1. Ich verstehe nicht ganz wie du den Server durch einen VPN "schützen" willst.
Was gibt es daran nicht zu verstehen? Ich stelle eine ovpn Verbindung vom Server zu ovpn.to her, sodass eingehende Anfragen über den Server von ovpn.to umgeleitet werden.
Dort kann ich bis zu 3 Ports auf meinen Server durchschalten.
Da der Server nach dem Herstellen der Verbindung im Netz von ovpn.to hängt müßtest du ggf. mit SSH über die Adresse schießmichtot.ovpn.to dann gehen. Das muß dann aber funktionieren.
Das habe ich nicht getestet, ich vermute aber dass es ohne weiteres klappt.
Jetzt kommt aber das Problem, dass ich dafür mehr als drei freigeschaltete Ports bräuchte.
Im Grunde ist mir klar, dass das tun0 Device das vorhandene ung Device ersetzt, aber ich verstehe nicht warum dann nichtmal mehr eingehende Verbindungen durchkommen.
Das ist bei mir daheim auf dem lokalen Rechner anders gewesen, wobei da natürlich auch die Einwahl ein Router vornimmt und die Anfragen quasi aus dem Lan kommen.
ädit: Ich hab mir jetzt mal angeschaut wie dank der ovpn.to Server Configs überhaupt geroutet wird.
Mittlerweile muss man das ja nicht mehr von Hand machen, sondern es reicht der einfach Eintrag: topology subnet in der Config.
Das führt dann zu folgendem Routing:
Thu May 10 11:40:27 2012 us=872659 ROUTE default_gateway=79.141.160.1
Thu May 10 11:40:27 2012 us=873774 TUN/TAP device tun0 opened
Thu May 10 11:40:27 2012 us=873805 TUN/TAP TX queue length set to 100
Thu May 10 11:40:27 2012 us=873847 /sbin/ifconfig tun0 172.16.46.239 netmask 255.255.240.0 mtu 1
500 broadcast 172.16.47.255
Thu May 10 11:40:27 2012 us=876755 /etc/openvpn/update-resolv-conf tun0 1500 1558 172.16.46.239
255.255.240.0 init
Thu May 10 11:40:27 2012 us=880255 /sbin/route add -net 196.46.189.162 netmask 255.255.255.255 g
w 79.141.160.1
Thu May 10 11:40:27 2012 us=883134 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 172.16.32.1
Thu May 10 11:40:27 2012 us=887116 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 172.16.32
So jetzt habe ich mir gedacht, dass ich das Routing lieber selber übernehme, denn die eingehenden Verbindungen kommen vermutlich deshalb nicht an, wei lder ovpn.to Server als default Gateway gesetzt wird?
Stattdessen möchte ich nur gezielt selbst die Ports weiterleiten, die ich auch wirklich brauche.
Das Problem ist jetzt, dass sobald ich den Punkt topology subnet rausnehme, ein ifconfig Fehler kommt, vermutlich weil Serverseitig irgendwas eingestellt ist, das ein eigenes Routing nicht erlaubt?
ädit: So ich habe es nun geschafft, das sich lediglich die Verbindung herstellt, aber kein Routing übernommen wird.
Das ganze funktioniert mittels "route-noexec" in der Serverconfig.
Jetzt stehe ich vor der Heruasfoerung mein eigenes Routing zu stricken und bin damit zugegebenermaßen mal wieder überfordert
Folgende Konfiguration ist gegeben:
tun0 Device:
IP: xxx.xxx.xxx.xxx
Subnetmaske: 255.255.255.240
eth0 Device:
IP: yyy.yyy.yyy.yyy
Subnet: 255.255.255.0
Nehmen wie mal an, ich will alle Anfragen die über Port 13243 auf dem tun0 device ankommen annehmen:
#Leitet alles was per Port 13243 reinkommt um
$FW -t nat -A PREROUTING -i tun0 -p tcp --dport 13243 -j DNAT --to 127.0.0.1
$FW -t nat -A PREROUTING -i tun0 -p udp --dport 13243 -j DNAT --to 127.0.0.1
Im Gegenzu alles rauslassen:
#Laesst alles in's VPN durch
$FW -A FORWARD -i eth0 -o tun0 -s xxx.xxx.xxx.xx -p tcp -j ACCEPT
$FW -A FORWARD -i eth0 -o tun0 -s xxx.xxx.xxx.xx -p udp -j ACCEPT
Aber leidet klappts nicht, geht nicht durch.
Hat wer einen Ansatz?
