win 28000, options [mss 1400,nop,nop,sackOK,nop,wscale 7], length 0
18:43:44.677402 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 1, win 229, length 0
18:43:44.681217 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1:40, ack 1, win 219, length 39
18:43:44.727841 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 1:40, ack 1, win 229, length 39
18:43:44.727859 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 40, win 229, length 0
18:43:44.727875 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 40, win 219, length 0
18:43:44.727878 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], seq 40:1354, ack 40, win 229, length 1314
18:43:44.727885 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 1354, win 241, length 0
18:43:44.728424 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 40:1120, ack 1354, win 241, length 1080
18:43:44.770036 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 1354:2008, ack 40, win 229, length 654
18:43:44.806171 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 1120, win 245, length 0
18:43:44.806193 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 2008, win 262, length 0
18:43:44.832554 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2008:2056, ack 1120, win 245, length 48
18:43:44.836326 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1120:1400, ack 2056, win 262, length 280
18:43:44.864087 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 1400, win 262, length 0
18:43:44.869150 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2056:2072, ack 1400, win 262, length 16
18:43:44.918598 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 2072, win 262, length 0
18:43:44.953522 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2072:2116, ack 1400, win 262, length 44
18:43:44.953547 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 2116, win 262, length 0
18:43:44.953615 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1400:1444, ack 2116, win 262, length 44
18:43:44.980419 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2116:2176, ack 1444, win 262, length 60
18:43:44.981246 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1444:1488, ack 2176, win 262, length 44
18:43:45.009777 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2176:2796, ack 1488, win 262, length 620
18:43:45.010124 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1488:2060, ack 2796, win 282, length 572
18:43:45.085961 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2060, win 279, length 0
18:43:48.189626 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2796:3944, ack 2060, win 279, length 1148
18:43:48.191356 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2060:2088, ack 3944, win 303, length 28
18:43:48.222748 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2088, win 279, length 0
18:43:48.222781 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2088:2580, ack 3944, win 303, length 492
18:43:48.271289 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 3944:4048, ack 2088, win 279, length 104
18:43:48.298502 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2580, win 296, length 0
18:43:48.298534 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2580:2624, ack 4048, win 303, length 44
18:43:48.325919 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2624, win 296, length 0
18:43:48.326325 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4048:4724, ack 2624, win 296, length 676
18:43:48.327288 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2624:2708, ack 4724, win 323, length 84
18:43:48.327543 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2708:3616, ack 4724, win 323, length 908
18:43:48.349926 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3616:3676, ack 4724, win 323, length 60
18:43:48.350357 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3676:3752, ack 4724, win 323, length 76
18:43:48.356624 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3616, win 313, length 0
18:43:48.382638 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3752, win 313, length 0
18:43:51.682907 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4724:4752, ack 3752, win 313, length 28
18:43:51.683190 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3752:3796, ack 4752, win 323, length 44
18:43:51.684208 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3796:3940, ack 4752, win 323, length 144
18:43:51.722936 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3940, win 330, length 0
18:43:51.768472 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4752:4780, ack 3940, win 330, length 28
18:43:51.768505 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4780:4840, ack 3940, win 330, length 60
18:43:51.768511 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [F.], seq 4840, ack 3940, win 330, length 0
18:43:51.768527 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 4841, win 323, length 0
18:43:51.770661 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [F.], seq 3940, ack 4841, win 323, length 0
18:43:51.853653 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3941, win 330, length 0
[...]

>>> externer UPD-Zugriff auf Ports 5198/5199	keine Regel in /etc/fipbox                      --> funktioniert

18:44:16.735901 IP ec2-54-161-182-37.compute-1.amazonaws.com.5198 > 134.255.244.124.5198: UDP, length 1
18:44:16.838244 IP ec2-54-161-182-37.compute-1.amazonaws.com.5199 > 134.255.244.124.5199: UDP, length 1
18:44:16.838957 IP 134.255.244.124.5198 > ec2-54-161-182-37.compute-1.amazonaws.com.5198: UDP, length 1
18:44:16.940107 IP ec2-54-161-182-37.compute-1.amazonaws.com.5198 > 134.255.244.124.5198: UDP, length 1
18:44:16.940988 IP 134.255.244.124.5199 > ec2-54-161-182-37.compute-1.amazonaws.com.5199: UDP, length 1
18:44:17.044402 IP ec2-54-161-182-37.compute-1.amazonaws.com.5199 > 134.255.244.124.5199: UDP, length 1
[...]

