Guten Tag,
ich habe auf meinem Server via Proxmox (hauptsächlich KVM) alle meine Dienste (Webserver, Mailserver, Datenbank, etc...) in einzelne Maschinen ausgelagert. Internet "verteile" ich via iptables an die VMs (POSTROUTING). Die benötigten Ports leite ich so auch jeweils an die Maschinen weiter (PREROUTING). Das klappt soweit alles hervorragend!
Jetzt habe ich mir gedacht, ich erstelle mir eine VM mit openvpn drauf um mir so direkten Zugang zu dem Internen Netzwerk auf meinem Server zu verschaffen. So, dass ich also direkt auf die einzelnen VMs via SSH drauf kann ohne dafür Ports weiterleiten zu müssen bzw. mich auf den Host verbinde um dann via ssh weiter zu verbinden. Ist auf dauer recht nervig... Ausserdem will ich bestimmte Dienste/Seiten nur intern erreichbar machen um so die angriffsfläche ein wenig zu verkleinern. (PHPMyAdmin und diverse andere Weboberflächen mit welchen man, wenn man denn erst mal Zugriff hat, doch sehr viel Schaden anrichten kann.)
Ich habe also zuerst eine blanke Debian 7 Installation her genommen und darauf openvpn installiert und eingerichtet. Soweit hat auch alles funktioniert. Ich konnte mich verbinden und hatte Zugriff auf Dienste die sonst nicht von aussen erreichbar waren. Allerdings nur die die direkt auf der openvpn-VM liefen. Auf andere VMs kann ich allerdings noch nicht verbinden. Nach einigem rumprobieren und regelrechtem "kaputtkonfigurieren" habe ich zum Test mal die openvpn Appliance von Turnkey installiert. (Mein Gedanke dahinter war einfach, dass ich so out of the box einen richtig konfigurierten openvpn-Server bekomme.) Allerdings habe ich dort das gleiche Problem.
Ich kann mir vorstellen, dass ich meinen iptables auf dem Host noch eine bestimmte Regel hinzufügen muss, um den Zugriff über den VPN zu erlauben. Es kann natürlich auch eine flasche Einstellung am openvpn Server sein. Der openvpn-Server ist so konfiguriert, dass ich nur zugriff auf das Netzwerk dahinter bekomme und nicht meinen ganzen Traffic darüber schaufle.
Auf dem Server verwende ich 10.0.1.0/24 als "lokales" Netz und 10.0.2.0/24 als "virtuelles" Netz für die verbundenen VPN Clients.
Ich hoffe ihr könnt mir helfen. Ich habe zwar schon google und die Forensuche bemüht konnte aber nichts brauchbares finden. Evtl. habe ich ja auch nach dem Falschen gesucht.
MfG
ich habe auf meinem Server via Proxmox (hauptsächlich KVM) alle meine Dienste (Webserver, Mailserver, Datenbank, etc...) in einzelne Maschinen ausgelagert. Internet "verteile" ich via iptables an die VMs (POSTROUTING). Die benötigten Ports leite ich so auch jeweils an die Maschinen weiter (PREROUTING). Das klappt soweit alles hervorragend!
Jetzt habe ich mir gedacht, ich erstelle mir eine VM mit openvpn drauf um mir so direkten Zugang zu dem Internen Netzwerk auf meinem Server zu verschaffen. So, dass ich also direkt auf die einzelnen VMs via SSH drauf kann ohne dafür Ports weiterleiten zu müssen bzw. mich auf den Host verbinde um dann via ssh weiter zu verbinden. Ist auf dauer recht nervig... Ausserdem will ich bestimmte Dienste/Seiten nur intern erreichbar machen um so die angriffsfläche ein wenig zu verkleinern. (PHPMyAdmin und diverse andere Weboberflächen mit welchen man, wenn man denn erst mal Zugriff hat, doch sehr viel Schaden anrichten kann.)
Ich habe also zuerst eine blanke Debian 7 Installation her genommen und darauf openvpn installiert und eingerichtet. Soweit hat auch alles funktioniert. Ich konnte mich verbinden und hatte Zugriff auf Dienste die sonst nicht von aussen erreichbar waren. Allerdings nur die die direkt auf der openvpn-VM liefen. Auf andere VMs kann ich allerdings noch nicht verbinden. Nach einigem rumprobieren und regelrechtem "kaputtkonfigurieren" habe ich zum Test mal die openvpn Appliance von Turnkey installiert. (Mein Gedanke dahinter war einfach, dass ich so out of the box einen richtig konfigurierten openvpn-Server bekomme.) Allerdings habe ich dort das gleiche Problem.
Ich kann mir vorstellen, dass ich meinen iptables auf dem Host noch eine bestimmte Regel hinzufügen muss, um den Zugriff über den VPN zu erlauben. Es kann natürlich auch eine flasche Einstellung am openvpn Server sein. Der openvpn-Server ist so konfiguriert, dass ich nur zugriff auf das Netzwerk dahinter bekomme und nicht meinen ganzen Traffic darüber schaufle.
Auf dem Server verwende ich 10.0.1.0/24 als "lokales" Netz und 10.0.2.0/24 als "virtuelles" Netz für die verbundenen VPN Clients.
Ich hoffe ihr könnt mir helfen. Ich habe zwar schon google und die Forensuche bemüht konnte aber nichts brauchbares finden. Evtl. habe ich ja auch nach dem Falschen gesucht.
MfG
