OpenVZ - iptables MAC-addr/Forward

N3X

N3X

New Member
Moin kurze Frage,

ich habe da ein Problem mit einem OpenVZ-Server.
Innerhalb der Vms können Regeln zur Filterung von Forwarding anhand von MAC-Adressen angelegt werden.
Via einen VPN-Server gelangen user in ein virtuelles netz, werden von dort aus mit einer postrouting regel mittels snat zum venet0 interface gereicht.
Möchte der User nun ins internet, soll seine mac-adresse mit der whitelist im forward chain von iptables validiert werden (default deny).

Problem bei dem ganzen ist, dass die Regeln nicht greifen.
Dmesg liefert mir beim Logging von inkommenden Requests für das Forward chain keine MAC-Adresse, was es doch eigentlich tun müsste, schließlich sind die clients im gleichen Netz wie der Server.

Welche Ursache kann es im Bezug zu openVZ dazu haben? Bzw. wie sollte ich vorgehen um dieses Problem zu lösen?
 
Last edited by a moderator:
Sieht das Setup derzeit so aus, dass sich die Clients per VPN zum Server verbinden oder befindet sich der Server physikalisch mit den Clients im selben Netz?
 
virtual2 said:
Sieht das Setup derzeit so aus, dass sich die Clients per VPN zum Server verbinden oder befindet sich der Server physikalisch mit den Clients im selben Netz?
Click to expand...

Der client ist nicht physiaklisch im gleichen Netz.
Allerdings habe ich das Problem schon gelöst.
WAs mich ein wenig verunwdert hat, war dass eine Acccept rule für eingehenden traffic vom venet0 interface auf die tap interfaces gereicht hat.
Normalerweise wäre ich davon ausghegangen dass eine regel für tun auf venet0 für explizite addressen gereicht hätte.

Wie auch immer, nun habe ich ein anderes Problem.
Die Clients die isch über den OpenVPN Tunnel verbinden haben eine zu niedrige Bandbreite.

Bei einer 35 mbit adsl leitung habe ich einen uplink via den vpn von:
MOD: Bilder bitte immer als Anhang. Danke!

und bei einer 2 mbit adsl leitung habe ich einen uplink via den vpn von:
MOD: Bilder bitte immer als Anhang. Danke!

was mich sehr verwundert.
Ein wget über den virtuellen Server liefert eine durchschnittliche Bandbreite von 80 mbit (zum test eine file von qsc von einer größe mit 100 mb getestet).

Meine IPtables Regeln sehen wie folgt aus:

Code: 
# Generated by iptables-save v1.4.14 on Fri Dec 20 23:23:09 2013
*filter
:INPUT ACCEPT [101574:126520357]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [72731:36199983]
-A INPUT -i tap0 -j ACCEPT
-A INPUT -i tap1 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i tap+ -m mac --mac-source 00:FF:03:62:74:16 -j ACCEPT
-A FORWARD -i tap+ -m mac --mac-source 00:FF:B3:A2:4A:E2 -j ACCEPT
-A FORWARD -i venet0 -o tap+ -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DNSQF --rsource
-A FORWARD -p udp -m udp --dport 53 -m recent --update --seconds 1 --hitcount 15 --name DNSQF --rsource -j DROP
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Fri Dec 20 23:23:09 2013
# Generated by iptables-save v1.4.14 on Fri Dec 20 23:23:09 2013
*mangle
:PREROUTING ACCEPT [2324446:1614185513]
:INPUT ACCEPT [1409093:1179009543]
:FORWARD ACCEPT [898540:431500042]
:OUTPUT ACCEPT [1268146:564555302]
:POSTROUTING ACCEPT [2113961:990169645]
COMMIT
# Completed on Fri Dec 20 23:23:09 2013
# Generated by iptables-save v1.4.14 on Fri Dec 20 23:23:09 2013
*nat
:PREROUTING ACCEPT [879:68720]
:POSTROUTING ACCEPT [6:364]
:OUTPUT ACCEPT [6:364]
-A POSTROUTING -s 10.10.0.0/22 -o venet0 -j SNAT --to-source xxx.163.xxx.140
-A POSTROUTING -s 10.5.0.0/22 -o venet0 -j SNAT --to-source xxx.163.xxx.140
COMMIT
# Completed on Fri Dec 20 23:23:09 2013

In benutzung für die VPN-Tunnel sind tap devices, um ebenfalls die clients anhand der mac-adresse vom tap device zu verifizieren.
Jemand eine idee woran die sehr harte limitierung der bandbreite liegen könnte?

Noch ist das gesamte System nicht released, läiuft allerdings schon auf einem öffentlich zugänglichen vserver.
Getestest wurde die gesamte VPN Geschichte mit den obigen Angabgen mit nur einem client der zur gleichen Zeit mit dem VPN-Server verbunden war.

Die maximale Bandbreite beträgt 1 Gbit vom Vserver.
 

Attachments

  • 3178068474.png
    3178068474.png
    29.5 KB · Views: 188
  • 3177949984.png
    3177949984.png
    30.7 KB · Views: 154
Last edited by a moderator:
N3X said:
Bei einer 35 mbit adsl leitung habe ich einen uplink via den vpn von:
MOD: Bilder bitte immer als Anhang. Danke!

und bei einer 2 mbit adsl leitung habe ich einen uplink via den vpn von:
MOD: Bilder bitte immer als Anhang. Danke!
Click to expand...

Was für einen Upstream kann das DSL normalerweise? MTU zu groß? Wie ist die VPN-Konfiguration?
 
You must log in or register to reply here.
Back
Top