Server Support Forum
Shorewall: IPSec Umleitung

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 12.09.2017, 00:24
Hexcode Hexcode ist offline
Registered User
 
Registriert seit: 09.2009
Beiträge: 3
Shorewall: IPSec Umleitung

Hallo zusammen,

folgendes Konstrukt:

- Ich habe Zuhause auf der Fritzbox einen VPN-Tunnel laufen (IPSec, UDP, Ports 4500 und 500). Da diese an einem Telekom-Anschluss angebunden ist erhält man folglich regelmäßig neue IPs
- Das Fritzbox DynDNS ist aktiviert, per CNAME unter meiner eigenen Domäne erreichbar. VPN über diese Domain problemlos möglich.
- Weiterhin ein Webserver mit Shorwall / IPTables laufen.

Ich möchte erreichen, dass ich statt der Domain (mit ständig wechselndet IP) die fixe IP des Servers angeben kann und dann die Daten an Port 4500 und 500 durgereicht werden an meine Fritzbox zuhause.
Das hatte ich jetzt simple per DNAT-Route in Shorewall (/etc/shorewall/rules.conf) probiert.
Code:
ACCEPT          net       $FW           UDP     500
ACCEPT          net       $FW           UDP     4500
DNAT            net       net:xx.xx.xx.xxx:500         UDP     500
DNAT            net       net:xx.xx.xx.xxx:4500        UDP     4500
Jedoch funktioniert es so scheinbar nicht, sowohl mit, als auch ohne die vorhergehende ACCEPT-Rules kommen keine UDP Pakete durch :/
Hat einer eine Idee, wie ich die UDP Pakete einfach und simpel vom Server zur Fritzbox bekomme? Im ersten Schritt über die IP, später nach Möglichkeit über die Domain?

Grüße
Hex
Mit Zitat antworten

  #2  
Alt 12.09.2017, 01:11
Benutzerbild von Lord Gurke
Lord Gurke Lord Gurke ist offline
Nur echt mit 32 Zähnen
 
Registriert seit: 05.2008
Ort: Wuppertal
Beiträge: 1.633
IPSec benutzt auch Protokoll 50 (ESP) für die Phase I-Schlüsselaushandlung.
Das müsstest du natürlich zusätzlich auch forwarden.
__________________
"Beißen ist wie Küssen. Nur dass einer gewinnt!" TARDIS
Mit Zitat antworten
  #3  
Alt 12.09.2017, 08:18
Hexcode Hexcode ist offline
Registered User
 
Registriert seit: 09.2009
Beiträge: 3
Laut diversen Foren und auch laut Sicherheitsübersicht der Box selbst braucht die Fritzbox nur Port 500 und 4500.
ESP liegt hier scheinbar auf Port 500.
Mit Zitat antworten
  #4  
Alt 12.09.2017, 10:09
Benutzerbild von Lord Gurke
Lord Gurke Lord Gurke ist offline
Nur echt mit 32 Zähnen
 
Registriert seit: 05.2008
Ort: Wuppertal
Beiträge: 1.633
Was mir gerade auffällt: Du machst ein DNAT.
Damit bleibt die Source-IP erhalten und genau das wird dir dein Hoster wegfiltern (hoffentlich).
Probier mal, zusätzlich auch ein SNAT zu machen.
Mit Zitat antworten
  #5  
Alt 12.09.2017, 10:16
Benutzerbild von danton
danton danton ist gerade online
Registered User
 
Registriert seit: 04.2009
Ort: Ennigerloh
Alter: 44
Beiträge: 2.364
Shorewall: IPSec Umleitung
Die beiden Ports sollten ausreichen, wenn ESP nicht funktioniert, kann man es ein UDP-Paketen verpacken - dafür ist Port 4500 da. Das Problem dürfte aber daran liegen, dass du nur in einer Richtung NAT einsetzt, d.h. mit DNAT schreibst du meines Wissens die IP-Adresse des VPN-Servers auf die der Fritzbox um. Die Fritzbox sieht dann aber als Quell-Adresse weiter die IP des Clients und schickt ihre Pakete direkt dort hin statt über den Webserver. Du leitest also nur eine Richtung, mußt aber beide umleiten.
Besser wäre es vermutlich, auf dem Webserver einen VPN-Server zu installieren und die Fritzbox sich auch dorthin verbinden zu lassen (die Fritzbox kann ja auch als IPsec-Client arbeiten).
__________________
Event-List - PHP/MySQL-Veranstaltungskalender für die eigene Homepage
Mit Zitat antworten
  #6  
Alt 12.09.2017, 12:56
kannnix kannnix ist offline
Registered User
 
Registriert seit: 02.2006
Beiträge: 303
Zum Herumspielen könntest du auch kurz versuchen die zwei Ports mit socat umzuleiten:
Code:
$ socat UDP4-RECVFROM:500,fork UDP4-SENDTO:fritz.box:500
$ socat UDP4-RECVFROM:4500,fork UDP4-SENDTO:fritz.box:4500
Gruss
Mit Zitat antworten
  #7  
Alt 12.09.2017, 20:36
Hexcode Hexcode ist offline
Registered User
 
Registriert seit: 09.2009
Beiträge: 3
Mit socat funktioniert es soweit ohne Probleme... Praktisch auch dabei, dass die Domain aufgelöst wird.

Frage wäre halt, wie man es schafft das jetzt mit Shorewall umzusetzen.
SNAT ist denke ich schon der richtige Ansatz - nur find ich gerade keinen Ansatz das umzusetzen, geht es laut manual ja davon aus, dass man beide Endpunkte kennt.
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
.htaccess Umleitung auf www. und https theborg Webserver 6 16.10.2016 10:57
ipsec mit DynDns Problem mystic2k Dedizierte Server 0 27.02.2012 09:59
Umleitung Domain grundsätzliche Vorausüberlegung ah-tonius Perl / PHP / Python / bash 10 27.01.2009 19:50
confixx > Umleitung der Domain funktioniert nicht - Hilfe!! newdyne Dedizierte Server 12 11.10.2006 11:10
Shorewall & Webmin mbanse Security 0 08.04.2006 06:39


Shorewall: IPSec Umleitung
Shorewall: IPSec Umleitung
Shorewall: IPSec Umleitung Shorewall: IPSec Umleitung
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.