Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Das schwierige Thema VPN!
Post Reply
wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 11th, 2018, 7:03 am

Hallo,
folgendes Szenario bringt mich zur Verzweiflung: Anbindung eines Asus RT-AC58U Routers in der Außenstelle via OpenVPN mit der Zentrale (IPFIRE)

Setup Zentrale:
->Fritzbox->IPFire->grünes Netz (192.168.74.0/24)

Setup Außenstelle:
->Speedport->Asus-> 192.168.76.0/24

Die jeweils vor dem VPN befindlichen Router haben eine Portweiterleitung eingerichtet. Eine VPN Verbindung kommt auch meines Erachtens nach sauber zustande. (Sowohl IPFire als auch Asus melden erfolgreiche Verbindung siehe Logs)
Für das VPN-Netz habe ich in der IPFire Firewall sämtlichen Verkehr von und zum grünen Netz erlaubt.

Nun ist es aber so, dass ich keinen erfolgreichen Ping absetzen kann.
BTW: Eine Roadwarrior Verbindung auf einem Client klappt Tadellos, jedoch benötige ich eine n2n Verbindung um mehrere Geräte einzubinden.

Hier mal sämtliche Konfigurationen und Log

Server.conf

Code: Select all

# IPFire n2n Open VPN Server Config by ummeegge und m.a.d

# User Security
user nobody
group nobody
persist-tun
persist-key
script-security 2
# IP/DNS for remote Server Gateway
remote REMOTE_IP_ADRESS
float
# IP adresses of the VPN Subnet
ifconfig 10.10.1.1 10.10.1.2
# Client Gateway Network
route 192.168.76.0 255.255.255.0
up "/etc/init.d/static-routes start"
# tun Device
dev tun
#Logfile for statistics
status-version 1
status /var/run/openvpn/RemoteOffice-n2n 10
# Port and Protokol
port 1195
proto udp
# Paketsize
#tun-mtu 1500
fragment 1300
mssfix
comp-lzo no
# Auth. Server
tls-server
#tls-auth /var/ipfire/ovpn/certs/ta.key 0
ca /var/ipfire/ovpn/ca/cacert.pem
cert /var/ipfire/ovpn/certs/servercert.pem
key /var/ipfire/ovpn/certs/serverkey.pem
dh /var/ipfire/ovpn/ca/dh1024.pem
# Cipher
cipher AES-256-CBC
# HMAC algorithm
auth SHA512
# Debug Level
verb 3

client.ovpn

Code: Select all

client
dev tun
port 1195
proto udp
remote ZENTRALE_IP 1195
ifconfig 10.10.1.2 10.10.1.1
route 192.168.74.0 255.255.255.0
float
fragment 1300
comp-lzo no
mssfix
keepalive 10 60
remote-cert-tls server
tls-client
cipher AES-256-CBC
auth SHA512
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
verb 3
resolv-retry infinite
nobind
Server.log

Code: Select all

08:21:38	RemoteOfficen2n[18352]:	TLS: Initial packet from [AF_INET]REMOTE_IP:53755, sid=5e650b3f c9965efb
08:21:38	RemoteOfficen2n[18352]:	VERIFY OK: depth=1, C=DE, ST=SH, L=Kiel, O=Zentrale, CN=Zentrale CA
08:21:38	RemoteOfficen2n[18352]:	VERIFY OK: depth=0, C=DE, ST=SH, O=Zentrale, CN=Felix
08:21:39	RemoteOfficen2n[18352]:	peer info: IV_VER=2.3.2
08:21:39	RemoteOfficen2n[18352]:	peer info: IV_PLAT=linux
08:21:39	RemoteOfficen2n[18352]:	WARNING: 'ifconfig' is present in local config but missing in remote config, loc al='ifconfig 10.10.1.1 10.10.1.2'
08:21:39	RemoteOfficen2n[18352]:	Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
08:21:39	RemoteOfficen2n[18352]:	Outgoing Data Channel: Using 512 bit message hash 'SHA512' for HMAC authenticati on
08:21:39	RemoteOfficen2n[18352]:	Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
08:21:39	RemoteOfficen2n[18352]:	Incoming Data Channel: Using 512 bit message hash 'SHA512' for HMAC authenticati on
08:21:39	RemoteOfficen2n[18352]:	Control Channel: TLSv1, cipher TLSv1.0 ECDHE-RSA-AES256-SHA, 2048 bit RSA
08:21:39	RemoteOfficen2n[18352]:	[Felix] Peer Connection Initiated with [AF_INET]REMOTE_IP:53755
08:21:40	RemoteOfficen2n[18352]:	WARNING: this configuration may cache passwords in memory -- use the auth-nocach e option to prevent this
08:21:40	RemoteOfficen2n[18352]:	Initialization Sequence Completed
Außenstelle.log

Code: Select all

Oct 11 08:21:44 openvpn[10728]: UDPv4 link local: [undef]
Oct 11 08:21:44 openvpn[10728]: UDPv4 link remote: [AF_INET]ZENTRALE_IP:1195
Oct 11 08:21:44 openvpn[10728]: TLS: Initial packet from [AF_INET]ZENTRALE_IP:1195, sid=f9130deb bcf9e434
Oct 11 08:21:44 openvpn[10728]: VERIFY OK: depth=1, C=DE, ST=SH, L=Kiel, O=Zentrale, CN=Zentrale CA
Oct 11 08:21:44 openvpn[10728]: Validating certificate key usage
Oct 11 08:21:44 openvpn[10728]: ++ Certificate has key usage  00a0, expects 00a0
Oct 11 08:21:44 openvpn[10728]: VERIFY KU OK
Oct 11 08:21:44 openvpn[10728]: Validating certificate extended key usage
Oct 11 08:21:44 openvpn[10728]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Oct 11 08:21:44 openvpn[10728]: VERIFY EKU OK
Oct 11 08:21:44 openvpn[10728]: VERIFY OK: depth=0, C=DE, ST=SH, O=Zentrale, CN=ZENTRALE_IP
Oct 11 08:21:45 openvpn[10728]: WARNING: 'ifconfig' is present in remote config but missing in local config, remote='ifconfig 10.10.1.2 10.10.1.1'
Oct 11 08:21:45 openvpn[10728]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Oct 11 08:21:45 openvpn[10728]: Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Oct 11 08:21:45 openvpn[10728]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Oct 11 08:21:45 openvpn[10728]: Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Oct 11 08:21:45 openvpn[10728]: Control Channel: TLSv1, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-SHA, 2048 bit RSA
Oct 11 08:21:45 openvpn[10728]: [ZENTRALE_IP] Peer Connection Initiated with [AF_INET]ZENTRALE_IP:1195
Oct 11 08:21:48 openvpn[10728]: SENT CONTROL [ZENTRALE_IP]: 'PUSH_REQUEST' (status=1)
Oct 11 08:21:48 openvpn[10728]: PUSH: Received control message: 'PUSH_REPLY'
Oct 11 08:21:48 openvpn[10728]: Preserving previous TUN/TAP instance: tun15
Oct 11 08:21:48 openvpn[10728]: NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
Oct 11 08:21:48 openvpn[10728]: /sbin/route del -net 192.168.74.0 netmask 255.255.255.0
Oct 11 08:21:48 openvpn[10728]: Closing TUN/TAP interface
Oct 11 08:21:48 openvpn[10728]: /sbin/ifconfig tun15 0.0.0.0
Oct 11 08:21:49 openvpn[10728]: TUN/TAP device tun15 opened
Oct 11 08:21:49 openvpn[10728]: TUN/TAP TX queue length set to 100
Oct 11 08:21:49 openvpn[10728]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Oct 11 08:21:49 openvpn[10728]: /sbin/ifconfig tun15 10.10.1.2 pointopoint 10.10.1.1 mtu 1500
Oct 11 08:21:49 openvpn[10728]: /sbin/route add -net 192.168.74.0 netmask 255.255.255.0 gw 10.10.1.1
Oct 11 08:21:49 openvpn[10728]: Initialization Sequence Completed
Routing Tabelle Asus