^C
386 packets captured
434 packets received by filter
48 packets dropped by kernel
... leider bin ich da langsam mit meinem Latein echt am Ende.
Einen entsprechenden Hinweis vorausgesetzt kann ich noch das "fipboxvpn.sh" script geordnet zurückbauen und ggf. tcpdump noch mal mit anderen Parametern probieren, aber dann fällt mir nichts mehr ein.

Vielen Dank
Gruß
Hegi.

hegi
Beiträge: 20
Registriert: Mo 25. Sep 2017, 17:08

Re: FIP VPN auf Debian Stretch

Beitrag von hegi » Do 8. Feb 2018, 16:34

Hallo zusammen,

... langsam fehlt mir der Glauben, dass ich das irgendwie noch vernünftig ans Laufen bekomme.
Also, ich habe jetzt auf einem Raspberry 2B (da läuft eigentlich ein Voyage-MPD auf raspbian/stretch) die FIP Geschichten noch mal frisch installiert.

Zumindest bin ich so weit, dass ich geprüft habe, dass für den fipVPN-Client das Script "fipboxvpn.sh" nicht notwendig ist. Diese These hatte ich ja schon vorher.

Ich habe also die folgenden Pakete installiert ...

Code: Alles auswählen

 sudo apt-get install make gcc gawk libstdc++6-4,7-dev libao-dev dhcpcd5 openvpn openssl unzip ntpdate
... dann habe ich die Kommandos aus "raspbian2fipbox.sh" händisch der Reihe nach eingespielt und nur den Hostnamen anders behalten, aberdas sollte für iptables ja nicht relevant sein.

Resultat:
Wie gehabt: Ich kann von extern auf die Fipbox zugreifen (getestet mit ssh und http://), aber Zugriffe auf andere Rechner, welche durch die Einträge in /etc/fipbox über iptables umgebogen werden landen im Nirwana.

Für Tipps, wie ich z.B. mittels tcpdump an aussagekräftigere Debug-Daten komme oder andere hilfreiche Hinweise wäre ich sehr dankbar.

LG

Hegi.

michael.esser
Beiträge: 6
Registriert: Mi 4. Jan 2017, 21:00

Re: FIP VPN auf Debian Stretch

Beitrag von michael.esser » Do 22. Feb 2018, 00:19

Hallo,

Ich versteh das Problem nicht. Versuch es doch mal mit: www.feste-ip.net/fipscripts/build-easy2connect.sh .

Gruß,
Michael

hegi
Beiträge: 20
Registriert: Mo 25. Sep 2017, 17:08

Re: FIP VPN auf Debian Stretch

Beitrag von hegi » Do 22. Feb 2018, 19:43

Hallo Michael,
ich hatte ganz am Anfang mit easy2connect angefangen ... Bis sich dann herausstellte, dass ich da auf der falschen Spur war, wenn ich eine dedizierte IPV4 mit VPN will.

Daher verstehe ich diesen Ansatz überhaupt nicht.
Oder ist das eine komplett neue Version von Easy2Connect, die diese Einschränkung nicht mehr hat?

Fakt ist, dass - soweit ich das verstehe und testen kann - der VPN Tunnel und das Portforwarding vom FIP-Server funktioniert, nur dass das interne verbiegen des Routings mittels iptables aus Gründen, die ich definitiv nicht verstehe (und wo mir das know-how zum gezielten debuggen fehlt), nicht funktioniert.
LG
Hegi.

michael.esser
Beiträge: 6
Registriert: Mi 4. Jan 2017, 21:00

Re: FIP VPN auf Debian Stretch

Beitrag von michael.esser » Sa 24. Feb 2018, 00:43

Hallo,

Das klappt: http://www.feste-ip.net/fileadmin/easy2connect.pdf ( S.8 ). Unabhängig davon: probier doch mal bei Deinem aktuellen Setup bzw. Gerät was Du erreichen möchtest die IP des FIP-Servers als Gateway einzutragen.

Gruß,
Michael

Antworten