Hi.
Ich habe heute die OpenVPN-Verbindung zum Linuxmuster-Server 6.1 & IPFire getestet. Die Verbindung kommt zustande – dennoch verhält sich mein lokaler Rechner jetzt anders als mit Version 6.0.
Vermutlich liegt es daran, dass da Routen hinzugefügt werden, die den kompletten Datenverkehr über die OpenVPN-Leitung schicken? Hier ein Auszug (lokal: Kubuntu 14.04 mit openvpn 2.3.2-7ubuntu3.1) :
[...]
Sun Feb 26 13:05:20 2017 OPTIONS IMPORT: route options modified
Sun Feb 26 13:05:20 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Feb 26 13:05:20 2017 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 IFACE=eth0 HWADDR=f0:de:f1:7c:bc:55
Sun Feb 26 13:05:20 2017 TUN/TAP device tun0 opened
Sun Feb 26 13:05:20 2017 TUN/TAP TX queue length set to 100
Sun Feb 26 13:05:20 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Feb 26 13:05:20 2017 /sbin/ip link set dev tun0 up mtu 1500
Sun Feb 26 13:05:20 2017 /sbin/ip addr add dev tun0 local 172.16.18.22 peer 172.16.18.21
Sun Feb 26 13:05:20 2017 /sbin/ip route add 178.XXX.XXX.XXX/32 via 192.168.178.1 (derzeitige öffentliche IP)
Sun Feb 26 13:05:20 2017 /sbin/ip route add 0.0.0.0/1 via 172.16.18.21
Sun Feb 26 13:05:20 2017 /sbin/ip route add 128.0.0.0/1 via 172.16.18.21
Sun Feb 26 13:05:20 2017 /sbin/ip route add 172.16.18.1/32 via 172.16.18.21
Sun Feb 26 13:05:20 2017 /sbin/ip route add 10.16.0.0/24 via 172.16.18.21
Sun Feb 26 13:05:20 2017 Initialization Sequence Completed
Sobald ich via OpenVPN verbunden bin, geht hier lokal nichts anderes mehr.
Ich kann zwar “ssh 10.16.1.1” absetzen; nicht aber Firefox --> “http://10.16.1.1”
Ebensowenig kommt aber “http://google.de” an – sobald die OpenVPN-Verbindung wieder weg ist, läuft wieder alles normal!
Es sieht also alles nach Firewall-Einstellungen und/oder falscher Routen bzgl OpenVPN aus??
Gesetzt ist hier diese Regel:
Nachtrag: In der Doku habe ich gefunden: “In den erweiterten Serveroptionen ist Redirect-Gateway def1 aktivert. Soll bei einer Remote-Verbindung der Internet-Zugriff lokal erfolgen, so muss die Option deaktiviert werden.”
Wenn ich die Option deaktiviere, gelange ich allerdings GAR nicht mehr auf den Server 10.16.1.1 – auch nicht via ssh.
Die zugefügten Routen lauten dann nur noch:
Sun Feb 26 13:23:47 2017 /sbin/ip route add 10.16.0.0/24
Sun Feb 26 13:23:47 2017 /sbin/ip route add 172.16.18.1/32
Jetzt stellt sich natürlich die Frage: Wo suchen?
(Kann das evtl auch mit dem L3-Switch zusammenhängen!?! Aufbau schematisch so wie hier)
Ich habe gerade nochmal die alten Einstellungen des 6.0 Servers/IPFire mit den aktuellen verglichen und alles identisch eingestellt. Nun kann ich mich immerhin wieder remote verbinden aber dennoch lokal weitersurfen.
Trotzdem gelange ich auch weiterhin nicht per http auf den Server. In den IPFire-Firewall-Logs erscheint:
Mir ist leider weiterhin nicht klar. warum ich zwar per ssh auf 10.16.1.1 gelange aber nicht via http/https.
Ist das bei euch auch so? Auch alle andere Rechner im grünen Netz sind nicht erreichbar – obwohl die FW-Firewall-Regel das doch ausdrücklich erlaubt!
Im FW-Log steht weiterhin “Drop-Forward” bei allen Zugriffen über tun0.
(Den Tipp von Alois habe ich auch schon umgesetzt – hilft aber leider nicht.)
ich hatte Dich so verstanden dass Du ins Internet möchtest. Wenn ich lokal
einen Rechner erreichen will, dann mache ich das über einen Ssh-Tunnel.
Alternativ fahre ich einen Rechner hoch, verbinde mich per Remote-Desktop
und erreiche damit jeden Rechner intern.
Vermutlich wirst Du an der internen Firewall drehen müssen um intern
Rechner erreichen zu können. Die Ports, die intern erlaubt sind kannst Du
unter /etc/linuxmuster/allowed_ports festlegen. Nach dem Editieren der
Datei musst Du mit
Das würde aber nicht erklären, warum ich auf genau einen Rechner per SSH gelange aber auch nichts anderes im grünen Netz. Port 22 ist also offenbar offen … etwas anderes blockiert aber weiterhin?!?
Mir ist aber etwas anderes aufgefallen: Wenn ich im IPFire den Befehl:
iptables --list | grep 172.16.
benutze, erhalte ich:
ACCEPT all -- 172.16.18.0/24 10.16.0.0/24
Das ist aber imho falsch – da muss entweder 10.6.0.0/12 oder aber 10.16.1.0/24 stehen. Ich weiß aber nicht, warum der Eintrag falsch ist bzw was seit dem Upgrade auf 6.1 schief gegangen ist … ist das bei euch auch so?
Ich habe gerade nochmal im IPFire nachgesehen: Das GRÜNE Netz steht da tatsächlich als 10.16.0.0/24. Und zwar sieht man das, wenn man eine neue Regel anlegt oder eine bestehende Regel bearbeitet.
ich meine nach wie vor, dass das nicht richtig sein kann bzw mit Subnetzen sowieso nur 10.16.1.0/24 heißen muss.
Kann das jemand bestätigen? Wie lautet der Eintrag bei euch? (Hier: core 105)
Das ist aber imho falsch – da muss entweder 10.6.0.0/12 oder aber
10.16.1.0/24 stehen. Ich weiß aber nicht, warum der Eintrag falsch ist
… ist das bei euch auch so?
Das kommt bei mir nirgendwo vor. Bei mir steht 10.16.0.0/12 was auch
richtig ist. Irgendwo ist bei Dir in der Konfiguration die Netzmaske falsch
eingegeben.
Die anderen kommen aus /etc/linuxmuster/subnets auf dem server.
Wie allerdings “GRÜN (10.16.1.0/24)” erzeugt wird, kann ich dir nicht sagen - das ist bei meinem IPFire die Definition von GRÜN und weil mir das zu wenig war, habe ich (Firewallgruppen -> Netzwerke) “allegruene” erzeugt.
Ich hatte das mal wohl für eine Firewallregel gewollt. Sehe aber gerade, dass ich das gar nicht mehr verwende - aber ich habe auch kein OpenVPN.
Das habe ich gerade ausprobiert und erhalte dann als Fehlermeldung: „Das IST das grüne Netz!“ (obwohl es ja offensichtlich bei mir nicht so ist, da das Subnetz und die Maske bei mir viel kleiner als bei dir sind. Anschließend habe ich aber immerhin ein 10.16.1.0/24 auf deine Art & Weise erzeugen können. Immerhin…
Ich habe die Stelle gefunden:
ssh ipfire
cd /var/ipfire/ethernet
cat settings
Beir mir steht da aus unbekannten Gründen:
GREEN_ADDRESS=10.16.1.254
GREEN_NETMASK=255.255.255.0 <<< ENTWEDER HIER ZU KLEIN
GREEN_NETADDRESS=10.16.0.0 <<< ODER HIER MUSS EINE 1 HIN
GREEN_BROADCAST=10.16.1.255
Könnte das evtl nochmal jemand, der ebenfalls Subnetze benutzt, mit seinen Einstellungen vergleichen und den richtigen Eintrag hier posten? Danke…
OK, damit würde ich den Bereich erweitern aber mich würde interessieren, welche Einstellung hier denn nun die richtige ist? Oder steht das bei dir tatsächlich so da??