IPTABLES - NAT Router, Bestimmte Ports an anderes GW weiterleiten

[uhrzeit]

Hallo Zusammen,

ich benutze einen Raspberry PI v2 mit raspbian als VPN Gateway für mein Netzwerk. Der Raspberry hängt dabei als normaler client im Netzwerk und baut eine Internetverbindung über den Router auf. Per OPEN VPN bin ich bei meinem VPN Anbieter eingewählt.

Die Clients haben als Standard Gateway den Raspberry eingetragen. Auf dem Raspberry PI ist Paket Forwarding aktiviert. Per IP-Tables ist eine NAT Regel konfiguriert, die die Pakete maskiert und über das VPN rausschickt.

Chain POSTROUTING (policy ACCEPT 3 packets, 148 bytes)
 pkts bytes target     prot opt in     out     source               destination
 131K 9388K MASQUERADE  all  --  any    tun1    anywhere             anywhere

Leider Blockiert der VPN Anbieter den Mailversand auf den Ports 25 und 587 um Spam Vorzubeugen (Eigtl. gut so^^). Naja, da es für mich kein Problem darstellt, wenn der Mailversand über den normalen Router rausgeht würde ich deswegen gerne auf dem Raspberry eine Regel definieren, die Pakete auf diesen Ports nicht über das VPN rausschickt sondern an meine Fritzbox weiterleitet.

Folgende Regeln habe ich dazu definiert. Leider klappt es nicht. Die Regel wird aber verwendet wenn ich versuche mit Outlook eine Mail zu versenden.

Chain PREROUTING (policy ACCEPT 9 packets, 549 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  eth0   any     anywhere             anywhere             tcp dpt:submission to:192.168.1.254:587
    1    52 DNAT       tcp  --  eth0   any     anywhere             anywhere             tcp dpt:smtp to:192.168.1.254:25

Kann mir jemand sagen wo der Fehler liegt und wie ich das Problem am besten lösen kann?

Vielen Dank schonmal und viele Grüße.

 

[0x8100]

Deine DNAT Regeln bewirken nicht wie von dir geplant, dass Pakete an Port 25&587 ÜBER die 192.168.1.254 gesendet werden, sondern AN diese IP. Dein Router kann damit nichts anfangen und verwirft sie.

Theoretisch sollte es reichen, wenn du diese DNAT Regeln entfernst und einen Routingeintrag für deinen Mailserver auf dem Raspberry erstellst:

route add -host <dein_mail_server> gw 192.168.1.254

Die Pakete für Mail sollten dann weiterhin durchs NAT gehen, aber nicht mehr in den Tunnel (Default-Gateway) sondern direkt über den Router geschickt werden.

 

[uhrzeit]

Dachte mir schon, dass genau das das Problem ist...

Das mit dem Gateway war auch mein erster Gedanke. Das Problem ist allerdings, dass ich dann Anfange für sämtliche Mailprovider solche Routen einzutragen.

Ich wohne hier in ner WG mit 4 Leuten... Jeder nutzt unterschiedliche Mailingdienste und die IP Adressen bei den Providern können sich auch von Zeit zu Zeit ändern.

Da der DSL Vertrag auf meinen Namen läuft habe ich den VPN angeschafft um mir in Zukunft Ärger zu ersparen... Mehr muss ich dazu wohl nicht sagen.
Meine Mitbewohner sollen also auch zwangsläufig über den VPN ins Internet.

Es muss doch ne Möglichkeit geben die Pakete umzuleiten...