Tunnel zwischen Fritzbox und OpenVPN-Server nutzen zum surfen

[Gerdchen03]

Ich habe die Ausnahme herausgenommen, weil ich so meine FB ohne Probleme aus dem VPN-Netz erreichen konnte, und sie trotzdem auch über DynDNS von außen erreichbar war. Also brauch ich sie doch im Grunde nicht, oder?
Da also DynDNS geht, kann ich mit dieser Ausnahme den PC von außen erreichen:

ip rule add from $PCIP prio 30002 table 2
ip route replace default dev dsl table 2

Durch diesen Befehl geht mein VoIP:

route add -net 83.169.182.0/24 dev dsl

Mir ist nicht ganz klar, wozu ich die Ausnahme für 192.168.178.1 noch benötige, daher hab ich sie entfernt.

 

[Gerdchen03]

Hier die Ausgabe von: strace echo "Der Mailtext" > /tmp/mail.txt mailer -s'Betreff' -f'Mir <[email protected]>' -t'Angie <[email protected]>' -m'mailinator.com' -a'user' -w'pass' -i'/tmp/mail.txt'

execve("/bin/echo", ["echo", "Der Mailtext", "mailer", "-sBetreff", "-fMir <[email protected]>", "-tAngie <[email protected]"..., "-mmailinator.com", "-auser", "-wpass", "-i/tmp/mail.txt"], [/* 245 vars */]) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|0x4000000, -1, 0) = 0x2aaad000
open("/usr/lib/freetz/libc.so.0", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/mod/lib/libc.so.0", O_RDONLY)    = -1 ENOENT (No such file or directory)
open("/lib/libc.so.0", O_RDONLY)        = 3
fstat(3, {st_mode=S_IFREG|0755, st_size=422800, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|0x4000000, -1, 0) = 0x2aaae000
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\10\0\1\0\0\0000\261\0\0004\0\0\0"..., 4096) = 4096
old_mmap(NULL, 512000, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aabe000
old_mmap(0x2aabe000, 415324, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0) = 0x2aabe000
old_mmap(0x2ab33000, 8064, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x65000) = 0x2ab33000
old_mmap(0x2ab35000, 21744, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x2ab35000
close(3)                                = 0
munmap(0x2aaae000, 4096)                = 0
stat("/lib/ld-uClibc.so.0", {st_mode=S_IFREG|0755, st_size=21528, ...}) = 0
mprotect(0x2ab33000, 4096, PROT_READ)   = 0
mprotect(0x2aabc000, 4096, PROT_READ)   = 0
ioctl(0, TIOCNXCL, {B38400 opost isig icanon echo ...}) = 0
ioctl(1, TIOCNXCL, 0x7face698)          = -1 ENOTTY (Inappropriate ioctl for device)
getuid()                                = 0
brk(0)                                  = 0x48a000
brk(0x48b000)                           = 0x48b000
write(1, "Der Mailtext mailer -sBetreff -f"..., 131) = 131
exit(0)

Um auf dem Server eine zweite openvpn-Instanz laufen zu lassen muss ich ja lediglich eine zweite server.conf anlegen, oder? Das sähe dann so aus (Die Unterschiede hab ich fett gemacht?

server.conf

local xxx.xxx.xxx.xxx
[B]port 1194[/B]
proto udp
dev tun
ca ./easy-rsa2/keys/ca.crt
[B]cert ./easy-rsa2/keys/server1.crt
key ./easy-rsa2/keys/server1.key 
dh ./easy-rsa2/keys/dh1024.pem 
server 10.8.0.0 255.255.255.0[/B]
client-config-dir ccd
ifconfig-pool-persist ./logs/ipp.txt
[B]route 192.168.178.0 255.255.255.0[/B]
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
c[B]lient-to-client[/B]
keepalive 10 120
tls-auth ./easy-rsa2/keys/ta.key 0 
comp-lzo
max-clients 15
user openvpn
group openvpn
persist-key
persist-tun
status ./logs/openvpn-status.log
log-append  ./logs/openvpn.log
verb 4
crl-verify crl.pem

server2.conf

local xxx.xxx.xxx.xxx
[B]port 1195[/B]
proto udp
dev tun
ca ./easy-rsa2/keys/ca.crt
[B]cert ./easy-rsa2/keys/server2.crt
key ./easy-rsa2/keys/server2.key
dh ./easy-rsa2/keys/dh1024.pem 
server 10.8.1.0 255.255.255.0[/B]
client-config-dir ccd
ifconfig-pool-persist ./logs/ipp.txt
[B]#route 192.168.178.0 255.255.255.0[/B]
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
[B]#client-to-client[/B]
keepalive 10 120
tls-auth ./easy-rsa2/keys/ta.key 0 
comp-lzo
max-clients 15
user openvpn
group openvpn
persist-key
persist-tun
status ./logs/openvpn-status.log
log-append  ./logs/openvpn.log
verb 4
crl-verify crl.pem

Muss ta.key auch jeweils anders sein?