Code: Select all

Destination     Gateway         Genmask         Flags    Metric Ref    Use Type Iface
default         192.168.10.1    0.0.0.0         UG       0      0        0 WAN  eth0
10.10.1.1       *               255.255.255.255 UH       0      0        0      tun15
192.168.10.0    *               255.255.255.0   U        0      0        0 WAN  eth0
192.168.10.1    *               255.255.255.255 UH       0      0        0 WAN  eth0
192.168.74.0    10.10.1.1       255.255.255.0   UG       0      0        0      tun15
192.168.76.0    *               255.255.255.0   U        0      0        0 LAN  br0
239.0.0.0       *               255.0.0.0       U        0      0        0 LAN  br0
Tracert vom Asus

Code: Select all

traceroute to 192.168.74.3 (192.168.74.3), 30 hops max, 38 byte packets
 1  10.10.1.1 (10.10.1.1)  57.902 ms  58.415 ms  57.894 ms
 2  *  *  *
 3  *
 
Erkennt jemand hieran das Problem? Ich wäre um wirklich jeden Hinweis dankbar.

fredym
Posts: 370
Joined: November 14th, 2016, 2:45 pm

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by fredym » October 11th, 2018, 7:29 am

Hallo;
grundsätzlich:
Du erreichst von deinem Endrecher:
1. die Green1-IP des openVPN Servers
2. die tun IP des openVPN-Servers
3. die tun-IP des entfernten openVPN-Servers
4. die "green2" IP des entfernten openVPN servers
5. die (green2) IP des entfernten Rechners

..wie weit kommst du ?
Über alles hilft wenig die "Klemmstelle" zu finden
Nutze ggfs auch die traceroute Optionen mit "anderer" IP zu senden

Fred

wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 11th, 2018, 8:22 am

Vom Endrechner erreiche ich nur die lokalen Stellen.

192.168.76.1 Asus grün Außenstelle OK
10.10.1.2 tun-ip Asus OK
10.10.1.1 tun-ip entfernter Server NEIN
192.186.74.1 grüne IP entfernter Server NEIN
192.168.74.3 bekannter Host im entfernten grünem Netz NEIN

Wenn ich über einen mit dem Asus verbundenen Client eine Traceroute auf eine andere IP durchführe erhalte ich selbiges Problem:

Code: Select all

„Traceroute“ wurde gestartet …

traceroute to 192.168.74.2 (192.168.74.2), 64 hops max, 72 byte packets
 1  router.asus.com (192.168.76.1)  3.028 ms  1.318 ms  0.981 ms
 2  10.10.1.1 (10.10.1.1)  60.808 ms  59.517 ms  59.503 ms
 3  * * *
 4  * *

wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 11th, 2018, 8:44 am

Neue Erkenntnis.
Habe mich über den bestehenden Roadwarrior Zugang mal via SSH mit dem IPFire verbunden.
Aus dieser Richtung kann ich Endgeräte in der Außenstelle pingen.

Nach wie vor jedoch keinerlei Möglichkeit auf Grün in der Zentrale zuzugreifen

femi
Posts: 18
Joined: October 2nd, 2018, 9:21 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by femi » October 11th, 2018, 12:14 pm

Das gleiche Problem hatte ich auch, ich konnte immer meine Seite vom Transfernetz noch pingen, aber auf die "andere Seite" bin ich nicht gekommen. Hab dann IPsec mit Zertifikaten benutzt, das geht auch hinter der Fritzbox.

ummeegge
Community Developer
Community Developer
Posts: 4593
Joined: October 9th, 2010, 10:00 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by ummeegge » October 11th, 2018, 1:31 pm

