Unix Routing (iptables, ip route...)

    This site uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More details

      Unix Routing (iptables, ip route...)

      Hallo zusammen,

      gibt es im Forum Leute, die sich mit den im Titel erwähnten Gebieten auskennen? Ich habe bei mir zu Hause ein "Routing-Problem" und bräuchte dabei etwas Unterstützung. Bevor ich aber groß aushole wollte ich wissen, ob es "Spezialisten" gibt, die mir dann auch helfen können :)

      Hier das Problem mal ganz grob beschrieben:

      - kleines Netzwerk
      - DHCP
      - Internet Gateway (Fritzbox)
      - VPN Gateway (Raspberry, permanente VPN Verbindung)

      Ich route meinen Traffic aktuell über den VPN Tunnel, was auch gut funktioniert (VPN Gateway wird als Default Gateway per DHCP verteilt). Ich habe aber auch Services im Netzwerk laufen, die ich von Außen (Internet) erreichen muss (Webserver usw.). Ich bekomme es nicht hin, dass wenn von Außen eine Anfrage an den Webserver (ebenfalls ein Raspberry im Netzwerk) geht (über die Fritzbox), er diese auch wieder über dieses Gateway beantwortet. Er geht dann, logischerweise, über das VPN Gateway, was aber die Kommunikation unterbricht (da andere IP). Ich vermute, man kann dies mit etwas Geschick über iptables und die ip routes unter Debian lösen, aber ich komme nach 3 Tagen vergebener Liebesmühe leider nicht auf die Lösung.

      Falls jemand Tipps hat oder helfen kann, führe ich das Problem und meine bisherigen Lösungsstrategien gerne aus.

      Danke!

      Gruss
      Vorweg...
      Bin kein Spezialist!

      VPN ist immer so eine Sache. Vermutlich bauen sich die meisten mit "Halbwissen" da ein schönes Eigen"tor".
      Somit sei erstamal froh, wenn du selbst nicht dran kommst. Dann ist offensichtlich (noch) nicht versehentlich alles offen.

      Klar ist das deine Fritzbox das dahinter geschaltete Netzwerk natürlich dicht hält.
      Da müsstest du dann tätig werden und die gewünschte Ports öffnen.
      Dann beginnt aber schon das Dilemma.
      Du möchtest eine raspi deine Netzwerk/VPN realisieren lassen, die aber erst nach Fritzbox kommt.

      Jetzt kann man sich aus der Ferne nur die Zunge verbrennen.
      Egal wie viel Spezialist oder nicht.
      Niemand kann nachverfolgen was du vor Ort machst.

      Ich frage mal so vorweg
      Warum machst du das nicht direkt via der AVM internen Tools?

      Grüße
      Servus,

      erstmal danke für die Antwort!

      Ich versuche mal nach und nach Deine Fragen zu beantworten:

      1. bevor ich meinen Verkehr über das VPN habe laufen lassen hatte ich bereits die Zugriffe (inklusive Port-Freigaben) über die Fritzbox aktiviert, das heißt es ist jetzt sicher nicht mehr offen als vorher
      2. der VPN Tunnel (Cyberghost) erlaubt keinen eigehenden Traffic, daher da kein Problem
      3. warum nicht über Fritzbox: ich möchte mich gerne von der Fritzbox-Abhängigkeit lösen. Ich habe bereits DHCP und DNS Server verlagert, nun kommt noch der letzte Punkt des Routings. Weiterhin spielt auch die Leistungsfähigkeit der Fritzbox eine Rolle. Wenn viel über VPN geht, dann braucht es auch etwas an Rechenkraft

      Hoffe das beantwortet Deine Fragen.

      Gruss
      Ich hab zwar keine Ahnung von VPN aber ich hab mal ein bisschen gegoogelt und meine, dass das dir helfen könnte. Wenn ich das richtig verstehe bekommt der Apache eine extra Route eingerichtet, mit der er dann mit dem Internet ohne VPN reden kann.....

      serverfault.com/questions/7870…-connecting-to-vpn/787023

      Ich kann grundsätzlich deinen Denkansatz nachvollziehen, die Fritte aus der Verantwortung zu nehmen, weil ein DHCP unter Linux viel mehr kann als nur IP Adressen zu vergeben.... (beispielsweise) und man hat auch mehr Kontrolle, was die da so treiben, DHCP DNS etc....
      Danke Dir für die Mühe, allerdings ist die Lösung nicht genau das was ich suche.

      Ich könnte den Webserver natürlich komplett über die Fritzbox laufen lassen (ist aktuell sogar so), dazu müsste ich nur ein anderes Gateway eingeben. Mein Ziel ist es aber, dass eingehende Verbindungen über die Fritzbox beantwortet werden (denn darüber kommen diese ja auch), neue Verbindungen (wie Aufrufe der Webserver Maschine ins Internet) über das VPN Gateway gehen. Und genau hier liegt die Krux: wie bringt man der Webserver Maschine das bei :)

      Gruss

      msrx111 wrote:

      Ich kann grundsätzlich deinen Denkansatz nachvollziehen, die Fritte aus der Verantwortung zu nehmen, weil ein DHCP unter Linux viel mehr kann als nur IP Adressen zu vergeben.... (beispielsweise) und man hat auch mehr Kontrolle, was die da so treiben, DHCP DNS etc....


