[HowTo] Site 2 Site/ LAN 2 LAN: Fritzbox (mit DS-Lite) mit Strongswan Server Kopplung

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

davidwohnthier

Neuer User
Mitglied seit
21 Nov 2018
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Ich hab mich relativ lange... circa eine Woche um ehrlich zu sein mit dem Verbinden von verschiedenen Fritzboxen an einen VPS herumgeärgert. Ziel war es, mehrere Fritzboxen an einen Server zu verbinden, um es Roadwarrior zu ermöglichen sich zu diesem zu verbinden und in Folge dessen Zugriff auf die verschiedenen Netzwerke der Fritzboxen zu bekommen. Die Konfiguration mit "normalen" Fritzbox, welche einen Ipv4 Anschluss besitzen ging aus irgend einem Grund relativ problemlos (Konfiguration dieser angehängt). Problematisch war die Fritzbox, welche hinter einem DS-Lite Anschluss hängt und ein Vodafone Leihgerät ist (Formware 7.12). Tatsache ist: AVM ändert wieder irgend etwas zwischen 7.12 und 7.19Labor. Was bei 7.19Labor funktioniert, funktioniert aus irgend einem Grund nicht bei 7.12. Hin oder her. Hier jetzt erst einmal die Konfiguration für die Verbindung einer Vodafone Fritzbox 6490 7.12 (kdg), welche per DS-Lite Tunnel verbunden ist.

Kurzfassung:
- Es funktioniert nur im aggressive Modus
- Es müssen mehrere Einstellungen in der Fritzbox vpncfg geändert werden - wichtige Stellen sind fettgedruckt

Server-Seite Teil 1/3:

/etc/ipsec.conf
Code: 
config setup
    uniqueids=no
  
conn AVM1-AGGRO
    dpdaction=restart
    dpddelay=5
    dpdtimeout=25
    ikelifetime=1h
    keylife=1h
    keyexchange=ikev1
    aggressive=yes                     # wird unbedingt benötigt bei meinen 7.12er Fritzboxen
    authby=psk
    auto=add
    left=%defaultroute
    leftid=@XXXXXXX                 # hier steht in meinem Fall die Server-"DYNDNS" z.B. beispiel.no-ip.com
    leftsourceip=192.168.42.1
    leftsubnet=192.168.42.0/24
    right=%any
    [email protected]             # hier steht in meinem Fall die beispiel.myfritz.net Adresse
    rightsubnet=192.168.177.0/24     # hier muss das Subnet der Fritzbox eingetragen werden, in meinem Fall eben 192.168.177.0/24
    ike=aes256-sha-modp1024         
    esp=3des-sha

Server-Seite Teil 2/3:
Es muss eine neue Datei im Ordner "strongswan.d" (in meinem Fall /etc/strongswan.d/) erstellt werden.
Die Datei "local.conf" nennen und folgenden Inhalt reinkopieren:

Code: 
charon {
    # Allow IKEv1 Aggressive Mode with pre-shared keys as responder.
    i_dont_care_about_security_and_use_aggressive_mode_psk = yes
}

Server-Seite 3/3:
Da wir für die Authentifizierung PSK verwenden brauchen wir natürlich auch einen Schlüssel in der ipsec.secrets Datei. In meinem Fall liegt diese in /etc/ipsec.secrets und schaut wie folgt aus:

Code: 
: PSK "XXXXXXXXXXXXXX" # unbedingt einen langen, nicht brutforce-baren Key verwenden!!
%any  %any  : PSK "XXXXXXXXXXXXXX" # hier der selbe Key - eventuell nicht benötigt, egal

Fritzbox Seite:
Ich für meinen Teil habe den umständlichen Weg gewählt erst einmal im Web-Interface eine neue Verbindung mit den passenden Parametern anzulegen und dann die Sicherung dieser Konfiguration herunterzuladen und die Datei dann zu editieren. Nach Abschluss der Edit-Arbeiten muss der Inhalt der Datei dann auf folgender Seite hochgeladen werden, dann auf "Berechnen" drücken um die Checksumme neu zu berechnen, dann auf herunterladen drücken. Die heruntergeladene Datei ist die richtige Datei um dann wieder bei der Fritzbox eingespielt zu werden. Ohne die neue Checksumme akzeptiert die Fritzbox die Sicherungsdatei nicht. Link zur Seite um die Checksumme neu zu berechnen: https://www.mengelke.de/Projekte/FritzBox-JSTool
--> Ich füge hier gerne eine bequemere Lösung ein. So hab ich es gemacht.
Edit mit Info von eisbaerin:
Die Verbindung im WebGUI löschen und dann nur den vpncfg Teil in einer Datei speichern und dann unter VPN-Verbindungen diese Datei hochladen. Das ist wirklich deutlich bequemer :)
Einfach aus der Sicherungsdatei den VPN-Teil ausschneiden.
Den dann beliebig ändern und in der GUI unter VPN als Datei reinladen.
Vorher den alten Eintrag löschen.
Zum Vergrößern anklicken....


In der Konfigurationsdatei den "vpncfg" Abschnitt suchen und die richtige VPN Verbindung anschauen und editieren, nach folgendem Schema. Damit es mit der DS-Lite Box von Vodafone funktioniert hat waren vor allem die Änderungen in phase1ss und phase2ss unabdingbar. Der Mode bleibt auf aggressive, aber jetzt im Detail. :

WICHTIG: NICHT DIE "#.... [Anmerkung" ÜBERNEHMEN!!!!!

Code: 
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;                                    # editable von yes auf no ändern
                conn_type = conntype_lan;
                name = "LAN2SERVER";                  # Hier steht der individuelle Name der Verbindung
                boxuser_id = 0;
                always_renew = yes;                         # hier von no auf yes
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.42.1;      # falls nicht eh schon, hier die Virtual IP des Servers
                remotehostname = "beispiel.no-ip.com";        # hier den dyndns der Server-Seite
                keepalive_ip = 192.168.42.1;            # hier eine - am besten vom Server - IP aus dem Server-Subnet
                localid {
                        fqdn = "beispiel.myfritz.net";               # hier die, auch in der Server-Config verwendete "rightID", also beispiel.myfritz.net
                }
                remoteid {
                        fqdn = "beispiel.no-ip.com";                   # hier die leftID aus der Server-Config, in meinem Fall beispiel.no-ip.com
                }
                mode = phase1_mode_aggressive;        # der Modus bleibt Aggressive
                phase1ss = "LT8h/all/all/all";        # hier muss LT8h vor das standardmäßige all/all/all hinzugefügt werden
                keytype = connkeytype_pre_shared;
                key = "XXXXXXXXXXXXXXX";            # hier muss der individuelle UNBEDINGT lange und nicht brute-forcebare PSK Schlüssel aus der ipsec.secrets eingetragen werden
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.177.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.42.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";                # hier muss der Eintrag so angepasst werden, wie er hier in diesem beispiel steht!
                accesslist = "permit ip any 192.168.42.0 255.255.255.0";
                app_id = 0;
        }
}

Mit dieser Konfiguration funktioniert die Verbindung einer Fritzbox 6490 7.12 (kdg) an einem DS-Lite Anschluss mit einem Strongswan Server 5.7.2. Ich konnte die 7.19er Fritzboxen auch im nicht aggressive Modus verbinden - bei den 7.12er hat das einfach nicht funktioniert. Die Phase2 ist immer abgerissen. Warum? Ich hab es nicht rausgefunden. Vor allem, falls jemand Anmerkungen bezüglich Sicherheit hat, baue ich die sehr gerne ein!!!

Hier noch schnell die Konfigurationen für den nicht-aggressive Modus, der bei mir bei 7.19er Fritzboxen funktioniert:

ipsec.conf

Code: 
conn avm 
    keyexchange=ikev1 
    authby=psk 
    auto=add 
    left=%defaultroute
    [email protected]   
    leftsourceip=192.168.42.1
    leftsubnet=192.168.42.0/24
    right=%any 
    rightsubnet=192.168.0.0/24
    [email protected]
    ike=aes256-sha-modp1024!
    esp=3des-md5!
    ikelifetime=3600s
    keylife=3600s

Und die vpncfg einer 7.19er Fritzbox im idp-Modus und an einem ipv4 Anschluss:
Code: 
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "LAN2VPS";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 192.168.42.1;
                remotehostname = "beispiel.no-ip.com";
                keepalive_ip = 192.168.42.1;
                localid {
                        fqdn = "beispiel.myfritz.net";
                }
                remoteid {
                        fqdn = "beispiel.no-ip.com";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "XXXXXXXXXXXXXXXXXXXXXXXXXX";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.42.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.42.0 255.255.255.0";
                app_id = 0;
        }
}
 
Zuletzt bearbeitet:
davidwohnthier schrieb:
Ich füge hier gerne eine bequemere Lösung ein.
Zum Vergrößern anklicken....
Einfach aus der Sicherungsdatei den VPN-Teil ausschneiden.
Den dann beliebig ändern und in der GUI unter VPN als Datei reinladen.
Vorher sicherheitshalber den alten Eintrag löschen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: davidwohnthier
Also das Hauptproblem bei den Fritzboxen ist einfach die Dead Peer Detection (DPD). Das Teil erkennt einfach nicht wenn es zum Abbruch der Verbindung kommt. Ich hab deswegen in dem How To oben eine Veränderung der DPD Parameter vorgenommen, wodurch der Server die Verbindung recht zügig bei Erkennung von DP trennt und neustartet. Dadurch lässt sich eine relativ hohe Erreichbarkeit der verbundenen Fritzbox umsetzen. Wichtig ist dass der dpddelay recht kurz ist und der dpd timeout circa 4-5x so hoch ist. Wenn der dpddelay zu lange ist reißt die Verbindung ab während die Fritzbox weiterhin denkt, dass sie verbunden ist und keine Neuinitalisierung vornimmt. Da sie ja von außen nicht vom Server erreicht werden kann, ist sie dann erst mal getrennt bis sie nach Stunden(!) drauf kommt, dass da ja irgendwas los ist. Wer spielen will, kann die dpdaction mal auf clear setzen. Hatte dann irgendwann keine Lust mehr ;-)
 
Ich grabe den Thread mal aus weil ich an einem ähnlichen Problem dran bin.
Fritzbox mit Vserver mittels strongswan zu koppeln habe ich hin bekommen.
Nach langer Fehlersuche (connection established, aber kein Ping) musste ich nur irgendeinem Interface die IP 192.168.170.1 hinzufügen. Nun passt alles.
Die Frage ist jetzt: wie bekomme ich es hin, dass ein ganz bestimmtes Gerät aus dem Subnetz der Fritzbox über die öffentliche IP des Vservers im Internet surft?
Wenn man zwei Fritzboxen miteinander verbindet, dann musste man in der Fritzbox in der vpn.cfg nur ein paar Zeilen ändern:
Code: 
//ausschnitt aus vpn.cfg
accesslist = "permit ip any 192.168.133.0 255.255.255.0",
                 "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             "permit ip 192.168.178.8 255.255.255.255 any";
Das hat zum Beispiel immer erfolgreich dazu geführt, dass das Gerät mit der IP 192.168.178.8 über die andere Fritzbox im Internet unterwegs war. Nun will ich das Gleiche erreichen, aber mit Vserver statt Fritzbox.

Hier meine Configs:
Code: 
#/etc/ipsec.conf
config setup
conn %default
 left=84.200.xxx.xxx
 leftsubnet=192.168.170.1/32
 ike=aes256-sha-modp1024
 esp=aes256-sha1-modp1024
 ikelifetime=1h
 keylife=3600s
 authby=secret
 auto=start

conn fb
 [email protected]
 rightsubnet=192.168.178.0/24

Code: 
#/etc/ipsec.secrets
84.200.xxx.xxx @meine7490er.myfritz.net : PSK "strenggeheim"
Code: 
vpncfg {
 connections {
        enabled = yes;
        editable = no;
        conn_type = conntype_lan;
        name = "V-Server";
        boxuser_id = 0;
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        remoteip = 84.200.xxx.xxx;
        localid    { fqdn = "meine7490er.myfritz.net"; }
        remoteid { ipaddr = 84.200.xxx.xxx; }
        mode = phase1_mode_idp;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "strenggeheim";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {    ipnet {    ipaddr = 192.168.178.0;    mask = 255.255.255.0;  }}
        phase2remoteid {ipnet { ipaddr = 192.168.170.1; mask = 255.255.255.255;}}
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";
//      phase2ss = "esp-null-sha/ah-no/comp-no/no-pfs";    //without encryption
        accesslist = "permit ip any 192.168.170.1 255.255.255.255",
                 "reject udp any any eq 500",
                 "reject udp any any eq 4500",
                 "permit ip 192.168.178.8 255.255.255.255 any";
    }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                    "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Ich vermute mal, dass ich im Vserver irgendwas einstellen muss, damit der überhaupt NATtet. Nur was?
 
Zuletzt bearbeitet:
Kommen die Pakete von 192.168.178.8 denn schon beim VServer an? Überprüfe das doch mal mit tcpdump und z.B. Pings vom Quell-Rechner. Du schränkst die Kommunikation auf 192.168.170.1 ein, deshalb glaube ich nicht, dass die Fritzbox einen Grund hat, Internetverkehr eines ihrer Clients durchs VPN zu schicken. Ich denke, sie wird den VPN Tunnel nur benutzen, wenn jemand gezielt die 192.168.170.1 anspricht.

Falls doch: Du musst vermutlich IP Forwarding aktivieren und dann in der Firewall eine MASQURADE Regel für das 178er Netz einrichten. Und natürlich den ausgehenden Traffic an sich erlauben.
 
Ja, ich kann vom Vserver aus die Fritzbox anpingen und alles was dahinter ist (raspberry auf 192.168.178.10 oder test-smartphone auf 192.168.178.8).
Auch von allen Clients, die hinter der Fritzbox hängen kann ich die 192.168.170.1 anpingen. VPN-Verbindung steht also.

Das ist genau meine Frage: wie aktiviere ich MASQUERADE-Regel? Mir ist schon bewusst, dass der Vserver ja irgendwoher wissen muss, dass er den Traffic aus dem VPN-Tunnel ins Internet natten soll. Nur wie stelle ich das ein?
Ich mache den Vserver mal platt und ersetze Ubuntu durch Debian...
 
Zuletzt bearbeitet:
PsychoMantis schrieb:
Auch von allen Clients, die hinter der Fritzbox hängen kann ich die 192.168.170.1 anpingen. VPN-Verbindung steht also.
Zum Vergrößern anklicken....
Das heißt ja noch nicht, dass auch der Internetverkehr eines Clients durch den Tunnel geschickt wird. Dass du die 192.168.170.1 pingen kannst, ist nicht überraschend bei der Config. Aber ich glaube nicht, dass was anderes, als gezielter Traffic zu 192.168.170.1 durch den Tunnel geht. Wir werden sehen.

PsychoMantis schrieb:
Das ist genau meine Frage: wie aktiviere ich MASQURADE-Regel?
Zum Vergrößern anklicken....
Das ist einfach. IP Forwarding in der sysctl.conf ist aktiviert? Dann ist es ein
Code: 
iptables -t nat -A POSTROUTING -s 192.168.178.0/24 -o eth0 -j MASQUERADE
unter der Voraussetzung, dass eth0 auf dem VServer dein Interface zum Internet ist, und das Forwarding an sich erlaubt ist im Server. Für die Antworten sollte ggf. noch ein
Code: 
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
vorhanden sein.
 
Bisher habe ich so was nur mit zwei Fritzboxen gemacht.
Die Fritzbox_A war mit LAN-LAN-VPN mit Fritzbox_B verbunden.
In der Fritzbox_A habe ich einfach aus
Code: 
accesslist = "permit ip any 192.168.170.0 255.255.255.0";
Code: 
accesslist = "permit ip any 192.168.170.0 255.255.255.0",
             "reject udp any any eq 500",
             "reject udp any any eq 4500",
             "permit ip 192.168.178.8 255.255.255.255 any";
gemacht und schon wurde der ganze Traffic des Clients 192.168.178.8 (der ja hinter der Fritzbox_A hängt) über die Fritzbox_B geleitet (wobei man in der Fritzbox_B nix anpassen muss).
Nun will ich ich das Gleiche machen, aber mit StrongSwan statt Fritzbox_B.
Nachtrag: Bisher kein Erfolg mit den beiden iptables-Befehlen.
 
Zuletzt bearbeitet:
PsychoMantis schrieb:
Nachtrag: Bisher kein Erfolg mit den beiden iptables-Befehlen.
Zum Vergrößern anklicken....
Ok. Dann musst du nun mit tcpdump gucken, was von deinem Client am Server ankommt. Wenn du auf dem Client Gerät z.B. einen Ping auf google.de absetzt, dann müssten die am vserver ankommen, wenn das VPN sich so verhält, wie du es erwartest.
Wie der VServer damit umgeht, schauen wir uns später an. Erst mal geht es darum, dass der Tunnel funktioniert. Du könntest dir aber schon mal präzise ansehen, wie die Pakete auf dem VServer ankommen, also auf welchem Interface und von welcher Quell-IP und so weiter.
 