Hallo zusammen,
schätze der Hund liegt hier

Code: Select all

Oct 11 08:21:45 openvpn[10728]: WARNING: 'ifconfig' is present in remote config but missing in local config, remote='ifconfig 10.10.1.2 10.10.1.1'
begraben. IPFire´s N2N läuft in einem P2P Mode in deiner client.ovpn ist aber folgendes zu finden

Code: Select all

...
client
...
was mir nach einem Server/Client Mode aussieht (beim N2N wäre das ein tls-client), das wären zwei unterschiedliche Arbeitsmodi für´s OpenVPN wobei N2N z.b. keine Push Direktiven kennt. Hier --> viewtopic.php?t=12348#p79297 gab´s mal was ähnliches mit event. Lösungsvorschlag allerdings ohne Rückmeldung.

UE
Image
Image
Image

wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 11th, 2018, 2:21 pm

Danke ummeegge für den Hinweis.
Jedoch besteht auch ohne "client" das Problem weiterhin und auch auch die Warning wird geworfen ???

Habe nun tiefergehend tcpdump auf dem ipfire verwendet und neue Rückschlüsse ziehen können.

Auf dem interface tun1 kommt der ping an.

Code: Select all

16:16:16.451869 IP 10.10.1.2 > 192.168.74.3: ICMP echo request, id 1, seq 626, length 40
16:16:21.158069 IP 10.10.1.2 > 192.168.74.3: ICMP echo request, id 1, seq 627, length 40
16:16:26.159694 IP 10.10.1.2 > 192.168.74.3: ICMP echo request, id 1, seq 628, length 40
16:16:31.464597 IP 10.10.1.2 > 192.168.74.3: ICMP echo request, id 1, seq 629, length 40
geht der ping vom IPfire aus bekomme ich auch eine Rückantwort

Code: Select all

16:17:35.949672 IP router.copyshop.lan > 192.168.76.84: ICMP echo request, id 974, seq 1, length 64
16:17:36.010955 IP 192.168.76.84 > router.copyshop.lan: ICMP echo reply, id 974, seq 1, length 64
16:17:36.950323 IP router.copyshop.lan > 192.168.76.84: ICMP echo request, id 974, seq 2, length 64
16:17:37.009487 IP 192.168.76.84 > router.copyshop.lan: ICMP echo reply, id 974, seq 2, length 64
16:17:37.950972 IP router.copyshop.lan > 192.168.76.84: ICMP echo request, id 974, seq 3, length 64
16:17:38.014371 IP 192.168.76.84 > router.copyshop.lan: ICMP echo reply, id 974, seq 3, length 64
16:17:38.951047 IP router.copyshop.lan > 192.168.76.84: ICMP echo request, id 974, seq 4, length 64
Unterschiedlich ist auf jeden Fall, dass beim Ping vom client -> grünes Netz die Transportnetz IP steht. Greif in diesem Zusammenhang evtl die OVPNBLOCK Chain des IPFire?

Code: Select all

Chain OVPNBLOCK (3 references)
target     prot opt source               destination         
RETURN     icmp --  anywhere             anywhere             ctstate RELATED
DROP       all  --  10.10.1.0/24         anywhere      

ummeegge
Community Developer
Community Developer
Posts: 4593
Joined: October 9th, 2010, 10:00 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by ummeegge » October 11th, 2018, 2:51 pm

Jo gerne,
der OVPNBLOCK greift für das Transportnetz um das Firewalling (sofern verwendet) auf die LAN IPs zu begrenzen. Dein Asus probiert dennoch zu Pullen

Code: Select all

NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
scheint mir das er auch ohne "Client" Eintrag im Server Mode arbeitet. Im oben verlinkten Topic war die Idee das du dir vom Fire aus einen Client aufmachst (regulärer Client/Server Mode) und ihn auf die externe Maschine (war da PFsense, in deinem Fall der Asus) importierst und über "IPFire hat Zugriff auf diese Netzwerke auf Clientseite" im WUI ein Netz-zu-Netz im Server Mode erstellst, aber event. findest du ja auch noch einen Modus Vivendi...

Grüsse,

UE
Image
Image
Image

wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 11th, 2018, 3:27 pm

Das mit dem Server/Client Mode könnte ich noch mal ausprobieren. Jedoch säge ich mir dabei den Ast ab, auf dem ich sitze.
Damit die Einstellungen übernommen werden, muss ich die bestehende Roadwarrior Verbindung stoppen.

Stoppen kein problem, aber wie drücke ich dann den Knopf zum starten :P

ummeegge
Community Developer
Community Developer
Posts: 4593
Joined: October 9th, 2010, 10:00 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by ummeegge » October 11th, 2018, 3:43 pm

Um dir remote einen Client zuerstellen musst du den Server nicht stoppen, beim Client generieren kannst du Details auch individuell konfigurieren (CCD). Sofern die Server Einstellungen gar nicht passen und geändern werden müssen du aber noch andere Clients dranhängen hast kannst du dir auch ein IPsec aufmachen um das OpenVPN WUI von da aus zu verwalten...

UE
Image
Image
Image

wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 11th, 2018, 3:58 pm

Ich habe meine alte Vermutung mit dem OVPNBLOCK noch nicht aufgegeben und nachgeforscht.
Die Anzahl der DROP Pakete hat sich mit jedem Ping vom remote Client ins grüne Netz erhöht. Da mir tcpdump ebenfalls angezeigt hat, dass Pakete von der Quelle 10.10.1.2 über das tun1 interface ankommen aber nie das grüne Netz erreichen, habe ich den Versuch gewagt, die IPTABLE Rule in der OVPNBLOCK Chain zu löschen.

ERGEBNIS: ES FUNKTIONIERT!

Jetzt habe ich nur noch die Frage.
Wie entsteht der Eintrag in der IPTABLE und wie kann ich diesen beeinflussen?
Warum kommt überhaupt die IP 10.10.1.2 an und nicht die IP aus dem remote Subnetz?
Welche Risiken bestehen dadurch, dass der IPTABLE Eintrag gelöscht wurde?

ummeegge
Community Developer
Community Developer
Posts: 4593
Joined: October 9th, 2010, 10:00 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by ummeegge » October 11th, 2018, 5:25 pm

Der Eintrag kommt vom firewall initscript. Wenn du dir den OVPNBLOCK deaktivierst, zerschiesst du dir das Firewalling (für die die wissen wie es geht).

UE
Image
Image
Image

fredym
Posts: 370
Joined: November 14th, 2016, 2:45 pm

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by fredym » October 11th, 2018, 7:23 pm

Hello,
routing Problem ?

...Voraussetzung für ALLE Überlegungen sind eine nach Standard Installierte IPfire (nirgenwo niux geändert)

zu openVPNBLOCK - wenn er was Blockt, stehts im Log ! (mich irritiert Asus ... läuft auf nem Asus-Router auch ein IPFire??)
Wenn was nicht durchgeht ist es oft eher falsches Routing als Firewalleinstellungen.
Außer bei denen, die immer erst "wild" an der Firewall rummmachen...
(im Standardfall mußte ich das noch NIE).
Ich gehe auch davon aus, daß du KEINE anderen Devices hast die irgendwie in irgeneiner Form eine Internetverbindung herstellen können, irgendwelche IP über DHCP vergeben usw. ...

Ansonsten... iptables listen lassen (erweitert) letzzlich blockt er "nur" das routing der VPN-Netze nach Grün , was O.K. ist... enden ja innerhalb des IPFire-Kernels (lax ausgedrückt)

Sollte (was du uns nicht verraten hast) 192.168.76.84 > router.copyshop.lan NICHT dein Internetzugriffsrouter sein....
heisst es : Gehirn einschalten - nachdenken - (was wo warum angepasst werden müsste...).

