Nachito1233
Anmeldungsdatum: 6. September 2018
Beiträge: Zähle...
|
Hallo ich haben einen Server mit Ubuntu 18.04 eingerichtet. Der Server hat zwei Netzwerkkarten und bietet verschiedne Dienste an. Zum einen Owncloud und ein paar andere Dienste. Nun würde ich gerne Owncloud aus Internet erreichen und einige andere wiederum nur im Heimnetz. Ich habe auch schon beide Interfaces zum laufen gebracht, aber sobald sie beide aktiv sind erreicht man die Serverdienste nicht mehr, die auch über das Internet erreichbar sein sollen. Oder würdet ihr mir aus Sicherheitsgründen eher dazu raten einfach von unterwegs per vpn ins Heimnetz zu gehen und gar nichts im Internet anzubieten? Wobei das ja auch nicht immer geht. Mir geht es erst einmal darum zu erfahren, ob das was ich vorhabe überhaupt realisierbar ist und wenn wie. Sollten irgendwelche weiteren Inofs nötig sein, fragt bitte einfach. Ich habe Ubuntu118.04 als Server und darauf läuft Apache2, openvpn und die SSL Zertifikate sind mit Let’s encrypt erstellt. Die Interfaces sind mit netplan konfiguriert. Falls das alles wichtig ist. Für Hilfe und Vorschläge bin ich sehr dankbar.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Nachito1233 schrieb: Ich habe auch schon beide Interfaces zum laufen gebracht, aber sobald sie beide aktiv sind erreicht man die Serverdienste nicht mehr, die auch über das Internet erreichbar sein sollen.
Wie sind die Ausgaben von:
ip a
route -n
sudo sysctl -a | grep -i arp_filter
?
|
Nachito1233
(Themenstarter)
Anmeldungsdatum: 6. September 2018
Beiträge: 7
|
Hi und danke erstmal für deinen Beitrag. ☺ Also die Befehle geben folgendes: ip a :~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 1c:1b:0d:61:10:ae brd ff:ff:ff:ff:ff:ff
inet 192.168.178.49/24 brd 192.168.178.255 scope global dynamic enp7s0
valid_lft 862986sec preferred_lft 862986sec
inet6 2002:592:8204:0:1e1b:dff:fe61:10ae/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 6643sec preferred_lft 3043sec
inet6 fe80::1e1b:dff:fe61:10ae/64 scope link
valid_lft forever preferred_lft forever
3: wlp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 00:24:01:32:5f:f4 brd ff:ff:ff:ff:ff:ff
inet 192.168.178.57/24 brd 192.168.178.255 scope global wlp4s0
valid_lft forever preferred_lft forever
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.70.10.6 peer 10.70.10.5/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::8b76:4a2c:2c16:f9cc/64 scope link stable-privacy
valid_lft forever preferred_lft forever
route -n :~$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.70.10.5 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 wlp4s0
0.0.0.0 192.168.178.1 0.0.0.0 UG 100 0 0 enp7s0
10.70.10.1 10.70.10.5 255.255.255.255 UGH 0 0 0 tun0
10.70.10.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
46.166.138.150 192.168.178.1 255.255.255.255 UGH 0 0 0 enp7s0
128.0.0.0 10.70.10.5 128.0.0.0 UG 0 0 0 tun0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 enp7s0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wlp4s0
192.168.178.1 0.0.0.0 255.255.255.255 UH 100 0 0 enp7s0
sudo sysctl -a | grep -i arp_filter :~$ sudo sysctl -a | grep -i arp_filter
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.enp7s0.arp_filter = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.tun0.arp_filter = 0
net.ipv4.conf.wlp4s0.arp_filter = 0
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp7s0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
sysctl: reading key "net.ipv6.conf.wlp4s0.stable_secret"
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Nachito1233 schrieb: route -n :~$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 wlp4s0
0.0.0.0 192.168.178.1 0.0.0.0 UG 100 0 0 enp7s0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 enp7s0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 wlp4s0
192.168.178.1 0.0.0.0 255.255.255.255 UH 100 0 0 enp7s0
Für das Interface mit dem nur das Heimnetz erreicht werden soll, ist keine default route erforderlich. Bei den definierten routen in das Heimnetz, kannst Du für das Interface das ins Heimnetz routen soll, eine bessere metric konfigurieren.
sudo sysctl -a | grep -i arp_filter :~$ sudo sysctl -a | grep -i arp_filter
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.enp7s0.arp_filter = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.wlp4s0.arp_filter = 0
Versuch mal mit:
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.default.arp_filter = 1
net.ipv4.conf.enp7s0.arp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.wlp4s0.arp_filter = 1
in der "/etc/sysctl.conf"-Datei und mit:
sudo sysctl -p
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Nachito1233 schrieb: Ich habe auch schon beide Interfaces zum laufen gebracht, aber sobald sie beide aktiv sind erreicht man die Serverdienste nicht mehr, die auch über das Internet erreichbar sein sollen.
Dafür brauchst du zwei IPs, nicht zwei Interfaces. Wenn du zwei Interfaces nutzt, hast du nur unnötige Routing-Probleme, wie du ja gemerkt hast. Ich würde einfach zwei IPs auf dem gleichen Interface konfigurieren, und darüber die Unterscheidung machen.
