1und1 vserver iptables werden ignoriert

[No3x]

Hallo,

ich habe seit ein paar Wochen einen vserver (CentOS 6 installiert) bei 1und1 gemietet und möchte nun einen openVPN Server darauf laufen lassen. Ich habe also ganz gewöhnlich openvpn, easyrsa

und den Rest installiert, der benötigt wird. Der spannende Teil ist eher der Netzwerkpart:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
service iptables save

venet0 ist der .. ja wie der Name schon sagt virtuelle Ethernet Controller. Der Eintrag in die iptables hat jedoch keinen Effekt. Auch müsste

iptables -L

die route aufgelistet werden, doch sie ist nicht zu finden.
Lediglich kann ich sie in
/etc/sysconfig/iptables
finden

# Generated by iptables-save v1.4.7 on Fri Jun 20 08:32:16 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
COMMIT

Weitere Änderungen im Netzwerk zur Installation von openVPN waren:

nano -w /etc/sysctl.conf

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

sysctl -p

Nun stell ich mir die Frage ob das tolle "virtuozzo power panel" keine Änderungen an den iptables erlaubt. Eingestellt ist die firewall auf 'Normal firewall mode'.

Als ich vor 1 Woche diese Installation machte und mehrere clients zum Server verbunden hatte klappte alles ohne Probleme, was die ganze Sache noch komischer macht.

Dies ist mein erster vserver und ich habe wenig Erfahrung wie die Praxis bei diesen ist was Firewalls angeht. Ist mein Verdacht begründet, dass die Funktion der iptables behindert wird? Muss ich alle Firewalleinträge über die tolle Weboberfläche machen?

Ich freue mich über Vorschläge. Im Anhang befinden sich Screenshots der Weboberfläche zur Firewall.

 

[chris4000]

Was zeigt iptables -t nat -L an?

 

[rolapp]

Wenn Du den Server neu gestartet hast ist deine Iptaple leer. Die Einträge musst Du über ein Script neu laden

 

[No3x]

Oh, der table war wichtig und zeigt somit folgendes:

[root@v~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.8.0.0/24          anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@v~]#

Mit und ohne Neustart ist das Verhalten gleich. Ich kann mich mit einem Client verbinden erhalte jedoch keinen Internetzugriff. Auch bin ich mir fast sicher, dass ich seit der Installation nicht neu gestartet habe.

@rolapp
So wie ich es verstanden habe werden alle routen in /etc/sysconfig/iptables gespeichert und beim booten bzw iptable service start wieder angewandt.

 

[Deleted member 11691]

Versuch mal nicht -j MASQUERADE sondern -j SNAT --to-source <vserver ip>

 

[No3x]

[root@v ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.8.0.0/24          anywhere            to:2xx.1xx.xx.xx

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Steht drin aber der sture Bock macht es nicht.

Edit: Problem lag auf Client Seite. Hatte aus Bequemlichkeit immer mit meinem Smartphone die Verbindung getestet und da fiel es mir ein: Vor ein paar Tagen hatte ich vor einem Update des ROM eine Changenote zu VPN gelesen (und auch wiedergefunden: #1 #2), die damit offensichtlich zusammenhängt . Auf meinem eher selten benutzen Laptop funktionierte es immernoch.
Oh man.. und so hängen die Dinge zusammen

@Fusl: ich mag deine Website

 

[Deleted member 11691]

<!-- Pure off topic -->

@Fusl: ich mag deine Website

Danke, gibt auch ein neueres, überarbeitetes Design davon:
http://hallowe.lt/?newdesign