Code: Select all

192.168.76.84 > router.copyshop.lan:
Mein Bauch findet es ne merkwürdige IP für einen Internetzugangsrouter ... nicht daß der das nicht darf, Regelfall ist es aber eher nicht.


Fred

wolterens
Posts: 7
Joined: October 11th, 2018, 6:01 am

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by wolterens » October 12th, 2018, 9:55 am

Ich habe mich mal hingesetzt und das Setup genauer skizziert um möglicher Verwirrung vorzubeugen.
VPN Setup.JPG
Aktuell ist es immer noch so, dass es ohne den OVPNBLOCK Eintrag funktioniert. Dieses gepfusche aber nicht die Lösung sein soll, versuche ich es nun weiter.
Zusammenfassung des augenscheinlichen Problems:
Wenn ein Client hinter dem Asus versucht einen Client im grünen Netz zu pingen liegt nur die Transport IP 10.10.1.2 vor, die dann gemäß Regel geblockt wird.

Code: Select all

16:16:16.451869 IP 10.10.1.2 > 192.168.74.3: ICMP echo request, id 1, seq 626, length 40
16:16:21.158069 IP 10.10.1.2 > 192.168.74.3: ICMP echo request, id 1, seq 627, length 40
Aus der anderen Richtung, wenn ich vom Router einen Client im Remote Netz hinter dem Asus pinge, meldet sich der Client mit richtiger Adresse.

Code: Select all

16:17:35.949672 IP router.copyshop.lan > 192.168.76.84: ICMP echo request, id 974, seq 1, length 64
16:17:36.010955 IP 192.168.76.84 > router.copyshop.lan: ICMP echo reply, id 974, seq 1, length 64
Also die Frage:
Wie bekomme ich die IP 10.10.1.2 auf dem IPFire in eine 192.168.76.x umgewandelt
oder
Wie bekomme ich den Asus Router dazu nicht mit der 10.10.1.2 in Erscheinung zu treten?

fredym
Posts: 370
Joined: November 14th, 2016, 2:45 pm

Re: Net2Net IPfire <-> ASUS OpenVPN Verbunden aber kein Ping

Post by fredym » October 12th, 2018, 7:25 pm

Hallo,
Scheib.... Routentabelle als Grafik ...(mühsam..)
Egal...
ASUS:
routet nach 192.1168.74.0 über 10.10.1.1 hmmm ... das ist doch gar nicht vorhanden auf der Kiste ;-)
(hmm warum tun15 ? ..aber das ist egal..)
man kann natürlich NATten ...heisst aber du versteckst viele IPs hinter einer.
Ich habs bis jetzt immer mit Routing gemacht, auch wenn die Routing-Tabelle etwas größer wird ;-)
(das Forum ist voll mit Beispielen, die funktionieren)
Zur Frage OVPNBLOCK: gehe ich richtoig in der Annahme, daß du dir die Regel hast korrekt und vollständig anzeigen lassen (mit iptables command) auf meiner nicht abgeänderten Version ( also nicht Verschlimmbessert ;-) ) stört die nicht, GREEN läß eh alles rein, die Päckles gehen also zum Kernel, der sie über den Tunnel verschickt - hat ihm ja einer gesagt, auf welches dev das gepackt werden soll!. dann kommen sie entfernt an auf dem openVPN-Client am Kernel, und dort weiss er ja wohin die müssen (sollte ihm einer gesagt haben).
Deswegen ja (weiter oben) vernde traceroute (wirklich alle Optionen lesen und sinnvoll verwenden!).
solange abgesichert ist, daß openVPN auf dem I-Net-Eingangsdevice lauscht (sonst gibts keinen Tunnel)

tut auch relativ problemlos mit Bananen ud oWRt - auch wenn die "Verwaltung" anders ist, z.T. reine Handarbeit auf CLI-Ebene.

Fred

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest