Beiträge von Lutz3D

    Ne an sich möchte ich darauf nicht verzichten, es war nur zu Informationszwecken. Was passiert wenn ich die Regel entferne.

    Habe noch eine zweite Frage.

    Woher weiß iptables bei der Forward Chain auf welchem Interface die Pakete ankommen? Gibt es da sowas wie ein default Interface?

    Hallo Zusammen,

    ich habe eine Verständnisfrage zu der ich im Internet gerade keine Lösung finde.

    Es geht sich um folgendes. Ich will zu Testzwecken (Uni) einen Raspberry so konfigurieren, dass dieser als Router/Firewall funktioniert und nur bestimmte Dienste durchlässt. Der Raspberry benutzt ein Hotspot als Internetverbindung (über wlan0).

    Jetzt habe ich folgendes Script geschrieben.

    Mein Problem liegt an dem Befehl

    Code
    $ECHO Erlaube aufgebaute Verbindungen
    $IPTABLES -A FORWARD -m state --state ESTABLISHED -j ACCEPT

    Wenn ich diesen Befehl auskommentiere und das Script erneut ausführe, dann funktioniert keinerlei der unten definierten Ports. Ich bin mir nicht ganz sicher, ob ich das richtig verstanden habe.
    Liegt das daran, dass die Pakte zwar weiterhin von der Quelle durch den Filter kommen, diese dann aber nicht den Weg zurück zum Client finden? Durch die Option stateful inspection (-m state --state ESTABLISHED) wird aber genau dafür gesorgt, dass die Firewall sich die Verbindungen merkt und die Pakete wieder zur Quelle weitergeleitet werden können?

    Hoffe ihr versteht was ich meine :s

    Wenn ich jetzt auf die dynamische Filterung verzichten würde, dann müsste ich für jeden einzelnen Port noch zusätzliche Regeln schreiben? (Stichwort: Prerouting?)

    Hoffe mir kann jemand die Fragen beantworten.

    Grüße
    Lutz

    Hi ruedigerp,

    UDP
    Tun Device
    lzo ist deaktiviert
    Verschlüsselung ist AES-256

    Das ich in der eine Richtung nur 5Mbit bekomme ist mir klar, mir geht es aber um die andere Richtung. Deswegen habe ich ja dazu geschrieben, dass ich 10Mbit bekomme, wenn ich das ganze nur über ssh teste.

    Hallo Zusammen,

    habe ein Problem mit der Geschwindigkeit von meinem VPN Netz.

    Habe einen Raspberry 2 und einen Raspberry 1 im Einsatz, welche ein Site2Site Netz aufbauen.

    Habe auf der einen Seite einen 10Mbit Upload (1und1) und auf der anderen Seite 5Mbit (Unitymedia).

    Teste ich die Verbindung mit Iperf erhalte ich nur ~5Mbit statt 10Mbit. Verbinde ich mich hingegen ohne VPN (ssh Port öffnen) erhalte ich die volle 10Mbit.

    Zu Testzwecken habe ich das Szenario im lokalen Netz nachgebaut und auch damit erhalte ich die volle Bandbreite des Raspberry 1, also ~17Mbit.

    Das heißt, es müsste definitiv mit der Kombination aus VPN und Leitung zusammenhängen. Daher Tippe ich auf einen falschen MTU Wert, aber egal
    was ich eintrage, die Verbindung wird nicht besser.

    Hat einer einen Tipp wie ich den richtigen MTU Wert feststellen kann?

    Gruß
    Lutz

    Hast du den Raspberry als default gateway auf den jeweiligen clients eingetragen?

    Zusätzlich musst du noch ip forwarding aktivieren

    Code
    sudo sysctl -w net/ipv4/ip_forward=1

    Der andere VPN Server läuft auch auf einem Pi und befindet sich bei meinen Eltern. Der Tunnel zu meinen Eltern funktioniert problemlos.

    Irgendwie macht das alles nicht wirklich Sinn, bin schon kurz davor mir einfach n neuen Pi zu kaufen. Wobei das auch nicht die wahre Lösung ist :s :-/

    Ich hab 2 Standorte, die ich mit dem Pi bedienen will. Daher halt auch Server und Client auf einem Pi.

    Ja hab ich. Sonst könnte sich der Client aus dem internen Netz ja nicht am Server authentifizieren.


    IPTables spuckt folgendes aus:

    Gruß

    Hi Leute, erstmal danke für eure zahlreichen Antworten.

    rpi444

    Die Ausgabe von tcpdump sieht folgendermaßen aus:

    Zur Info: Der OpenVPN Server hört aktuell auf den Port 22222. Also nicht wundern ;). Im Router ist weiterhin Port 50200 offen. Der Router leitet den externen Port 50200 also an den internen Port 22222 weiter.

