danke für Deine Antwort.
Leider weiß ich immer noch nicht, ob ich die Anpassung von fipboxvpn.sh (openvpn-server) überhaupt brauche. Habe mal fipboxathome.ovpn und die openvpn server.conf entfernt und damit auch das IPv6 Mapping von Port 1194. - Das übrige Verhalten ändert sich nicht, in so fern gehe ich davon aus, dass ich das alles nur brauche, wenn ich von extern per VPN auf mein Heimnetz zugreifen will.
OK. - Wobei Einträge, bei denen die Ports verbogen werden natürlich dennoch brauche. Ich habe die beiden UDP-Einträge und den SSH Eintrag auf Port 22 rausgeworfen. - übrig bleibt:
... die Einträge #2 und #4, welche auf die fipbox verweisen funktionieren, die beiden andern nach wie vor nicht. ... Ich begreif' es nicht. Sobald eine andere IP ins Spiel kommt klappt nichts mehr.
D.h. ein "nackiges" Raspian, dann "raspian2fipbox.sh" und schließlich "apt-get install -y openvpn openssl" ...?
Stichwort Firewall-Tools: Ich habe meine Shorewall komplett disabled, so dass dies keinen Effekt haben kann, die iptables sehen ja auch sauber aus.
OK. - Anbei die kommentierten Daten. - Allerdings kann ich daraus noch nichts lesen, was intern passiert. Ich vermute das braucht andere Parameter ... aber da bin ich so langsam am Ende meiner Netzwerk-Expertise:
Code: Select all
# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
>>> lynx http://134.255.244.124:80 #AKTIV#VPNMAPTCP#80#192.168.2.116#80 --> timeout
... routing an weitere linux-box scheitert
18:43:06.633572 IP server1276-han.de-nserver.de.24106 > 134.255.244.124.http: Flags [S], seq 1591064826, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:07.631062 IP server1276-han.de-nserver.de.24106 > 134.255.244.124.http: Flags [S], seq 1591064826, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:09.633643 IP server1276-han.de-nserver.de.24106 > 134.255.244.124.http: Flags [S], seq 1591064826, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:09.706631 IP 134.255.244.124 > server1276-han.de-nserver.de: ICMP host 134.255.244.124 unreachable, length 60
18:43:09.706640 IP 134.255.244.124 > server1276-han.de-nserver.de: ICMP host 134.255.244.124 unreachable, length 60
18:43:09.706643 IP 134.255.244.124 > server1276-han.de-nserver.de: ICMP host 134.255.244.124 unreachable, length 60
[...]
>>> lynx http://134.255.244.124:81 #AKTIV#VPNMAPTCP#81#192.168.2.250#631 --> funktioniert
18:43:16.273617 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [S], seq 3115268123, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:16.273672 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [S.], seq 4261837708, ack 3115268124, win 28000, options [mss 1400,nop,nop,sackOK,nop,wscale 7], length 0
18:43:16.302070 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 1, win 229, length 0
18:43:16.352555 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [P.], seq 1:268, ack 1, win 229, length 267
18:43:16.352581 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [.], ack 268, win 228, length 0
18:43:16.352669 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [P.], seq 1:286, ack 268, win 228, length 285
18:43:16.352676 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [P.], seq 286:628, ack 268, win 228, length 342
18:43:16.352686 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [F.], seq 628, ack 268, win 228, length 0
18:43:16.379052 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 286, win 237, length 0
18:43:16.379078 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 628, win 245, length 0
18:43:16.417395 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [.], ack 629, win 245, length 0
18:43:19.381366 IP server1276-han.de-nserver.de.24022 > 134.255.244.124.81: Flags [F.], seq 268, ack 629, win 245, length 0
18:43:19.381396 IP 134.255.244.124.81 > server1276-han.de-nserver.de.24022: Flags [.], ack 269, win 228, length 0
[...]
>>> ssh user@134.255.244.124 -p22 keine Regel in /etc/fipbox --> timeout
... sollte aber fipbox auf localer IP 192.168.2.250 erreichen
18:43:26.837461 IP server1276-han.de-nserver.de.50186 > 134.255.244.124.ssh: Flags [S], seq 3957331964, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:26.837494 IP 134.255.244.124.ssh > server1276-han.de-nserver.de.50186: Flags [R.], seq 0, ack 3957331965, win 0, length 0
18:43:27.831548 IP server1276-han.de-nserver.de.50186 > 134.255.244.124.ssh: Flags [S], seq 3957331964, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:27.831579 IP 134.255.244.124.ssh > server1276-han.de-nserver.de.50186: Flags [R.], seq 0, ack 1, win 0, length 0
18:43:29.478039 IP 134.255.244.124.17500 > 255.255.255.255.17500: UDP, length 154
18:43:29.835564 IP server1276-han.de-nserver.de.50186 > 134.255.244.124.ssh: Flags [S], seq 3957331964, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:29.835599 IP 134.255.244.124.ssh > server1276-han.de-nserver.de.50186: Flags [R.], seq 0, ack 1, win 0, length 0
[...]
>>> ssh user@134.255.244.124 -p222 #AKTIV#VPNMAPTCP#222#192.168.2.116#22 --> timeout
... routing an weitere linux-box scheitert
18:43:34.690960 IP server1276-han.de-nserver.de.42180 > 134.255.244.124.222: Flags [S], seq 3517759195, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:35.684639 IP server1276-han.de-nserver.de.42180 > 134.255.244.124.222: Flags [S], seq 3517759195, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:36.018445 IP imap.web.de.imaps > 134.255.244.124.60080: Flags [.], ack 2627762815, win 59, options [nop,nop,TS val 808268544 ecr 840667], length 0
18:43:41.698976 IP server1276-han.de-nserver.de.42180 > 134.255.244.124.222: Flags [S], seq 3517759195, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
[...]
>>> ssh user@134.255.244.124 -p2222 #AKTIV#VPNMAPTCP#2222#192.168.2.250#22 --> funktioniert
18:43:44.634955 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [S], seq 640620480, win 29200, options [mss 1314,nop,nop,sackOK,nop,wscale 7], length 0
18:43:44.634984 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [S.], seq 2575468873, ack 640620481, win 28000, options [mss 1400,nop,nop,sackOK,nop,wscale 7], length 0
18:43:44.677402 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 1, win 229, length 0
18:43:44.681217 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1:40, ack 1, win 219, length 39
18:43:44.727841 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 1:40, ack 1, win 229, length 39
18:43:44.727859 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 40, win 229, length 0
18:43:44.727875 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 40, win 219, length 0
18:43:44.727878 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], seq 40:1354, ack 40, win 229, length 1314
18:43:44.727885 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 1354, win 241, length 0
18:43:44.728424 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 40:1120, ack 1354, win 241, length 1080
18:43:44.770036 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 1354:2008, ack 40, win 229, length 654
18:43:44.806171 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 1120, win 245, length 0
18:43:44.806193 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 2008, win 262, length 0
18:43:44.832554 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2008:2056, ack 1120, win 245, length 48
18:43:44.836326 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1120:1400, ack 2056, win 262, length 280
18:43:44.864087 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 1400, win 262, length 0
18:43:44.869150 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2056:2072, ack 1400, win 262, length 16
18:43:44.918598 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 2072, win 262, length 0
18:43:44.953522 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2072:2116, ack 1400, win 262, length 44
18:43:44.953547 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 2116, win 262, length 0
18:43:44.953615 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1400:1444, ack 2116, win 262, length 44
18:43:44.980419 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2116:2176, ack 1444, win 262, length 60
18:43:44.981246 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1444:1488, ack 2176, win 262, length 44
18:43:45.009777 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2176:2796, ack 1488, win 262, length 620
18:43:45.010124 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 1488:2060, ack 2796, win 282, length 572
18:43:45.085961 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2060, win 279, length 0
18:43:48.189626 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 2796:3944, ack 2060, win 279, length 1148
18:43:48.191356 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2060:2088, ack 3944, win 303, length 28
18:43:48.222748 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2088, win 279, length 0
18:43:48.222781 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2088:2580, ack 3944, win 303, length 492
18:43:48.271289 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 3944:4048, ack 2088, win 279, length 104
18:43:48.298502 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2580, win 296, length 0
18:43:48.298534 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2580:2624, ack 4048, win 303, length 44
18:43:48.325919 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 2624, win 296, length 0
18:43:48.326325 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4048:4724, ack 2624, win 296, length 676
18:43:48.327288 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2624:2708, ack 4724, win 323, length 84
18:43:48.327543 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 2708:3616, ack 4724, win 323, length 908
18:43:48.349926 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3616:3676, ack 4724, win 323, length 60
18:43:48.350357 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3676:3752, ack 4724, win 323, length 76
18:43:48.356624 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3616, win 313, length 0
18:43:48.382638 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3752, win 313, length 0
18:43:51.682907 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4724:4752, ack 3752, win 313, length 28
18:43:51.683190 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3752:3796, ack 4752, win 323, length 44
18:43:51.684208 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [P.], seq 3796:3940, ack 4752, win 323, length 144
18:43:51.722936 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3940, win 330, length 0
18:43:51.768472 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4752:4780, ack 3940, win 330, length 28
18:43:51.768505 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [P.], seq 4780:4840, ack 3940, win 330, length 60
18:43:51.768511 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [F.], seq 4840, ack 3940, win 330, length 0
18:43:51.768527 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [.], ack 4841, win 323, length 0
18:43:51.770661 IP 134.255.244.124.2222 > server1276-han.de-nserver.de.30012: Flags [F.], seq 3940, ack 4841, win 323, length 0
18:43:51.853653 IP server1276-han.de-nserver.de.30012 > 134.255.244.124.2222: Flags [.], ack 3941, win 330, length 0
[...]
>>> externer UPD-Zugriff auf Ports 5198/5199 keine Regel in /etc/fipbox --> funktioniert
18:44:16.735901 IP ec2-54-161-182-37.compute-1.amazonaws.com.5198 > 134.255.244.124.5198: UDP, length 1
18:44:16.838244 IP ec2-54-161-182-37.compute-1.amazonaws.com.5199 > 134.255.244.124.5199: UDP, length 1
18:44:16.838957 IP 134.255.244.124.5198 > ec2-54-161-182-37.compute-1.amazonaws.com.5198: UDP, length 1
18:44:16.940107 IP ec2-54-161-182-37.compute-1.amazonaws.com.5198 > 134.255.244.124.5198: UDP, length 1
18:44:16.940988 IP 134.255.244.124.5199 > ec2-54-161-182-37.compute-1.amazonaws.com.5199: UDP, length 1
18:44:17.044402 IP ec2-54-161-182-37.compute-1.amazonaws.com.5199 > 134.255.244.124.5199: UDP, length 1
[...]
^C
386 packets captured
434 packets received by filter
48 packets dropped by kernel
... leider bin ich da langsam mit meinem Latein echt am Ende.
Einen entsprechenden Hinweis vorausgesetzt kann ich noch das "fipboxvpn.sh" script geordnet zurückbauen und ggf. tcpdump noch mal mit anderen Parametern probieren, aber dann fällt mir nichts mehr ein.
Hegi.