 

[MaxMuster]

Also, die Ausnahme ist dafür gedacht, dass deine Box selbst sich immer durch das DSL meldet.
Damit sollte DynDNS (auf die Box selbst), VoIP und eben auch Push-Mail usw funktionieren.
Damit sie trotzdem per VPN erreichbar ist, war die Ausnahme für das 10.8.0-er Netz drin.

Der oben vorgeschlagene Test sind zwei Zeilen und damit zwei Befehle.
Erst einen Text in die Datei für den "Mail-Inhalt" schreiben, dann den Mailer mit strace aufrufen.

Die zweite Config kann sogar die gleichen Keys/Certs benutzen, sich also nur im Port unterscheiden. Du müsstest/solltest dann allerdings in der ersten Config (die mehr Rechte hat), diese Clients verbieten (wenn du für jeden Client einen Eintrag im CCD hast tut das ein "ccd-exclusive", damit können sich nur Clients anmelden, für die ein Eintrag im client-config-dir ist).

 

[Gerdchen03]

Ich hab die Ausnahmen nun wieder drin, und der DNS-Fehler scheint weg zu sein. Meine Fritzbox läuft jetzt schon seit mehreren Stunden problemlos durch. Push-Service brauchte allerdings wieder die IP des SMTP-Servers, sonst klappte es nicht.
Die zweite openvpn-Instanz läuft auch. Die Gruppe mit mehr Rechten hat den IP-Bereich 10.8.1.0 und die mit weniger den Bereich 10.8.0.0. Mit "ccd-exclusive" habe ich die Clients des 10.8.0.0-Netz aus dem anderen ausgesperrt. Allerdings funktioniert das Routing vom 10.8.0.0er Netz in das 10.8.1.0. Das heißt, dass Clients mit weniger Rechten ins Netz mit mehr Rechten gelangen. Das wollte ich ja aber gerade verhindern.

strace ergibt:

echo "Der Mailtext" > /tmp/mail.txt
strace mailer -s'Betreff' -f'Mir <[email protected]>' -t'Angie <[email protected]>' -m'mailinator.com' -a'user' -w'pass' -i'/tmp/mail.txt'

old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x2aeb9000
sendto(3, "y^\1\0\0\1\0\0\0\0\0\0\nmailinator\3com\0\0\1\0\1", 32, 0, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("83.169.185.33")}, 16) = 32
clock_gettime(CLOCK_MONOTONIC, {46109, 18905042}) = 0
poll([{fd=3, events=POLLIN|POLLRDNORM|POLLRDBAND|0x2000}], 1, 1000) = 0 (Timeout)
clock_gettime(CLOCK_MONOTONIC, {46110, 21241124}) = 0
clock_gettime(CLOCK_MONOTONIC, {46110, 21810680}) = 0
poll([{fd=3, events=POLLIN|POLLRDNORM|POLLRDBAND|0x2000}], 1, 1000) = 0 (Timeout)
clock_gettime(CLOCK_MONOTONIC, {46111, 24399602}) = 0
clock_gettime(CLOCK_MONOTONIC, {46111, 24968791}) = 0
poll([{fd=3, events=POLLIN|POLLRDNORM|POLLRDBAND|0x2000}], 1, 1000) = 0 (Timeout)
clock_gettime(CLOCK_MONOTONIC, {46112, 27671315}) = 0
clock_gettime(CLOCK_MONOTONIC, {46112, 28241526}) = 0
poll([{fd=3, events=POLLIN|POLLRDNORM|POLLRDBAND|0x2000}], 1, 1000) = 0 (Timeout)
clock_gettime(CLOCK_MONOTONIC, {46113, 31591287}) = 0
clock_gettime(CLOCK_MONOTONIC, {46113, 32179813}) = 0
poll([{fd=3, events=POLLIN|POLLRDNORM|POLLRDBAND|0x2000}], 1, 161) = 0 (Timeout)
clock_gettime(CLOCK_MONOTONIC, {46113, 194678700}) = 0
open("/dev/urandom", O_RDONLY)          = 4
read(4, "\303\247>.", 4)                = 4
close(4)

 

[MaxMuster]

Um "normales" Routing zu verhindern, müsstest du nochmal iptables bemühen:

iptables -A INPUT -s 10.8.1.0/24 -d 10.8.0.0/24 -j DROP
iptables -A INPUT -s 10.8.1.0/24 -d 192.168.178.0/24 -j DROP

Beim strace fehlt die DNS-Auflösung (strace -f zeigt auch geforkte Prozesse an), aber wenn es jetzt geht, würd' ich dafür nicht noch viel Aufwand investieren...

