Aloha,
Mein VPN-ISP hat neulich einiges an seinem Service umgestellt. Unter anderem muss ich neue Server verwenden. Was ja nicht schlimm ist. Nun scheinen aber die Portforwarding nicht mehr zu funktionieren. Das Routing wohl schon, welches ich mit curl icanhazip.com (sollte dann eben nicht meine Telekom-IP auswerfen) überprüfe. OpenVPN läuft auf einem Raspberry, alle anderen Clients greifen darauf per definiertem Gateway (192.168.178.211) zu.
OpenVPN Config
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 | client #remote 5.62.16.2 #Germany Frankfurt Virtual UK1 !Erste Wahl! #remote 5.62.17.2 #Germany Frankfurt Virtual UK2 remote gb.hma.rocks #Brit Verteiler #remote de.hma.rocks #Schland #remote se.hma.rocks #Schweden #remote nl.hma.rocks #Niederlande #remote gr.hma.rocks #El Grecco. Yamas! #remote-random proto udp comp-lzo auth-user-pass /etc/openvpn/hma.auth cipher AES-256-CBC ping 5 dev tun resolv-retry infinite nobind ;user nobody ;group nobody persist-key persist-tun ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] ;mute-replay-warnings ns-cert-type server verb 3 ;mute 20 route-metric 1 ping-exit 90 #show-net-up #dhcp-renew #dhcp-release #route-delay 0 120 #hand-window 180 ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key |
ifconfig
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | eth0 Link encap:Ethernet Hardware Adresse b8:27:eb:3b:08:e6 inet Adresse:192.168.178.201 Bcast:192.168.178.255 Maske:255.255.255.0 inet6-Adresse: fe80::ba27:ebff:fe3b:8e6/64 Gültigkeitsbereich:Verbindung UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1 RX packets:119192626 errors:0 dropped:424 overruns:0 frame:0 TX packets:94719799 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX bytes:3056699337 (2.8 GiB) TX bytes:1151184180 (1.0 GiB) lo Link encap:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:65536 Metrik:1 RX packets:1464 errors:0 dropped:0 overruns:0 frame:0 TX packets:1464 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1 RX bytes:87840 (85.7 KiB) TX bytes:87840 (85.7 KiB) tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet Adresse:100.120.97.212 P-z-P:100.120.97.212 Maske:255.255.224.0 inet6-Adresse: fe80::4626:2c44:a9e7:f154/64 Gültigkeitsbereich:Verbindung UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1 RX packets:23203915 errors:0 dropped:0 overruns:0 frame:0 TX packets:13477225 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:100 RX bytes:27671312444 (25.7 GiB) TX bytes:4612444695 (4.2 GiB) |
Route (was ich leider nicht lesen kann)
1 2 3 4 5 6 7 8 | Kernel-IP-Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface default 100.120.96.1 128.0.0.0 UG 0 0 0 tun0 default router 0.0.0.0 UG 0 0 0 eth0 r-180-63-62-5.f router 255.255.255.255 UGH 0 0 0 eth0 100.120.96.0 * 255.255.224.0 U 0 0 0 tun0 128.0.0.0 100.120.96.1 128.0.0.0 UG 0 0 0 tun0 192.168.178.0 * 255.255.255.0 U 0 0 0 eth0 |
Iptables (via Iptables-Persistent)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 | # Generated by iptables-save v1.4.21 on Sun Apr 10 19:07:44 2016 *mangle :PREROUTING ACCEPT [35847612:30380313443] :INPUT ACCEPT [13501877:11840691120] :FORWARD ACCEPT [22335424:18539093747] :OUTPUT ACCEPT [12401239:9837914998] :POSTROUTING ACCEPT [34736673:28377010843] COMMIT # Completed on Sun Apr 10 19:07:44 2016 # Generated by iptables-save v1.4.21 on Sun Apr 10 19:07:44 2016 *nat :PREROUTING ACCEPT [279572:25797811] :INPUT ACCEPT [139209:14775662] :OUTPUT ACCEPT [146578:19006186] :POSTROUTING ACCEPT [281:17514] -A PREROUTING -i tun0 -p tcp -m tcp --dport 25252 -j DNAT --to-destination 192.168.178.99 -A PREROUTING -i tun0 -p tcp -m tcp --dport 9851 -j DNAT --to-destination 192.168.178.2 -A PREROUTING -i tun0 -p tcp -m tcp --dport 3686 -j DNAT --to-destination 192.168.178.2 -A PREROUTING -i tun0 -p udp -m udp --dport 52525 -j DNAT --to-destination 192.168.178.205 -A PREROUTING -i tun0 -p tcp -m tcp --dport 52525 -j DNAT --to-destination 192.168.178.205 -A PREROUTING -i tun0 -p tcp -m tcp --dport 6969 -j DNAT --to-destination 192.168.178.205 -A POSTROUTING -o tun0 -j MASQUERADE #-A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Sun Apr 10 19:07:44 2016 # Generated by iptables-save v1.4.21 on Sun Apr 10 19:07:44 2016 *filter :INPUT ACCEPT [13501877:11840691120] :FORWARD ACCEPT [16842107:14836616328] :OUTPUT ACCEPT [12401234:9837914461] -A FORWARD -d 192.168.178.99 -i tun0 -p tcp -m state --state NEW --sport 1024:65535 --dport 25252 -j ACCEPT -A FORWARD -d 192.168.178.205 -i tun0 -p tcp -m state --state NEW --sport 1024:65535 --dport 52525 -j ACCEPT -A FORWARD -d 192.168.178.205 -i tun0 -p udp -m state --state NEW --sport 1024:65535 --dport 52525 -j ACCEPT COMMIT # Completed on Sun Apr 10 19:07:44 2016 |
Für letzteres bitte mich nicht aufknüpfen, ich habe da solange mit "gefährlichem Halbwissen" dran umgedoktort bis es funktionierte.
Hat da jemand eine Idee wieso das nun nicht mehr funktioniert? Die ganze Konfiguration habe ich mir aus diversen Foren (auch diesem) zusammengeklaubt, die Lösung kann also durchaus wenig elegant und entsprechend wackelig sein.
Für Hilfe wäre ich dankbar.
-stefan