    Ich habe "client-to-client" mal auskommentiert. Brachte keine Besserung.

    Der_Imperator

    Bei mir Läuft 1 Raspberry. Auf diesem läuft ein OpenVPN Client und ein OpenVPN Server. Der Port 50146 wird für die Verbindung vom OpenVPN Client des Raspberry benutzt, hat also nix mit dem OpenVPN Server zu tun.

    Nochmal kurz zusammengefasst:

    • OpenVPN Client auf Raspberry Port 50146
    • OpenVPN Server auf Raspberry Port 22222(Im Router extern freigegeben 50200 --> intern 22222)
    • Debian Notebook


    Wie kommst du darauf, dass auf dem Debian der Server läuft? Im ersten Satz schreibe ich doch schon: "ich versuche gerade auf meinem RPI2 noch zusätzlich einen OpenVPN Server einzurichten. Der Raspberry fungiert schon als Client.

    Log Datei vom Server:

    Code
    Sat Apr 23 11:30:52 2016 79.237.17.151:49838 TLS: Initial packet from [AF_INET]111.111.x.x:49838, sid=2fc7cf69 6725a727
    Sat Apr 23 11:31:29 2016 111.111.x.x:35368 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Sat Apr 23 11:31:29 2016 111.111.x.x:35368 TLS Error: TLS handshake failed
    Sat Apr 23 11:31:29 2016 111.111.x.x:35368 SIGUSR1[soft,tls-error] received, client-instance restarting
    Sat Apr 23 11:31:31 2016 111.111.x.x:53567 TLS: Initial packet from [AF_INET]111.111.x.x:53567, sid=880339fd 35c3ecce

    Vielleicht kannst du damit ja mehr anfangen. Ich hatte nur die eine Zeile gepostet, weil meiner Meinung nach die Fehlermeldung genug aussagt bzw. ich aus den anderen keine weiteren Informationen entnehmen kann.

    Nabend Zusammen,

    ich versuche gerade auf meinem RPI2 noch zusätzlich einen OpenVPN Server einzurichten. Der Raspberry fungiert schon als Client. Allerdings komme ich nicht durch meinen Router, obwohl dort der Port geöffnet ist.

    Bei anderen Diensten(FTP,SSH) funktioniert die Port Weiterleitung, nur VPN klappt nicht an diesem Standort. Als Router verwende ich einen Linksys E3000 mit Tomatousb. Weil die Portfreigabe für andere Dienste funktioniert, kann ich mir nicht vorstellen, dass da der Fehler liegt.
    Andererseits klappt die Verbindung, wenn ich die Verbindung aus dem internen Netz direkt zum Raspberry aufbaue. D.h. demnach müsste es doch an der Port Weiterleitung liegen :s

    Ihr seht ich stehe gerade vor nem größeren Dilemma. Ich Poste mal meine Config, vllt könnt ihr damit was anfangen.

    Client (Notebook mit Debian)


    Server:


    Mittels "ifconfig" sehe ich, dass OpenVPN zwei TUN Devices initialisiert hat (tun0 und tun1, für Client und Server)

    Die Client Config vom Raspberry zur Info


    Fehlermeldung wenn ich versuche die Verbindung extern aufzubauen ist der typische

    Code
    TLS Error: TLS handshake failed

    Ports habe ich mehrfach kontrolliert und stimmen überein.

    Habt ihr noch ne Idee wo der Fehler liegen könnte?

    Gruß
    Lutz

    Danke für deine Antwort.

    Wie gesagt, an der Config habe ich nix verändert und die lief seit Oktober einwandfrei durch. Kann mir also ehrlich gesagt nicht vorstellen, dass da der Fehler ist.

    Client.conf


    server.conf

    Die dazugehörige CCD:

    Code
    push-reset
    push "route 192.168.1.0 255.255.255.0"
    push "dhcp-option DNS 192.168.1.1"
    iroute 192.168.99.0 255.255.255.0


    Gruß
    Jonas
    Automatisch zusammengefügt:
    Falls jemand das gleiche Problem hat und den Wald vor lautet Bäumen nicht mehr sieht bzw. einfach n Brett vorm Kopf hat.

    In der Server.conf steht:

    Code
    push "redirect-gateway def1"

    in der CCD steht:

    Code
    push-reset

    Dadruch werden alle push's aus der Server.conf entfernt. Das hat zur Folge, dass das "redirect-gateway def1" entfernt wird.
    Durch "redirect-gateway def1" wird die Route 10.8.0.0/24 gepushed.

    Will man allerdings wirklich nur die Route haben und nicht den gesamten Traffic über den Tunnel laufen lassen, so muss in die ccd-config noch ein:

    "push route 10.8.0. 255.255.255.0"

    Hoffe ich hab das richtig verstanden. Zumindest klappt es jetzt wieder.

    Gruß
    Jonas

    Hallo Zusammen,

    ich hab gerade ein merkwürdiges Problem mit meinem Site2Site VPN.

    Meine Konfiguration sieht so aus, dass ich zwei Rpi 2 habe. Einer dient als VPN Server, der andere als Client. Der Client fungiert auch als Gateway, sodass ich ein Site2Site VPN Aufgebaut habe.

    Clientseite hat die 192.168.99.0/24
    Serverseite hat die 192.168.1.0/24
    VPN Netz ist die 10.8.0.0/24

    Das Problem sieht so aus, der der RPI auf der Clientseite nicht in der Lage ist den Server anzupingen.
    Sprich nen

    Code
    ping 10.8.0.1

    funktioniert nicht. Es erfolgt keine Ausgabe...

    Bei nem

    Code
    traceroute 10.8.0.1

    versucht er das Paket ins WAN zu schicken. Was ja quatsch ist, weil das VPN ja aufgebaut ist.

    Ein Ping auf die lokale Adresse des Pi (192.168.1.12) hingegen funktioniert. Für mich sieht das ganze nach nem Routing Problem aus.

    route -n

    Code
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.99.254  0.0.0.0         UG    202    0        0 eth0
    10.8.0.9        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
    192.168.1.0     10.8.0.9        255.255.255.0   UG    0      0        0 tun0
    192.168.99.0    0.0.0.0         255.255.255.0   U     202    0        0 eth0

    Mein VPN Gateway bekommt die IP 10.8.0.10. Wenn ich also manuell die Route anlegen

    Code
    route add -net 10.8.0.0 gw 10.8.0.10 netmask 255.255.255.0


    funktioniert mein VPN und ich kann den Server pingen.

    Das komische ist hier nur, dass es bei allen anderen Clients funktioniert. Sprich Handy, Notebook usw. Nur mein VPN Gateway bekommt es nicht gebacken.

    Klar kann ich die Route manuell erstellen und die /etc/rc.local eintragen, aber eigentlich sollte doch der OpenVPN Dienst dafür zuständig sein, seinen eigenen Server erreichbar zu machen.

    Zur Info: Das ganze lief seit Oktober wie geschmiert, erst nach dem ich heute "apt-get upgrade" gemacht habe, habe ich diese Probleme.

    Vielleicht hat ja jemand einen Rat.

    Viele Grüße
    Jonas

    Ok dachte schon :)

    Ja den Thread habe ich mir auch schon durchgelesen, aber keine nützlichen Infos draus bekommen.


    Kurz eine andere Frage. Welche GPIOS muss ich benutzen, um den Pi mit Strom zu versorgen? Habe einen Raspberry B (kein B+)

    Edit: Sehe ich das richtig, dass ich hierfür Pin 2 und 6 Benutzen muss?

    Gruß
    Jonas

    Erstmal danke soweit.

    Letzte Woche war etwas stressig, daher melde ich mich erst jetzt.

    Mittlerweile sind alle Teile da und ich habe es gerade mal ausprobiert.

    Der KIS3R33S versorgt den Pi über USB mit Strom. Der KIS3R33S wird wiederum von einer Autobatterie gespeist.

    Allerdings habe ich nun das Problem, dass ich massive Störgeräusche habe. Betreibe ich den Pi über ein reguläres USB Netzteil, treten keine Störgeräusche auf.


    Als Ursache tippe ich daher auf den KIS3R33S, allerdings keine Ahnung was ich das Problem beheben kann.


    Gruß
    Jonas

    Hallo Zusammen,

    ich habe aktuell ein Projekt am laufen, das wie folgt aussieht.

    Mobiler Lautsprecher mit Autobatterie, der mit einem Pi und Airplay(WLAN)+USB Soundkarte erweitert werden soll.

    Prinzipiell wollte ich das über den Spannungswandler realiseren. http://www.ebay.de/itm/2216693173…K%3AMEBIDX%3AIT

    Allerdings hab ich leider erst jetzt erfahren, dass die beiden USB Ports nur 300mA zu Verfügung haben, sodass der WLAN Stick und die USB Soundkarte wahrscheinlich nicht gegend Strom bekommen.

    Als alternative habe ich mir jetzt folgendes überlegt, dass ich den Pi über GPIO mit Strom versorge. Wird das ganze denn funktionieren? Welche Pins sind für die Spannungsversorgung zuständig?

    Ist das hier das richtige, was ich benötige? http://www.ebay.de/itm/Kis-3r33s-…=item43afeac29d

    Muss ich dabei sonst noch irgendwas beachten?


    Gruß
    Jonas