Habe tcpdump installiert. Da man damit auf einem interface lauschen kann fällt mir auf: vielleicht habe ich damit ja ein Problem?
Ich erstelle mir ja selbst manuell ein interface lo:555 oder eth0:1 und gebe diesem manuell die IP 192.168.170.1 und erst dann funktionieren ja die Pings. Ist das vielleicht falsch und es muss automatisch ein interface vom StrongSwan erstellt werden (was nicht geschieht)?
Nachtrag: Hier drei pings vom 192.168.178.8 auf 192.168.170.1 und drei auf gmx.net
Code: 
root@vds2461234:~# tcpdump -v icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
21:04:27.958921 IP (tos 0x0, ttl 63, id 47842, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.178.8 > 192.168.170.1: ICMP echo request, id 2356, seq 1, length 64
21:04:29.096295 IP (tos 0x0, ttl 63, id 48075, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.178.8 > 192.168.170.1: ICMP echo request, id 2357, seq 1, length 64
21:04:30.234608 IP (tos 0x0, ttl 63, id 48141, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.178.8 > 192.168.170.1: ICMP echo request, id 2358, seq 1, length 64


21:04:44.341518 IP (tos 0x0, ttl 63, id 23730, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.178.8 > redir-bs.web.de: ICMP echo request, id 2360, seq 1, length 64
21:04:48.395958 IP (tos 0x0, ttl 63, id 23944, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.178.8 > redir-bs.web.de: ICMP echo request, id 2361, seq 1, length 64
21:04:52.438966 IP (tos 0x0, ttl 63, id 24588, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.178.8 > redir-bs.web.de: ICMP echo request, id 2362, seq 1, length 64
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel
root@vds2461234:~#
Die drei auf 192.168.170.1 gehen durch (Antwort kommt zurück). Die auf gmx.net bleiben unbeantwortet.
 
Zuletzt bearbeitet:
Es gibt viele IPSec Clients, die kein virtuelles Interface erzeugen. Von daher wird das ok sein. Die Daten kommen ja auch an.

Frage: kennt der Server den Weg ins 178er Netz? Ist ip_forward aktiviert? Wie sehen die Firewall Regeln aus?
 
Das Wichtigste zuerst: es geht.
Habe einiges durchgelesen und ausprobiert. Letztendlich den V-Server mit Debian-10 komplett neu installiert und wieder bei Null angefangen und nach dem ersten Login mit "apt-get install libreswan" nur libreswan installiert.
Dann noch hier entdeckt wie man die rc.local aktiviert und folgende Dateien erstellt bevor ich den V-Server neu gestartet habe:

/etc/rc.local
Code: 
#!/bin/sh -e
#

iptables -t nat -A POSTROUTING -o eth0 -m policy --dir out --pol none -j MASQUERADE
/usr/sbin/ipsec start
exit 0

/etc/ipsec.conf
Code: 
version 2.0
config setup
    virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

conn %default
    authby=secret
    auto=add
    left=%defaultroute
    leftsourceip=192.168.170.1
    leftsubnet=0.0.0.0/0
    right=%any
    salifetime=3600s
    ikelifetime=3600s
    pfs=no
    encapsulation=yes

conn "FBF 7490"
    rightsubnet=192.168.178.0/24
    [email protected]

conn "FBF 7390"
    rightsubnet=192.168.176.0/24
    [email protected]

/etc/ipsec.secrets
Code: 
84.200.xxx.xxx %any : PSK "strenggeheim"

/etc/sysctl.conf
Code: 
net.ipv4.ip_forward=1
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0

vpncfg ist unverändert wie oben.
Das war's. Mehr ist das nicht. Ist zwar jetzt mit LibreSwan statt StrongSwan gelöst, aber letztendlich ist mir das doch vollkommen egal ob ein Schwan frei ist oder stark. Hauptsache es funktioniert. Danke @frank_m24 für die Tipps.
 
Zuletzt bearbeitet:
Na, das sind doch gute Nachrichten. Nur ein kleiner Hinweis, der Vollständigkeit halber:
PsychoMantis schrieb:
iptables -t nat -A POSTROUTING -s 192.168.178.0/24 -o eth0 -m policy --dir out --pol none -j MASQUERADE
Zum Vergrößern anklicken....
Du machst jetzt NAT für die VPN Clients aus dem Netz der Fritzbox. Das kann völlig ok sein, wenn nur ein Gerät aus deinem Heimnetz ausgehend über VPN surfen soll (wie oben beschrieben), aber aus dem Internet durchs VPN auf die Heimgeräte zugreifen (=> Portweiterleitung) geht so nicht. Das kriegt man auch hin, dann muss aber die NAT Regel weg.

Generell würde ich dir raten, noch mal deine iptables Regeln zu überprüfen, und so viel wie möglich blockieren und nur das Nötigste offen lassen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 521 (Mitglieder: 28, Gäste: 493)

Neueste Beiträge

Statistik des Forums

Themen
244,863
Beiträge
2,219,700
Mitglieder
371,579
Neuestes Mitglied
frederik90
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück