Rechner will an ihn geschickte Pakete nicht
Hallo Liste,
ich kämpfe gerade mit der Einrichtung eines OpenVPN-Netzwerks als
"sicheres" Gateway ins Netz.
Das Problem ist, dass der Client (Hermes) zwar Pakete ins Internet
schicken kann (über das VPN), und das Gateway dieses korrekt maskiert
und zurückkommende Pakete auch zurückschickt. Hermes scheint diese
Pakete dann aber nicht mehr zu wollen; Wireshark zeigt sie noch an,
aber zum Beispiel in der telnet-Session kommt nichts an.
Systeme sind Debian Etch (Server) bzw. Testing (Client).
Ein Ping zu Google schlägt fehl, ein traceroute tut dagegen ganz
wunderbar.
Meine Konfiguration sieht wie folgt aus:
Server/OpenVPN:
################################################################
port 1195
proto udp
dev tun
ca 43/xxx.crt
cert 43/xxx.crt
key 43/xxx.key
dh 43/xxx.pem
server 10.43.0.0 255.255.255.0
ifconfig-pool-persist 43/xxx.txt
client-to-client
keepalive 5 240
tls-auth 43/xxx.key 0
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status xxx.log
log-append xxx.log
verb 3
push "redirect-gateway def1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
################################################################
Client/OpenVPN:
################################################################
client
dev tun
proto udp
remote y.y.y.y 1195
nobind
user nobody
group nogroup
persist-key
persist-tun
mute-replay-warnings
ca xxx.crt
cert xxx.crt
key xxx.key
ns-cert-type server
tls-auth xxx.key 1
comp-lzo
################################################################
Die folgenden iptables-Regeln richtete ich auf dem Server ein (Masquerading
will nicht, deshalb SNAT):
################################################################
iptables -t nat -A POSTROUTING -p tcp -o venet0 -j SNAT --to-source y.y.y.y -s 10.43.0.0/24
iptables -t nat -A POSTROUTING -p udp -o venet0 -j SNAT --to-source y.y.y.y -s 10.43.0.0/24
################################################################
ifconfig/Server:
################################################################
lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1230333768 errors:0 dropped:0 overruns:0 frame:0
TX packets:1631482454 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:1146911290 (1.0 GiB) TX bytes:1101818907 (1.0 GiB)
tun0 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.43.0.1 P-z-P:10.43.0.2 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:2217 errors:0 dropped:0 overruns:0 frame:0
TX packets:2203 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:10
RX bytes:110584 (107.9 KiB) TX bytes:154774 (151.1 KiB)
venet0 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:127.0.0.1 P-z-P:127.0.0.1 Bcast:0.0.0.0 Maske:255.255.255.255
UP BROADCAST PUNKTZUPUNKT RUNNING NOARP MTU:1500 Metric:1
RX packets:406528 errors:0 dropped:0 overruns:0 frame:0
TX packets:393574 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:53647546 (51.1 MiB) TX bytes:74205011 (70.7 MiB)
venet0:0 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:y.y.y.y P-z-P:81.169.142.39 Bcast:0.0.0.0 Maske:255.255.255.255
UP BROADCAST PUNKTZUPUNKT RUNNING NOARP MTU:1500 Metric:1
################################################################
ifconfig/Client:
################################################################
eth0 Link encap:Ethernet HWaddr 00:16:d3:2f:62:b3
inet addr:192.168.2.13 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:576 Metric:1
RX packets:1420 errors:24 dropped:0 overruns:0 frame:24
TX packets:1197 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:173289 (169.2 KiB) TX bytes:147536 (144.0 KiB)
Interrupt:177
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:400 (400.0 B) TX bytes:400 (400.0 B)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.43.0.6 P-t-P:10.43.0.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:172 errors:0 dropped:0 overruns:0 frame:0
TX packets:180 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:10548 (10.3 KiB) TX bytes:12243 (11.9 KiB)
################################################################
route/Server:
################################################################
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.43.0.2 * 255.255.255.255 UH 0 0 0 tun0
191.255.255.1 * 255.255.255.255 UH 0 0 0 venet0
10.43.0.0 10.43.0.2 255.255.255.0 UG 0 0 0 tun0
default 191.255.255.1 0.0.0.0 UG 0 0 0 venet0
################################################################
route/Client:
################################################################
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.43.0.5 * 255.255.255.255 UH 0 0 0 tun0
y.y.y.y 192.168.2.1 255.255.255.255 UGH 0 0 0 eth0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth0
10.43.0.0 10.43.0.5 255.255.255.0 UG 0 0 0 tun0
default 10.43.0.5 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.43.0.5 128.0.0.0 UG 0 0 0 tun0
default 192.168.2.1 0.0.0.0 UG 0 0 0 eth0
################################################################
traceroute/Client->Google:
################################################################
traceroute to google.de (66.249.93.104), 30 hops max, 40 byte packets
1 10.43.0.1 (10.43.0.1) 78.009 ms 85.501 ms 94.455 ms
2 10.169.10.16 (10.169.10.16) 100.554 ms 113.180 ms 121.133 ms
3 85.214.0.177 (85.214.0.177) 123.131 ms 130.924 ms 138.548 ms
4 85.214.0.74 (85.214.0.74) 146.362 ms 153.411 ms 161.365 ms
5 85.214.1.254 (85.214.1.254) 180.522 ms 192.104 ms 195.630 ms
6 de-cix10.net.google.com (80.81.192.108) 205.855 ms 122.457 ms 91.386 ms
7 209.85.255.170 (209.85.255.170) 98.580 ms 105.740 ms 113.198 ms
8 72.14.232.208 (72.14.232.208) 128.755 ms 209.85.250.140 (209.85.250.140) 134.581 ms 142.511 ms
9 209.85.248.79 (209.85.248.79) 154.822 ms 72.14.232.141 (72.14.232.141) 173.167 ms 176.175 ms
10 72.14.233.81 (72.14.233.81) 176.191 ms 184.155 ms 72.14.233.83 (72.14.233.83) 99.465 ms
11 216.239.47.229 (216.239.47.229) 112.001 ms 117.101 ms 132.775 ms
12 ug-in-f104.google.com (66.249.93.104) 103.174 ms 108.831 ms 116.783 ms
################################################################
ping/Client->Google:
################################################################
PING google.de (72.14.221.104) 56(84) bytes of data.
--- google.de ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1010ms
################################################################
Kann mir in dieser Gruppe vielleicht jemand helfen?
Grüsse,
Claudius
--
Mail: nfs_2007@chubig.net ICQ: 224491597 ,= ,-_-. =.
Google: clhubig@googlemail.com SIP: x2017@ekiga.net ((_/)o o(\_))
MSN: claudiushubig@passport.com Jabber: x2017@jabber.ccc.de `-'(. .)`-'
Yahoo: claudiushubig@yahoo.de HTTP: http://www.chubig.net \_/ GNU
Reply to: