OpenVPN -- bridges -- Firewall -- Netzwerkproblem - Security

This is a discussion on OpenVPN -- bridges -- Firewall -- Netzwerkproblem - Security ; Hallo, ich habe folgendes Problem, wirklich seltsam: OpenVPN Netzwerk mit Defaultroute über Openvpn (tap Interface im bridge modus). System: debian. OpenVPN server: eth0, tap0 --> zu br0 gebridged --> kommt mit ping direkt ins Internet, und ist durch öffentl. IP ...

+ Reply to Thread
Results 1 to 2 of 2

Thread: OpenVPN -- bridges -- Firewall -- Netzwerkproblem

  1. OpenVPN -- bridges -- Firewall -- Netzwerkproblem

    Hallo,

    ich habe folgendes Problem, wirklich seltsam:

    OpenVPN Netzwerk mit Defaultroute über Openvpn (tap Interface im bridge
    modus). System: debian.
    OpenVPN server:
    eth0, tap0 --> zu br0 gebridged --> kommt mit ping direkt ins Internet,
    und ist durch öffentl. IP auch anbingbar
    eth1 --> Privates netz (192.168.10.1)

    OpenVPN client:
    eth0 --> zu br0 gebridged (192.168.0.8)
    eth1 (192.168.10.8) --> darufber wird tap100 aufgebaut und
    funktioniert --> Internet Verbindung mit default route steht
    die öffentliche IP Adresse des clients ist wenn ich die Firewall
    freischalte auch mögllich.
    Sprich die öffentl. IP Adressen des Servers und des Clienets sind aus
    dem Internet anpingbar, der client kann den server anpingen.

    Aber der Server kann den client nicht anbingen.
    Auswertung mit "iptraf -u" ergab ergab:
    Die packete verlassen den Server über tap0 interface, und kommen als
    "echo req" auf dem tap100 Interface an.
    Der client wiederrum sendet die Antwort (reply) nicht auf tap100
    interface, sondern versucht auf eth1 zusenden, was durch firewall gesperrt
    ist.
    Pingt jedoch ein client aus dem internet über diese bridge den client
    an, funktioniert ist. so wie es soll, nur nicht vom OpenVPN server.


    Woran liegt dies, und womit kann man dieses Problem lösen.

    Viele Grüße


    Markus


    ich denke es ist evtl. ein Netzwerk struktur Problem:
    OpenVPN Server: "route -n"
    212.21.160.0 0.0.0.0 255.255.255.224 U 0 0
    0 br0
    192.168.10.0 0.0.0.0 255.255.255.0 U 0 0
    0 eth1
    0.0.0.0 212.21.160.1 0.0.0.0 UG 0 0
    0 br0

    "brctl show":
    bridge name bridge id STP enabled
    interfaces
    br0 8000.00e07de0dea2 yes eth0

    tap0

    tap1




    OpenVPN Client: "route -n"
    212.21.160.20 192.168.10.1 255.255.255.255 UGH 0 0
    0 eth1
    212.21.160.0 0.0.0.0 255.255.255.224 U 0 0
    0 tap100
    192.168.0.0 0.0.0.0 255.255.255.0 U 0 0
    0 br0
    192.168.10.0 0.0.0.0 255.255.255.0 U 0 0
    0 eth1
    0.0.0.0 212.21.160.20 128.0.0.0 UG 0 0
    0 tap100
    128.0.0.0 212.21.160.20 128.0.0.0 UG 0 0
    0 tap100
    0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0
    0 eth1

    "brctl show":
    bridge name bridge id STP enabled
    interfaces
    br0 8000.0008544f8c61 no eth0


    OpenVPN Server config:
    port 18156
    proto tcp
    dev tap0
    ;ca isp_ca.crt.pem
    ca isp_customer_ca.crt.pem
    cert gw2.etcconnect.net.crt.pem
    key gw2.etcconnect.net.key.pem
    dh dh1024.pem
    crl-verify isp_customer_ca.crl


    server-bridge 212.21.160.20 255.255.255.224 212.21.160.21 212.21.160.29

    ifconfig-pool-linear
    ifconfig-pool-persist kunden.txt

    learn-address ./learn-address.sh
    push "redirect-gateway def1"
    keepalive 10 120
    tls-auth tls-auth.key 0
    cipher DES-EDE3-CBC
    comp-lzo
    max-clients 20
    status status-defaultroute.log
    status-version 2
    log-append openvpn-defaultroute.log
    verb 3

    management 127.0.0.1 61518

    client-connect ./client-connect.sh
    client-disconnect ./client-disconnect.sh
    ;client-config-dir client-config

    up ./bridge_start.sh
    down ./bridge_stop.sh










  2. Re: OpenVPN -- bridges -- Firewall -- Netzwerkproblem

    "ss" (06-11-23 10:55:20):

    > Hallo,


    Hallo. Du hast da etwas verfehlt. Zum einen ist diese Newsgroup
    englisch, zum zweiten ist dein Problem viel mehr ein Problem in der
    Konfiguration als ein Sicherheitsproblem.

    Stelle deine Frage nochmal in 'de.comm.internet.misc'.


    Regards,
    E.S.

+ Reply to Thread