 

[Gerdchen03]

Müssten die iptables nicht so lauten:

iptables -A INPUT -s 10.8.0.0/24 -d 10.8.1.0/24 -j DROP
iptables -A INPUT -s 10.8.0.0/24 -d 192.168.178.0/24 -j DROP

statt:

iptables -A INPUT -s 10.8.1.0/24 -d 10.8.0.0/24 -j DROP
iptables -A INPUT -s 10.8.1.0/24 -d 192.168.178.0/24 -j DROP

Das 10.8.0.0 soll nicht ins 10.8.1.0 kommen.
Scheint aber wirkungslos zu sen. Ich hab das in die /etc/rc.local auf dem openvpn-Server eingetragen. Ist doch korrekt so, oder?

Das mit dem Push-Service passt so.

 

[MaxMuster]

Natürlich, die Netze hatte ich vertauscht.
Und ja, das sollte auf dem Server sein.

Wenn es nicht geht: Wie sehen denn die Regeln aus (iptable -L -v) ?

 

[Gerdchen03]

iptables -L -v

Chain INPUT (policy ACCEPT 77772 packets, 28M bytes)
 pkts bytes target     prot opt in     out     source               destination         
78056   28M VZ_INPUT   all  --  any    any     anywhere             anywhere            
    0     0 DROP       all  --  any    any     10.8.0.0/24          10.8.1.0/24         
    0     0 DROP       all  --  any    any     10.8.0.0/24          192.168.178.0/24    

Chain FORWARD (policy ACCEPT 131K packets, 57M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 9038   11M ACCEPT     all  --  any    tun0    anywhere             anywhere            
 6403  587K ACCEPT     all  --  tun0   any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    tun0    anywhere             anywhere            
    0     0 ACCEPT     all  --  tun0   any     anywhere             anywhere            
 131K   57M VZ_FORWARD  all  --  any    any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
72195   51M VZ_OUTPUT  all  --  any    any     anywhere             anywhere            

Chain VZ_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain VZ_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
  238 19918 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:domain
   27  1821 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpts:32768:65535
    7  1285 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpts:32768:65535
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8880
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8443
    0     0 ACCEPT     tcp  --  any    any     localhost            localhost           
    0     0 ACCEPT     udp  --  any    any     localhost            localhost           

Chain VZ_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:http
  142 21498 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere             udp spt:domain
   22   880 ACCEPT     tcp  --  any    any     anywhere             anywhere            
72026   51M ACCEPT     udp  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:8880
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:8443
    0     0 ACCEPT     tcp  --  any    any     localhost            localhost           
    0     0 ACCEPT     udp  --  any    any     localhost            localhost

Die einzigen Rechner, die sich aus dem Netz 10.8.0.0 nicht erreichen lassen, sind die von der Ausnahme:

ip rule add from $DSLIP prio 30101 table 2
ip rule add from $PCIP prio 30102 table 2

 

[MaxMuster]

VZ_INPUT scheint als erstes alles zu erlauben. Ein späteres DROP hilft dann nicht mehr.
Versuche mal "iptables -I " statt -A.

 

[Gerdchen03]

"iptables -I " geht auch nicht

 

[MaxMuster]

Dann hilf mir weiter, ich sehe deine Geräte nicht: Wie sieht die iptables-Regel jetzt aus? Sind die DROPs am Anfang der Liste eingefügt worden?

 

[Gerdchen03]

Sorry, war unüberlegt. Hier die Ausgabe von iptables -L -v:

root@v45838:/# iptables -L -v
Chain INPUT (policy ACCEPT 7022K packets, 7327M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  any    any     10.8.0.0/24          192.168.178.0/24    
    0     0 DROP       all  --  any    any     10.8.0.0/24          10.8.1.0/24         
7066K 7355M VZ_INPUT   all  --  any    any     anywhere             anywhere            

Chain FORWARD (policy ACCEPT 12M packets, 8398M bytes)
 pkts bytes target     prot opt in     out     source               destination         
80082  102M ACCEPT     all  --  any    tun0    anywhere             anywhere            
34592 2834K ACCEPT     all  --  tun0   any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    tun0    anywhere             anywhere            
    0     0 ACCEPT     all  --  tun0   any     anywhere             anywhere            
  12M 8398M VZ_FORWARD  all  --  any    any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 52 packets, 10658 bytes)
 pkts bytes target     prot opt in     out     source               destination         
5084K 2010M VZ_OUTPUT  all  --  any    any     anywhere             anywhere            

Chain VZ_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain VZ_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   13   684 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
21013 2685K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh
    1    40 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:domain
    5   294 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:domain
22982   25M ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpts:32768:65535
   49  6313 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpts:32768:65535
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8880
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8443
    0     0 ACCEPT     tcp  --  any    any     localhost            localhost           
    0     0 ACCEPT     udp  --  any    any     localhost            localhost           

Chain VZ_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   13   520 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:http
25027   26M ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:ssh
    1    40 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere             udp spt:domain
20285 2364K ACCEPT     tcp  --  any    any     anywhere             anywhere            
5039K 1982M ACCEPT     udp  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:8880
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:8443
    0     0 ACCEPT     tcp  --  any    any     localhost            localhost           
    0     0 ACCEPT     udp  --  any    any     localhost            localhost           
root@v45838:/#

 

[MaxMuster]

Keine Sache, war ja schon spät ;-)

Also die Input Chain sieht jetzt gut aus, die "DROP" Einträge sind am Anfang. Aber du kommst noch vom Netz 10.8.0.0 in das Netz 10.8.1.0?
Merkwürdig, aber dann fällt mir nicht mehr viel ein, denn du machst das doch mit mehreren OpenVPN-Instanzen? Dann müsste es meiner Meinung nach so klappen...

Du könntest es auch in der FORWARD Chain noch am Anfang einstellen, dass 10.8.0.0/24 nicht aus tun0 "raus" darf:

iptables -I FORWARD -s 10.8.0.0/24 -o tun0 -j DROP

Hilft das?

 

[Gerdchen03]

Leider nein.

root@v45838:/# iptables -L -v
Chain INPUT (policy ACCEPT 14406 packets, 4720K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  any    any     10.8.0.0/24          192.168.178.0/24    
    0     0 DROP       all  --  any    any     10.8.0.0/24          10.8.1.0/24         
14552 4736K VZ_INPUT   all  --  any    any     anywhere             anywhere            

Chain FORWARD (policy ACCEPT 47889 packets, 48M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  any    tun0    10.8.0.0/24          anywhere            
  301  212K ACCEPT     all  --  any    tun0    anywhere             anywhere            
  410 63447 ACCEPT     all  --  tun0   any     anywhere             anywhere            
    0     0 ACCEPT     all  --  any    tun0    anywhere             anywhere            
    0     0 ACCEPT     all  --  tun0   any     anywhere             anywhere            
47889   48M VZ_FORWARD  all  --  any    any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 1 packets, 153 bytes)
 pkts bytes target     prot opt in     out     source               destination         
36053   47M VZ_OUTPUT  all  --  any    any     anywhere             anywhere            

Chain VZ_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain VZ_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
   76  7425 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:domain
   51  5687 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpts:32768:65535
    6  1000 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpts:32768:65535
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8880
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8443
    0     0 ACCEPT     tcp  --  any    any     localhost            localhost           
    0     0 ACCEPT     udp  --  any    any     localhost            localhost           

Chain VZ_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:http
   51  7230 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:ssh
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:pop3
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere             udp spt:domain
   47  1880 ACCEPT     tcp  --  any    any     anywhere             anywhere            
35952   47M ACCEPT     udp  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:8880
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spt:8443
    0     0 ACCEPT     tcp  --  any    any     localhost            localhost           
    0     0 ACCEPT     udp  --  any    any     localhost            localhost           
root@v45838:/#

 

[MaxMuster]

Auch wenns blöd klingt: das verbotene Netz ist wirklich das, von dem du getestet hast? Nicht von einem PC dahinter oder so? Also nicht, dass da auch wieder ein Netz hinter dem VPN Client ist?

 

[Gerdchen03]

Ich habe mein Smartphone verwendet. Diese war zu dem Zeitpunkt über die SIM-Karte online, WLAN war abgeschaltet. Das Smartphone ist so konfiguriert, dass es sich im 10.8.0.0-Netz (weniger Rechte) befindet. Ich hab die VPN-IP des Smartphones extra noch mal ausgelesen, um sicher zu gehen, dass ich keinen Fehler mache. Sie liegt definitiv im 10.8.0.0-Netz.

Eine Sache fällt mir gerade noch ein: Genau genommen prüfe ich, ob ich ins 192er netz komme. Im 10.8.0.0-Netz hängt nur die FB und an ihr meine Rechner. Das ist ja schon ein Unterschied, den ich bisher missachtet habe.

 

[MaxMuster]

Beide Regeln sollten eigentlich beides "Zielnetze" verbieten...
Machst du mal einen trace in das "verbotene" Netz? ("traceroute -n" bei Linux, "tracert -d" bei Windows)

 

[Gerdchen03]

traceroute 192.168.178.20 ergibt:

10.8.0.1 (ist der VPN-Server)
10.8.1.5 (ist die Fritzbox)
192.168.178.20

completed in 3 hops

 

[MaxMuster]

Ich sehe im Moment nicht, warum das geht und nicht vom iptables verworfen wird...

 

[Gerdchen03]

OK, schade, aber das ist nun auch kein Beinbruch. Vielleicht fällt ja noch jemandem was ein.