Moin zusammen,
... noch mal ich.
Also, habe heute noch mal ein bisschen gebastelt und gesucht, aber wirklich viel weitergekommen bin ich nicht.
Mein internes Routing macht nicht mehr ganz, was es soll. Da gibt es noch Wechselwirkungen mit dem dhcpcd. Auf meiner Linux-Box läuft für das lokale Netz eigentlich ein Bind9. Und der dhcpcd zerschießt mir da die Auflösung für ein lokales Netzwerksegment.
Ich habe das jetzt folgendermaßen angepackt:
1. habe ich die dhcpcd-config in /etc/dhcpcd.conf dahingehend erweitert, dass Sie meine lokalen LAN-Segmente mit statischer IP nicht anpackt:
Code: Select all
### Lokale Lan IPV4s statisch
interface eth0 static
ip_address=192.168.1.250/24
persistent
hostname_short Box1
interface eth1
static ip_address=192.168.2.250/24
persistent
hostname_short Box1-lokal
2. habe ich die /etc/resolv.conf.tail angelegt und dort meine Domain und die eigene Box als lokalen nameserver spezifiziert
Code: Select all
nameserver 192.168.1.250
domain meine.domain.de
... damit bin ich zumindest so weit, dass mein LAN sich noch "normal" verhält und ich wieder Drucker etc. angesprochen bekomme. Dadurch, dass sich die Funktionalität gegenüber vorher nicht verschlechtert oder verbessert hat, gehe ich für den Moment mal davon aus, dass ich damit nichts verschlimmbessert habe. Ausgehende I-Net-Verbindungen laufen, wenn das OpenVPN aktiv ist über die IPV4, wenn das OpenVPN inaktiv ist über die DS-Lite-IP von Unitymedia. ... so weit so gut.
Die Verbindungen über die IPV4 funktionieren aktuell zum Teil. Ich habe ausgehende Verbindungen mit der IPV4. - gut. Ferner kappt auch der eingehende UDP-Verkehr -- allerdings noch nicht ganz zuverlässig. Mir scheint es gibt da noch ein Timeout Problem oder so. Eingehenden TCP-Verkehr habe ich noch nicht hinbekommen ... trotz VPNMAPTCP.
Die UDP-Timeoutproblematik tritt i.d.R. nur beim ersten Test auf. Bei weiteren Wiederholungen (sofort, nach 30 Sek., nach 1 Min., nach 3 Min.) verhält sich das so weit stabil, nur nach 5 Min. Inaktivität verschluckt er sich beim ersten Mal wieder. -- Damit scheint nicht weiter ein Problem zu sein. Demnach tun die VPNMAPUDP-Statements, was sie sollen:
Code: Select all
#AKTIV#VPNMAPUDP#5198#192.168.1.250#5198
#AKTIV#VPNMAPUDP#5199#192.168.1.250#5199
IMCP auf die feste IPV4 tut auch (ping). -- auch gut.
Komisch ist nur, dass das Ganze mit TCP nicht funktioniert. Den lokalen Shorewall habe ich auch zur Sicherheit mal ausgeknipst, nicht, dass der mir da irgendwie in die Suppe spuckt. Des weiteren habe ich die IPs in /etc/fipbox die auf den Linux-Rechner mit Fip-Box-Install verweisen mit fipedit mal auf 127.0.0.1 gesetzt (statt der lokalen IP 192.168.1.250) und geschaut, ob das irgendwelche Veränderungen bringt, also z.B.:
Code: Select all
#AKTIV#VPNMAPTCP#22#127.0.0.1#22
#AKTIV#VPNMAPTCP#80#127.0.0.1#80
... also können wir uns das sparen und drehen das wieder zurück.
Aber auch das ändert nichts an der ganzen Geschichte. Es gelingt mir nicht aus dem Internet eingehende TCP-Verbindungen weiterzureichen.
Dabei sieht das Ergebnis der fipbox-config in iptables für UDP und TCP eigentlich gleich aus. Ich habe zwar keine Ahnung von iptables, aber wenn es mit UDP funktioniert, verstehe ich nicht, dass es mit TCP "klemmt":
Code: Select all
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:ssh to:192.168.1.250:22
DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.1.250:80
DNAT udp -- anywhere anywhere udp dpt:5198 to:192.168.1.250:5198
DNAT udp -- anywhere anywhere udp dpt:5199 to:192.168.1.250:5199
(...)
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.0.0/8 !10.0.0.0/8
all -- anywhere box1.meine.domain.de
all -- anywhere box1.meine.domain.de
all -- anywhere box1.meine.domain.de
all -- anywhere box1.meine.domain.de
(...)
... und da stehe ich nun echt auf dem Schlauch. Für einen schlauen Tipp, wäre ich extrem dankbar.
Beste Grüße ... und frohe Weihnachten!
Hegi.