Port VPN-Server tunneln (mit IP-Tables)

C

CryOrDies

Member
Hallo liebe Gemeinde.

ich benutze einen Debian 7 Server.

Zu meinem Vorhaben:
Ich möchte bestimmte Ports (TCP/UDP) auf dem Server über VPN nutzen.
D.h. ich habe bis zu 5 (wahrscheinlich später mehr) Clients. Diese Verbinden sich auf den Server um Dienste/Daemons zu steuern.

Ich nehme den IP-Bereich 10.0.0.1/32.
Die Clients dürfen aber keinen freien Internetzugang haben, sondern nur im localhost auf dem Server bleiben und wenns geht nur auf den Port Zugriff haben den sie sollen.

LG
 
Hallo,

Ich habe noch nicht ganz verstanden was du nun vor hast.

Du hast einen (VPN-)Server auf den sich bis zu 5 (VPN-)Clients verbinden. Wenn diese Verbunden sind, sollen sie nur Zugriff auf bestimmte Ports des Servers haben, aber nicht auf alle des Servers und über den VPN Tunnel soll nur der Traffic zu diesen Ports gehen, also nicht sämtlicher Traffic?
 
djrick said:
Hallo,

Ich habe noch nicht ganz verstanden was du nun vor hast.

Du hast einen (VPN-)Server auf den sich bis zu 5 (VPN-)Clients verbinden. Wenn diese Verbunden sind, sollen sie nur Zugriff auf bestimmte Ports des Servers haben, aber nicht auf alle des Servers und über den VPN Tunnel soll nur der Traffic zu diesen Ports gehen, also nicht sämtlicher Traffic?
Click to expand...

Fast richtig.
Pro Client, ein Port. Ist aber nicht sooo wichtig, weil die User hinterm Client sowieso nur Zugriff haben auf dem jeweiligen Port durch Audentifizierung.
Wichtig ist, dass die Clients über den VPN-Server keinen Internetzugang bekommen. Sondern nur auf dem Server bleiben.


"über den VPN Tunnel soll nur der Traffic zu diesen Ports gehen, also nicht sämtlicher Traffic?" - Richtig.
 
Als erstes könntest du in der VPN Client Konfiguration so etwas eintragen:
Code: 
route-nopull 
route 192.168.0.1 255.255.255.255
Damit würde nur der Traffic für 192.168.0.1 durch den VPN Tunnel geleitet werden.
Dann den Server absichern mit IPTables, dass sämtlicher Traffic von deinem Client (welches IP Netz auch immer er hat) geblockt wird und nur die relevanten Ports freischalten.
 
djrick said:
Als erstes könntest du in der VPN Client Konfiguration so etwas eintragen:
Code: 
route-nopull 
route 192.168.0.1 255.255.255.255
Damit würde nur der Traffic für 192.168.0.1 durch den VPN Tunnel geleitet werden.
Dann den Server absichern mit IPTables, dass sämtlicher Traffic von deinem Client (welches IP Netz auch immer er hat) geblockt wird und nur die relevanten Ports freischalten.
Click to expand...

Es werden u.a. Windows Clients beutzt.

Das heißt ich muss das IP-Netz im Output dropen mit:

Code: 
# iptables -A OUTPUT -s 10.0.0.1/32 -j DROP

Und im Input eine Port-Weiterleitung erstellen:

Code: 
# iptables -t nat -A PREROUTING -p tcp -d "VPN-Client IP" --dport 9050 -i eth0 -j DNAT --to-destination "VPN-Server IP:9050"

wäre das so richtig?
 
You must log in or register to reply here.
Back
Top