      Diesen Teil Deines Beitrages habe ich überlesen sorry!

      Es ist verblüffend was man unter Linux lediglich mit einem Raspberry Alles machen kann... Ich stelle gerade mein Netzwerk komplett auf diese kleinen Helfer um und habe bereits folgende Systeme am Laufen:

      Hausautomation: ein Raspberry mit FHEM, der praktisch alle Automationen im Haus steuert (und davon haben wir wirklich viele :)) Zustäzlich läuft ein Webserver, mit dem ich von Außen auf das Web-Frontend komme (https + Domain + Login).
      DNS: ein Raspberry mit piHole. Ich wusste gar nicht mehr wie schnell das Internet ohne Werbung ist :) piHole filtert auf DNS Ebene böse Werbung raus. Das beschleunigt nicht nur die Übertragung sondern auch das Rendern im Browser und das Scrolling. Natürlich werden bestimmte Seiten als "Ausnahmen" mit aufgenommen :)
      VPN Server: ab und zu braucht es einen Zugriff auf das interne Netz über Internet. Dafür habe ich einen Raspberry, mit dem ich mich über OpenVPN oder IPSec (Android) direkt verbinden kann und auf Alles in meinem Netz zugreifen kann.
      VPN Gateway: ein Raspberry der jeglichen Verkehr als Default Gateway über eine dauerhafte VPN Verbindung routet. Eine Alternative wäre ein Proxy gewesen, aber ich habe keinen Weg gefunden auf allen Geräten die Proxy Konfiguration automatisiert über DHCP oder WPAD zu verteilen. Daher die Entscheidung das über ein Gateway zu machen. Zusätzlich habe ich hier noch Observium laufen, womit ich alle Systeme im Haus überwache.

      Habe noch weitere kleine Helfer, die aber sehr spezielle Aufgaben erledigen (Keybar, TimeServer usw).

      Alles in allem kann ich sagen, dass die Fritzbox nicht annährend die Möglichkeiten bietet wie man sie hat, wenn man sich damit etwas beschäftigt. Aber für jemanden, der will, dass es einfach funktioniert, ist natürlich die Fritzbox ein probates Mittel.

      Gruss
      Auf den Punkt gebracht
      Fritzbox = Baumarktreceiver
      Raspberry = Enigma2 Receiver

      Wobei das nicht unbedingt ein Raspberry sein muß. Da geht jede andere Linuxkiste auch. Aber Raspi ist halt günstig und von der Power her, schon ganz gut, mit wenig Stromverbrauch.
      ____
      Hans



      Achtung: Kein Support über private Nachrichten!

      Edision Optimuss OS1+, Spycat, Zgemma H5.2S+, Zgemma H7C
      TV - Hisense Ultra HD, Astra 19,2° - Unicable LNB


      zeini wrote:

      Auf den Punkt gebracht
      Fritzbox = Baumarktreceiver
      Raspberry = Enigma2 Receiver

      Netter Vergleich, passt irgendwie :)

      zeini wrote:

      Wobei das nicht unbedingt ein Raspberry sein muß. Da geht jede andere Linuxkiste auch. Aber Raspi ist halt günstig und von der Power her, schon ganz gut, mit wenig Stromverbrauch.

      Absolut richtig.

      Nach langer Suche habe ich endlich einen Weg gefunden, wie ich mein Routing Problem lösen kann. Dabei geholfen hat mir dieser Link:

      linuxquestions.org/questions/l…c-port-and-target-868435/

      Dort wird im Endeffekt beschrieben, wie man Pakete markieren kann und diese dann auf andere Gateways umleiten kann. Eigentlich genau das, was ich gesucht habe. Jetzt kommuniziert mein Webserver sauber über VPN, beantwortet aber Anfragen an Port 443 über die Fritzbox.

      Vielleicht hilft es ja jemandem :)

      Danke allen, die sich mit dem Problem beschäftigt haben!

      Gruss
      Ich hab einen Fileserver, der mit Debian läuft. Der macht den DHCP den DNS, den Musikserver, den oscam-server, den Fileserver für Linux, Enigma2, Android und Windows. Alles kein Hexenwerk. Der sichert meine Daten und die meiner Freundin, doppelt auf mehreren Platten.... Den Raspi hab ich meiner Schwiegermutter gegönnt..... Aber für mich fehlt da USB3 dran.... Aber super cooles Teil.... Mein Fileserver ist ein Pentium4 aus der Bucht, hat mit SSD fürs System, serieller Karte und USB3 Karte rund 100€ gekostet. Da hängen vier 3 TB Platten über USB 3 dran. Das tut es..... Aufnehmen mit Enigma 2 aufs NAS geht ohne Probleme beispielsweise oder Musikstreaming vom NAS zu Enigma2 auch....

    Unsere Partnerboards

    MOSC
    Flag Counter