Oder würdet ihr mir aus Sicherheitsgründen eher dazu raten einfach von unterwegs per vpn ins Heimnetz zu gehen und gar nichts im Internet anzubieten? Wobei das ja auch nicht immer geht.
Das ist auch eine Möglichkeit, aber es spricht nichts dagegen bestimmte Dienste auch aus dem Internet anzubieten, wenn sie entsprechend abgesichert sind.
|
Nachito1233
(Themenstarter)
Anmeldungsdatum: 6. September 2018
Beiträge: 7
|
Hey sorry für die späte Rückmeldung, ich habe etwas herumexperimentiert. Danke euch beiden für die Hilfe. @lubux ich habe das probiert was du gesagt hast, aber leider hat es nicht funktioniert. Danach habe die route Tabelle mal genauer angeschaut und habe einfach beiden Interfaces einfach verschieden IP's gegeben. enp7s0: 192.168.178.49 und wlp4s0: 192.168.179.54. Nach dieser Änderung ging es dann. @misterunknown
Ich weiß nicht genau, wie ich das einrichten würde. Muss mal nachlesen wie das geht. Geht so etwas denn einwandfrei? Dann wäre es vllt. eine Lösung. Du meinst nach dem Schema: IP1 auf enp7s0: 192.168.178.49 IP2 auf enp7s0: 192.168.178.50? Wie weiße ich denn dann eine spezifische Anwendung auf eine Ip zu? Hängt das von der Anwendung ab? Kann ich eine ausgehende openvpn Verbindung dann auf eine IP zuweisen und die andere Ip geht normal ins Internet?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Nachito1233 schrieb: ... und habe einfach beiden Interfaces einfach verschieden IP's gegeben. enp7s0: 192.168.178.49 und wlp4s0: 192.168.179.54. Nach dieser Änderung ging es dann.
Naja, dass sind nicht nur verschiedene IP-Adressen (denn das hattest Du ja vorher auch schon). Es sind IP-Adressen aus verschiedenen Subnetzen. Klar wenn das möglich ist, ist das die bessere bzw. die richtige Lösung. Ist es jetzt so, dass du auch das Gast(w)lan deiner FritzBox nutzt?
|
Nachito1233
(Themenstarter)
Anmeldungsdatum: 6. September 2018
Beiträge: 7
|
Ja, ich nutze jetzt das GastWlan von der FritzBox 😀
Bin zwar nicht Happy damit,aber so ging es am schnellsten. Ich weiß noch nicht wie ich das sonst hätte machen können. Muss mich wohl mal genauer mit den Netzwerken befassen. Wenn ich aber nun einem Interface zwei IP zuweise würde müssen die dann müssten die doch wieder im selben Subnetz liegen?
Denn in dem Fall müsste ich doch wieder das Problem vom Anfang haben oder?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Nachito1233 schrieb: ... müssten die doch wieder im selben Subnetz liegen?
Nein, das müssen die nicht. Aber das (1 Interface mit 2 IP-Adressen) ist dann ja eine ganz andere Konstellation, denn jetzt hast Du ja 2 Interfaces.
|
Nachito1233
(Themenstarter)
Anmeldungsdatum: 6. September 2018
Beiträge: 7
|
Naja, das lässt sich ja ändern, wenn es einfacher ist. 😉 Ich kann ja eines deaktivieren oder ausbauen, die wlan Karte ist ne PCI-Karte.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Nachito1233 schrieb: Ich weiß nicht genau, wie ich das einrichten würde. Muss mal nachlesen wie das geht. Geht so etwas denn einwandfrei?
Ja.
Dann wäre es vllt. eine Lösung. Du meinst nach dem Schema: IP1 auf enp7s0: 192.168.178.49 IP2 auf enp7s0: 192.168.178.50?
Richtig, könnte man so machen.
Wie weiße ich denn dann eine spezifische Anwendung auf eine Ip zu? Hängt das von der Anwendung ab?
Ja. Man kann eigentlich immer eine Listen-Adresse konfigurieren. Bei Webseiten müsstest du den Webserver an der entsprechenden IP lauschen lassen.
Kann ich eine ausgehende openvpn Verbindung dann auf eine IP zuweisen und die andere Ip geht normal ins Internet?
Nein. So eine IP ist erstmal nur ein Ziel, und hat nichts mit Routing zu tun. Man kann natürlich verschiedene Anwendungen über ein VPN routen, das ist aber etwas komplizierter.
|
Nachito1233
(Themenstarter)
Anmeldungsdatum: 6. September 2018
Beiträge: 7
|
Ja. Man kann eigentlich immer eine Listen-Adresse konfigurieren. Bei Webseiten müsstest du den Webserver an der entsprechenden IP lauschen lassen.
Stimmt bei Serverdiensten geht das immer in den config files, dort gebe ich die IP und den Port an bei Bedarf?! Sorry manchmal sieht man vor lauter Bäumen den Wald nicht mehr.
Nein. So eine IP ist erstmal nur ein Ziel, und hat nichts mit Routing zu tun. Man kann natürlich verschiedene Anwendungen über ein VPN routen, das ist aber etwas komplizierter.
Meinst du so etwas wie split tunneling? Ginge das in diese Richtung?
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Nachito1233 schrieb: Stimmt bei Serverdiensten geht das immer in den config files, dort gebe ich die IP und den Port an bei Bedarf?!
Richtig.
Meinst du so etwas wie split tunneling? Ginge das in diese Richtung?
Eher policy-based Routing.
|