[Frage] Routing über VPN-Tunnel

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Fehler (kleines p)
Ergebnis:
fritz@fritz-desktop:~$ sudo nmap -sS <dyndns-...> -p80

Starting Nmap 5.00 ( http://nmap.org ) at 2012-01-19 20:29 CET
Interesting ports on xdsl-188-118-130-151.dip.osnanet.de (188.118.130.151):
PORT STATE SERVICE
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds
 
ottohahn schrieb:
PORT STATE SERVICE
80/tcp filtered http
Zum Vergrößern anklicken....
OK, ist aber kein 100%-iger externer scan. Was wird angezeigt, wenn Du von deinem Linux-PC den scan an die interne IP-Adresse des Webservers machst?
 
Ergebnis:

----
fritz@fritz-desktop:~$ sudo nmap -sS 192.168.12.205 -p80

Starting Nmap 5.00 ( http://nmap.org ) at 2012-01-19 20:39 CET
Interesting ports on 192.168.12.205:
PORT STATE SERVICE
80/tcp filtered http

Nmap done: 1 IP address (1 host up) scanned in 1.95 seconds
----
 
ottohahn schrieb:
Interesting ports on 192.168.12.205:
PORT STATE SERVICE
80/tcp filtered http
Zum Vergrößern anklicken....
D. h., deine Aussage wonach intern der Zugriff funktioniert, war nicht richtig. Oder warum erreichst Du jetzt, intern den Server nicht? Wie hast Du auf der BoxA die Portweiterleitung gemacht? Auf welchem Port der BoxA, lauscht jetzt der AVM-WEB-IF-Server?

EDIT:

Im 1. Beitrag steht "WEB-Server: 192.168.12.20". Warum jetzt die IP-Adresse 192.168.12.205??
 
Zuletzt bearbeitet:
Ich befinde mich im Netz BoxA und rufe einfach per Browser den WEB-Server über http://192.168.12.205 auf und es funktioniert.
Dann habe ich ein auf BoxA eine Port Forwarding Regel hinzugefügt (tcp 0.0.0.0:80 192.168.12.205:80).

So habe ich das immer gemacht, wenn der WEB-Server im Netz der BOXA war.

Otto
 
Das ist Richtig! Der Server ist Up und läuft.

Ich befinde mich im Netztwerk BoxA (meine Rechner IP:192.168.0.21) und komme jetzt per per Browser den WEB-Server im Netzwerk BoxB (http://192.168.12.205) ohne Problem.
Meine Idee war, damit ich auch aus dem Internet auf dem WEB-Server komme einfach eine Port Forwarding Regel auf BOXA hinzugefügt (tcp 0.0.0.0:80 192.168.12.205:80). Aber das funktioniert nicht!

Otto

---
"Im 1. Beitrag steht "WEB-Server: 192.168.12.20". Warum jetzt die IP-Adresse 192.168.12.205?? "
Sorry Copy-Past-Fehler; der WEB-Server hat die IP-Adresse 192.168.12.205
 
Zuletzt bearbeitet:
ottohahn schrieb:
Ich befinde mich im Netztwerk BoxA (meine Rechner IP:192.168.0.21) und komme jetzt per per Browser den WEB-Server im Netzwerk BoxB (http://192.168.12.205) ohne Problem.
Zum Vergrößern anklicken....
D. h. mit dem Browser funktioniert es, aber mit nmap wird der Port 80 der IP-Adresse 192.168.12.205, nicht als open gescannt? Warum hat in deinem 1. Beitrag, der Webser an der BoxB, eine andere interne IP-Adresse als jetzt?
 
Copy-Past-Fehler! Der WEB-Server hat die IP-Adresse 192.168.12.205

Otto
 
Mit dem Browser funktioniert es, aber mit nmap wird der Port 80 der IP-Adresse 192.168.12.205, nicht als open gescannt. Warum?
 
Mein Linux-System läuft als VM auf einem Rechner im Netzwerk BoxA. Vieleicht liegt das daran?
Ich habe mal auf dem Host-System ein Traceroute auf den WEB-Server gemacht.

U:\>tracert 192.168.12.205

Tracing route to 192.168.12.205 over a maximum of 30 hops

1 4 ms 2 ms 2 ms fritz.box [192.168.0.1]
2 552 ms 570 ms 559 ms 192.168.200.3
3 625 ms 594 ms 592 ms 192.168.12.205

Trace complete.
 
Das sind die IP-Adressen des OpenVPN-Tunnels (http://freetz.org/wiki/packages/openvpn).
BoxA: 192.168.200.1
BoxB: 192.168.200.3

Hier das Ruting-Table der BoxA
---
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
188.118.130.150 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
192.168.0.50 * 255.255.255.255 UH 2 0 0 dsl
192.168.179.0 * 255.255.255.0 U 0 0 0 guest
192.168.0.0 * 255.255.255.0 U 0 0 0 lan
192.168.200.0 * 255.255.255.0 U 0 0 0 tun0
192.168.12.0 192.168.200.3 255.255.255.0 UG 0 0 0 tun0
192.168.10.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl
 
Ich befinde mich im Netz BoxA und rufe einfach per Browser den WEB-Server über http://192.168.12.205 auf und es funktioniert.
Dann habe ich ein auf BoxA eine Port Forwarding Regel hinzugefügt (tcp 0.0.0.0:80 192.168.12.205:80).
So habe ich das immer gemacht, wenn der WEB-Server im Netz der BOXA war.
Zum Vergrößern anklicken....
That won't work!
Packets going from internet->BoxA->portmapping->Tunnel->BoxB->Webserver will work OK
However, return packets will use default route on BoxB and flow like: Webserver->BoxB->Internet
 
DualIP schrieb:
That won't work!
...return packets will use default route on BoxB and flow like: Webserver->BoxB->Internet
Zum Vergrößern anklicken....

@DualIP
And the solution for that?
I understood from different articles here in the forum, with iptables will be solve this routing problem. But I am not a specialist for iptables, therefore i ask and need support.:confused:

Otto
 
You could try iptables rule like this on BoxA

iptables -t nat -A POSTROUTING -s ! 192.168.0.0/24 -o tun1 -j SNAT --to-source 192.168.0.123

This replaces source IP address on packets leaving tun1 , but only if source address isn't from local LanA.
Source address is replaced with some reserverd IP address on LanA range, so return packets will get back from B to A over the tunnel
 
@DualIP
I just tried to add the rule on the BOXA (7390), but I got following error message:

root@FritzBox_7390:/# iptables -t nat -A POSTROUTING -s ! 192.168.0.0/24 -o tun1 -j SNAT --to-source 192.168.0.123
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Otto
 
ottohahn schrieb:
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Zum Vergrößern anklicken....
Schau dir mal fürs Erste, die Ausgaben von:
Code: 
lsmod | grep nat
und von
Code: 
find / -iname '*nat*.ko'
auf deiner Box an.
 
@sf3978

Das Ergebnis:
---
root@FritzBox_7390:/# lsmod | grep nat
root@FritzBox_7390:/# find / -iname '*nat*.ko'
root@FritzBox_7390:/#
---
Wenn ich das Ergebnis richtig interpretiere fehlt NAT, aber ich habe "[X] iptable_nat.ko " im image angewählt? HAt das was mit der 7390 zu tun?
Otto
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 775 (Mitglieder: 28, Gäste: 747)

Neueste Beiträge

Statistik des Forums

Themen
244,871
Beiträge
2,219,892
Mitglieder
371,592
Neuestes Mitglied
dtochtermann
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück