ComputerBase Menü
Aktuelles

"Bridging"/ IP traffic forwarding zwischen tun0 und eth-Interface?

B

Bigfoot29

Commander
Registriert
Juni 2007
Beiträge
2.368
Hi Leute, ich krieg so langsam die Krise. :D

Ich suche eine Möglichkeit, ein per tun0 (OpenVPN von extern, keinen Zugriff drauf und damit auch kein tap0 möglich) angebotenes Subnet auf ein Netzwerk-Interface (eth0 in dem Fall, via eth1 greift der OpenVPN-Dienst nach draußen zu.

Ich bin jetzt so weit, dass ich sowohl die IP des "tun0" des Routers/der Brücke von außen erreichen kann. Auch kann ich die IPs innerhalb des Subnets vom Router aus problemlos pingen. Aber von außen krieg ich ums Verrecken keinen Zugriff auf die IPs im Subnetz hin.

Da ich kein Masquerading (sondern eigentlich eher ein Bridging) machen will, tue ich mich schwer, bei "NAT" weiter zu lesen. Ansonsten habe ich jetzt alles durchprobiert, was mir einfällt.
--> sysctl.conf hat nat forwarding aktiv
--> pures iptables forwarding zwischen den Interfaces ist aktiv (iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT/ iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT)
--> ein vorheriger Versuch, das Ganze via ufw zu lösen, war ebenfalls binnen mehrerer Stunden nicht möglich.
--> Routing scheint aus meiner Sicht zu stimmen:
Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         188.246.4.1     0.0.0.0         UG    0      0        0 tun0
188.246.0.50    192.168.178.1   255.255.255.255 UGH   0      0        0 eth1
188.246.4.0     0.0.0.0         255.255.252.0   U     0      0        0 tun0
188.246.A.B    0.0.0.0         255.255.255.C U     0      0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1

...wobei A.B bzw. C das separate Ziel-Subnetz sind, in dem meine zusätzlichen IPs (und damit bestückte Maschinen) wohnen.

Das Ganze läuft auf Debian 10.

Was mache ich falsch? grübel

Danke euch vorab. ;__;

Regards, Bigfoot29
 
Bigfoot29 schrieb:
Was mache ich falsch? grübel
Zum Vergrößern anklicken....
Du möchtest einen tun als tap verwenden, das geht schlicht und einfach nicht.

Wenn du kein SNAT/Masquerade machen möchtest, muss dein lokales Netz den Routern auf der Gegenseite bekannt gemacht werden.
 
Zuletzt bearbeitet:
Hi. Vielen Dank für die schnelle Antwort. :)

Der Router sollte das IP-Netz kennen. Immerhin habe ich es beim gleichen Anbieter "gemietet"... Ich habe jetzt selbst mal nen tcpdump auf tun0 mitlauschen lassen. Jegliche Anfragen von MIR von außen auf mein Subnetz - ping oder https-Requests - kommen nicht durch. Möglicherweise hat mein Anbieter da also ein Problem mit dem Routing.

Ansonsten ist mir bewusst, dass ein exaktes "bridging" nicht geht. Faktisch wurde es aber durchaus beworben, dass das Subnetz ohne NAT vom Netz aus erreichbar ist. - Quasi so, als würden die Maschinen ohne die "Router"-Maschine im Netz wohnen. :S

Regards, Bigfoot29
 
Die IP des tun0-Interface kannst du pingen, da der OpenVPN-Server automatisch beim Verbindungsaufbau eine Route für den Client einträgt. Diese gilt aber nur für diese eine IP.

Von deinem anderen Subnet weiß OpenVPN erst mal nichts. Das muss manuell konfiguriert werden.
Der Server muss eine Route haben, die den Traffic für dein Subnetz an deinen VPN-Client schickt.
 
Vielen Dank. Mehr Futter für mich, sobald die Jungs an der Hotline Zeit (für mich) haben... Wahrscheinlich passiert exakt das derzeit nicht korrekt. :S

Regards, Bigfoot29
 
Nachtrag1:
Die Jungs im RZ haben das Subnetz jetzt angeblich freigegeben. Da fehlte wohl eine Routing-Zeile. Jetzt ist auch die IP des eth0-Adapters auf der Router-Maschine von außen erreichbar. Allerdings nix, was außerhalb der VM (und hinter der "brctl"-Brücke) liegt. Innerhalb geht wie bisher alles wie gewohnt.

Nachtrag2 (Lösung):
Danach lässt es sich jetzt auch für "Ungeübte" aufsetzen. "ufw" installieren, in den sysctl-configs (gibt 2) ipv4-forwarding aktivieren,
DEFAULT_FORWARD_POLICY="ACCEPT"
Zum Vergrößern anklicken....
in der /etc/default/ufw setzen (steht per default auf "DROP") und weil ich eh grad Kernel-Updates eingespielt hab, zur Sicherheit neu starten.

Seitdem ist auch das Subnetz erreichbar. Ein Masquerade/DNAT/SNAT/NAT ist nicht mehr nötig. :)

Danke nochmal für eure Unterstützung. :D

Regards, Bigfoot29

PS: Schade, dass ich das Thema nicht als "gelöst" markieren kann... o.0
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

lexnared
VPN Wireguard kein zugriff auf Netzwerkgeräte
Antworten
7
Aufrufe
516
lexnared
lexnared
P
PIVPN Wireguard Configuration und weiterleiten des kompletten Internetverkehrs zum VPN
Antworten
11
Aufrufe
1.848
prodo80
P
Avenger84
Über VPN Client entferntes VPN Netz erreichen
2 3
Antworten
44
Aufrufe
2.173
Bob.Dig
Bob.Dig
E
Wireguard Allowed-IPs
2
Antworten
25
Aufrufe
6.330
foofoobar
foofoobar
A
Portweiterleitung über iptables zeigt auf Webserver-Log nur die interne IP vom weitergeleitenden Server
Antworten
16
Aufrufe
915
Andy81
A

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz