hjälp med iptables eller routing

Permalänk
Medlem

hjälp med iptables eller routing

arbetet hemma går vidare.

jag har satt upp en ubuntu server 18.04 hemma, denna maskin har openvpn samt ipforward på sig, så att mina maskiner hemma som har denna som gateway surfar ut via vpn.

denna maskin har ip192.168.51.3, den har i sin tur 192.168.51.1 som gw, och detta är routern.
andra devices som står på 192.168.51.0/24 och har vpn burken .3 som GW kan pinga och komma åt saker på .51-nätet.
Men dessa maskiner kan inte komma åt .1 eller .61 nätet.
om jag ändrar så att maskinerna på .51 använder .51.1 som gw så kan jag komma åt saker på .1 samt .61 nätet.

Detta får mig att tro att det är just linuxburken som inte tillåter/kan låta andra enheter på .51 nätet komma åt andra nät.
Om det sedan är iptables som är felkonfat eller om jag på denna maskin måste konfa någon routing hoppas jag att ni kan hjälpa mig med.

så här ser iptables reglerna ut som jag satt

# Block All iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP # allow Localhost iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Make sure you can communicate with any DHCP server iptables -A OUTPUT -d 255.255.255.255 -j ACCEPT iptables -A INPUT -s 255.255.255.255 -j ACCEPT # Make sure that you can communicate within your own network iptables -A INPUT -s 192.168.51.0/24 -d 192.168.51.0/24 -j ACCEPT iptables -A OUTPUT -s 192.168.51.0/24 -d 192.168.51.0/24 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -d 192.168.51.0/24 -j ACCEPT iptables -A OUTPUT -s 192.168.51.0/24 -d 192.168.1.0/24 -j ACCEPT # Allow established sessions to receive traffic: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow TUN iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A FORWARD -o tun+ -j ACCEPT iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE iptables -A OUTPUT -o tun+ -j ACCEPT # allow VPN connection iptables -I OUTPUT 1 -p udp --destination-port 1194 -m comment --comment "Allow VPN connection" -j ACCEPT # Block All iptables -A OUTPUT -j DROP iptables -A INPUT -j DROP iptables -A FORWARD -j DROP

Dold text

även om jag sätter

iptables -A OUTPUT -j ACCEPT iptables -A INPUT -j ACCPET iptables -A FORWARD -j ACCEPT iptables -P OUTPUT ACCEPT iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT

Dold text

så kan jag inte komma åt saker på .1 från .51

så jag skulle ju tippa på att det är någon slags routing som behövs, men då vpn gateway pekar på 51.1 som gw så tycker jag ju att den borde sköta det.

jag försökte även med att i routa trafiken via 192.168.51.3, men det vägrade funka så satte istället att den skulle ange 51.3 som gatewat istället

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

@issue: Jag har lite svårt att se för mig hur du satt upp det, en bild kanske skulle förtydliga? Har du .1 och .3 på samma burk? Dessa är IP-adresser i samma nät, när det mellan dessa du vill routa trafik? Trafik från 51.0/24 till andra 51-adresser ska inte passera gateway. Vad är 61-nätet i din lösning?

Sen, lite halvt orelaterat, men behöver du ha regler för output? Om du tillåter trafik till INPUT-kedjan så tror jag inte du även behöver reglera accessen för utgående trafik, men det var många år sen jag knackade IP-tables så jag kan minnas fel. Vanligen så brukar routrar/brandväggar funka så att när man väl nått ett beslut om hur trafik ska hanteras kontrolleras inga andra regler någonstans i systemet.

Visa signatur

ecce
#NATisNotASecurityFeature

Permalänk
Medlem
Skrivet av ecce:

@issue: Jag har lite svårt att se för mig hur du satt upp det, en bild kanske skulle förtydliga? Har du .1 och .3 på samma burk? Dessa är IP-adresser i samma nät, när det mellan dessa du vill routa trafik? Trafik från 51.0/24 till andra 51-adresser ska inte passera gateway. Vad är 61-nätet i din lösning?

Sen, lite halvt orelaterat, men behöver du ha regler för output? Om du tillåter trafik till INPUT-kedjan så tror jag inte du även behöver reglera accessen för utgående trafik, men det var många år sen jag knackade IP-tables så jag kan minnas fel. Vanligen så brukar routrar/brandväggar funka så att när man väl nått ett beslut om hur trafik ska hanteras kontrolleras inga andra regler någonstans i systemet.

så här ser det ut.

mina desktops och laptops och paddor och telefoner sitter på vlan 51.
default gateway här är ju 192.168.51.1, vilken är min router.
men jag vill ju att alla maskiner på detta vlan ska gå ut genom 192.168.51.3 som är min VPN gateway, så att så fort man surfar så gör man det via vpn gateway.

men sen vill jag ju att dessa maskiner ska kunna komma åt mina andra nät också

jag bad om hjälp i nätråden förut om att få min USG att routa 0.0.0.0/0 till 192.168.1.3 (detta var innan jag flyttade ubuntun till .51 och angav den som default gateway) men fick det aldrig att funka.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

Då är jag med.

Tänk på att om du ställer in en enhet att rikta från 51 till 1 vis .53 så måste enheten du försöker nå i 1 routa trafiken tillbaka via .53. annars blir det assymmetrisk routing.

Det andra är att trafiken som ska routas mellan vlan inte får routas in i vpn tunneln.

Skickades från m.sweclockers.com

Visa signatur

ecce
#NATisNotASecurityFeature

Permalänk
Medlem

@ecce: Vad är det värsta som kan hända med asymmetric routing?
för idag har jag ett annat test på vlan 50 där jag direkt i routern har konfigurerat openvpn.
där jag har bara gjort "route-interface" så att om jag från .50 vill komma åt .1 eller .61 så pekar jag bara på interfacen där dessa nät ligger.
jag har sedan inte routat något alls från .1 eller .61 tillbaka till .50 och det har fungerat "klockrent", dvs jag har itne märkt några problem även om det skulle finnas.

ja men det andra är jag med på, och eftersom 192.168.51.3 är default gateway på .51 nätet så antar jag ju att jag måste fixa routing på min ubuntu server så den inte tunnlar ut all trafik. och det är det jag behöver hjälp med.
i min värld så vill jag ju göra såhär
0.0.0.0/0 -> tun+ interface
192.168.1.0/24 -> 192.168.51.1
192.168.61.0/24 -> 192.168.51.1
för då låter jag min router ta hand om routingen mellan vlanen. men vet inte hur det ska konfas.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

Assymmetrisk routing brukar inte tillåtas, annars skulle det vara enkelt att skicka trafik genom en brandvägg genom att maskera den som en del av ett flöde som redan är påbörjat. Det var en typ av attack för 20 år sen typ. 😉

Angående routing en till tunneln osv så fattar jag det som att du på din vpn-gw tänker dig routa in trafik i tunneln som default, men trafik som ska till specifika nåt skickar du vidare från vpn-gw till 51.1? Det är en lite konstig lösning, jag vet inte om det funkar. Det blir från en router i ett nät till en annan router i samma nät. Normalt slänger routrar trafik som ska tillbaka ut på samma ben som det kom in på. Om du ger vpn-gw en IP i vlan 1 och vlan 61 och direkt där routar ut trafiken till rätt vlan, och skippar .1 helt, borde inte det funka?

Skickades från m.sweclockers.com

Visa signatur

ecce
#NATisNotASecurityFeature

Permalänk
Medlem

@ecce: det är säkert en konstig lösning

min vpn-gw är en virtuell maskin så jag kan absolut ge den ett nic på alla tre nät.
men då är frågan vart jag ska sätta mina static routes i netplan.
ska jag på nic för vlan 51 sätta route till ip adressen för nic på lan 1 samt route till ip adressen på vlan 61?
Eller ska jag peka ut GW på lan 1 och vlan 61?

Hur styr jag sedan internet på nic?
för lan 1 har ju åtkomst till internet utan vpn, men jag vill ju verkligen styra på vpn-gw att den inte kan komma ut på internet på något annat sätt än via tun interfacet.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem
Skrivet av issue:

@ecce: det är säkert en konstig lösning

min vpn-gw är en virtuell maskin så jag kan absolut ge den ett nic på alla tre nät.
men då är frågan vart jag ska sätta mina static routes i netplan.
ska jag på nic för vlan 51 sätta route till ip adressen för nic på lan 1 samt route till ip adressen på vlan 61?
Eller ska jag peka ut GW på lan 1 och vlan 61?

Hur styr jag sedan internet på nic?
för lan 1 har ju åtkomst till internet utan vpn, men jag vill ju verkligen styra på vpn-gw att den inte kan komma ut på internet på något annat sätt än via tun interfacet.

Direkt anslutna nät brukar man inte ange next hop för. Det krävs antagligen inga routes alls, utom default mot internet då. Frågan är hur du INTE drar in lokalt anslutna när i tunneln. Den borde inte göra det alls kan jag tycka, om den är lite smart.

Skickades från m.sweclockers.com

Visa signatur

ecce
#NATisNotASecurityFeature

Permalänk
Medlem

@ecce: jag fick aldrig till det, la till nätverkskort, försökte mig på routing men icke.

så nu har jag rivit maskinen och så börjar jag om på ny kula sen när jag orkar.
tänkte börja med att få maskinen att funka som gateway direkt ur lådan.
sen lägga på vpn
sist bråka med iptables/routing.

nu har jag konfat vpn och iptables först för att sedan försöka få den att göra det jag vill. kanske är enklare att börja från det andra hållet

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

Vill du inte knacka iptables, kolla om pfsense kan vara nåt. Jag kör det och drar in trafik i en tunnel via den. Var inga större problem att få till det, men min setup är inte exakt som du vill ha det. Kollar du på tex ovpn hemsida har dom guider för pfsense och hur du sätter upp det.

https://www.ovpn.com/sv/guides

Skickades från m.sweclockers.com

Visa signatur

ecce
#NATisNotASecurityFeature

Permalänk
Medlem

@ecce: hade inte ens tänkt tanken att köra pfsense ska kolla på det om någon vecka när jag är hemma från semestern

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!