mainziman : http://www.netzmafia.de/skripten/internet/ssh-tunnel.html -> SSH Reverse Tunnel - ich bohre ein Loch in die Firewall
OpenVPN Access Server Portweiterleitung auf Windows Server
- mla
- Erledigt
-
-
CmdrXay es soll ein Port des Windows Servers ins Internet exposed werden. Die entsprechenden Clients befinden sich nicht im VPN.
mainziman wenn das Programm was auf den Port lauschen soll das neue Interface nicht kennt, so kann es das Interface auch nicht binden.
Wenn ich z.B. unter Linux ein neues Interface hochziehe, dann bindet NTP automatisch einen neuen Socket darauf. Ansonsten wird die falsche Absendeadresse eingesetzt und von iptables nicht erkannt.
Setz dich mal an ein VPN Gateway das hat Phy die 172.20.20.x und Virt 172.20.25.x und pinge im VPN herum. Der Absender ist teilweise Phy.
-
Hay,
es soll ein Port des Windows Servers ins Internet exposed werden. Die entsprechenden Clients befinden sich nicht im VPN.
Habe ich vor 7 Stunden schon verstanden, weil ihr eine solche Lösung verfolgt habt
Er hat nicht geschrieben, dass die Clients nicht im VPN sein sollen / dürfen. Er hat nicht geschrieben, dass dies seine Lösung sein muss, sondern nur, welchen Ansatz er anscheinend gewählt hat. Für mich auch nicht so eindeutig, da es auch nur ein Mißverständnis bezüglich Konfiguration eines VPN sein kann und seine Formulierungen scheinen bei dem Thema auch nicht so "firm" zu sein.
Er hat ein Problem geschildert, seinen Lösungsversuch und dass er es so nicht hinbekommen hat. Ich habe nicht seine Frage beantwortet, sondern, eine einfachere Alternative angeboten weils mir persönlich SO viel zu kompliziert ist. Abgesehen davon, dass man mit VPN-Clients noch ein paar nützliche Sachen mehr gewinnt: Schlüssel zurückziehen (liefert einen zusätzlichen Sicherheitslayer für den dahinter stehen Server), gesteuerten Zugriff auf ggf. mehrere andere interne Server UND die geschlossene Verschlüsselung vom Client zum internen Server und nicht erst ab dem OpenVPN-Server ...
Kann man nutzen, muss man aber nicht, muss der Thread-Ersteller entscheiden.
CU, Peter
-
-
da die Zeiterfassung auf den Smartphones der Mitarbeiter läuft, ist es wohl
nicht praktikabel VPN einzusetzen.
Ich habe den Tip mit socat probiert. Mit netstat -nlp sehe ich jetzt
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nam
tcp 0 0 0.0.0.0:29422 0.0.0.0:* LISTEN 3058/socat
mit telnet localhost 29422 bekomme ich eine Verbindung hin. Von außen kann ich aber nicht zugreifen.
den Port 29422 habe ich mit
iptables -A INPUT -p tcp --dport 29422 -j ACCEPT freigegeben
Was ist denn da noch falsch?
-
Was ist denn da noch falsch?
Hast du ggf. die alten NAT Regeln nicht gelöscht?
-
Die Regeln hatte ich über ufw before.rules gesetzt. ufw ist enabled. Reicht das nicht?
-
Was sagt denn iptables -t nat -S?
-
Hay,
wenn das andere läuft, hervorragend. Reserveplan:
nicht praktikabel VPN einzusetzen.
ansonsten habe ich unter android https://play.google.com/store/…ls?id=net.openvpn.openvpn auf einem Samsung Tablet laufen. Es spricht nichts dagagen, dass es auch auf Telefonen läuft. iphone nicht getestet, aber auch im App Store gefunden: https://itunes.apple.com/de/ap…-connect/id590379981?mt=8.
Passende .ovpn-Datei schreiben (darauf achten, dass die config mit dem Server abgeglichen ist), importieren, Schlüssel hochladen und verbinden
CU, Peter
-
-
Fein, dass meine vorgeschlagene socat Lösung den Zweck nun erfüllt.
Betreffend der Aussage:
ZitatWenn auf der externen Arbeitsstation ein VPN-Client läuft und sich mit dem Server verbindet, bekommt er eine IP aus demselben Netz.
Wenn die zugreifenden Clients einen VPN-Client nutzen könnten, dann bräuchte man überhaupt kein DNAT, sondern Windows-Server und Clients könnten direkt miteinander kommunizieren. Das war aber in der ursprünglich diskutierten Variante keine Option und im weiteren Diskussionsverlauf explizit ausgeschlossen.