[Zentyal, VPN, virtuelle NIC] - kann nicht auf virtuelle Netzwerkkarte von VPN-Client auf PORT X zugreifen

  • Hallo zusammen,


    ich habe auf meinem Neptun ein Zentyal installiert. Es ist also eine sehr spezielle Frage.


    So weit so gut. Zur Absicherung läuft ein VPN Server. Der ließ sich auch wunderbar einrichten und funktioniert.
    Da der Server nur eine Netzwerkkarte hat, habe ich kurzer Hand eine virtuelle erstellt.


    Ja, das ist ein Crosspost, aber ich denke, Zentyal könnte für einige Leute interessant sein (Zentyal - Knowledge Base )


    Das Szenario ist hier dargestellt
    * Can't reach zentyal webadmin via vpn network on virtual nic from vpn client pc


    Nun wollte ich gerne das Administrationsinterface (ein spezieller Port) nur noch via VPN zugänglich machen, komme aber vom VPN-Client PC einfach nicht auf das virtuelle Interface.


    Hier sind die NAT / iptables Gurus gefragt, denke ich.
    Irgendwelche Ideen? Im o.g. Thread ist die iptable-save gepostet.


    Grüße
    Axel

  • Wie sehen die Einträge in iptables aus?

    Siehe Anhang im Link oben (das ist mein Post, auf Englisch eben).


    Danke für den Hint. Ich probier das bei Gelegenheit mal aus.


    Meinst du mit $ETH das virtuelle Netzwerk Device oder das reale?

  • Meinst du mit $ETH das virtuelle Netzwerk Device oder das reale?

    In deinem Falle müsste es das virtuelle Device sein *nicht sicher ist*


    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -s 192.168.50.0/24 -j ACCEPT
    iptables -A FORWARD -j REJECT
    iptables -t nat -A POSTROUTING -s
    192.168.50.0/24 -o eth0:vpn -j MASQUERADE


    bzw.


    iptables -t nat -A POSTROUTING -s 192.168.50.0/24 -d 192.168.55.0/24 -j MASQUERADE

  • Die iptable-rules kann man unter Zentyal sehr einfach in einen Hook packen:


    Code
    1. vim / etc/zentyal/hooks/firewall.postservice



    Code
    1. service zentyal firewall restart;




    Leider kein Durchkommen ;-(


    Irgendwo mach ich wohl einen Denkfehler ...

  • Hi,


    wollte mal meine Post updaten, denn mittlerweile habe ich eine ganz einache KISS***-Lösung gefunden und mich wieder an diese Frage erinnert:


    *** keep it simple and stupid


    Für die Greenhorns: der

    Code
    1. SSH server auf dem Host sollte natürlich nur über Zertifikate erreichbar sein

    (sshd_config: PasswordAuthentication no, UsePAM no). Das entspricht dann in etwa einer VPN Verbindung.


    Auf einer lokalen Konsole den SSH Tunnel etablieren:


    Code
    1. ssh -L 9000:IP_OF_SERVER:8443 loginname@IP_OF_SERVER


    wobei

    • 8443 der Port des Zentyal Web Interface auf dem Server ist
    • 9000 der lokale Port im Browser ist, unter dem man nun das Web Interface aufrufen kann

    ... und zwar so:

    Code
    1. https://localhost:9000


    Tja, das Leben kann so einfach sein ;)


    P.S.: Es is ist nicht möglich ohne Eingriffe ins KVM Host System ins innere der Maschine zu kommen. Zum Hintergrund und wie man das realisieren kann, hier ein paar Artikel. I

    Ich selbst mache das auf einem eigenen KVM-Root Server mit IPtables (siehe hier: KVM - Knowledge Base) - und das ist echt Arbeit ;-) Mein zugehöriger Zentyal Thread auf Englisch ist hier: [url=https://forum.zentyal.org/index.php/topic,20028.msg98671.html#msg98671]Can't reach zentyal webadmin via vpn network on virtual nic from vpn client pc[/url]