VPN Server

  • Hallo,


    ich versuche schon seit geraumer Zeit einen VPN Server auf meinem netcup "Root-Server" (Root-Server Spring 2019) zum laufen zu bringen (System Ubuntu 18.04 LTS). Dabei habe ich schon verschiedenste Server-Dienste (openVPN, Strongswan, etc.) und verschiedenste Tutorials durchprobiert.


    Letztendlich scheitere ich immer an dem Punkt, dass ich zwar eine Verbindung aufbauen kann und auch eine IP vom VPN erhalte, aber eine Kommunikation mit anderen Diensten auf dem Server (z. B. eine SSH Verbindung welche nach extern mit einer Firewall blockiert wird und ergo intern über VPN ja funktionieren sollte) nicht möglich ist.


    Jetzt bin ich letztendlich an das Tool "SoftEther" (https://www.softether.org/) geraten. Wenn ich dort die Einrichtung durchlaufe, komme ich an einem Punkt, an dem mir die Fehlermeldung ausgegeben wird, dass der Server (sinngemäß) an einem NAT verwaltetem virtuellen Netzwerkdevice arbeitet und ich für die Kommunikation den Administrator bitten soll einen sogenannten "promiscuous mode" zu aktivieren.


    Kann das sein? Wie verhält sich das bei netcup? Ich habe diesbezüglich mal gesucht, aber keine Einträge gefunden, dass andere damit ein Problem haben, bzw. diese Stichworte tauchen nicht auf. Andererseits habe ich jetzt schon an die 10 Tutorials durchgearbeitet und verschiedenst auch kombiniert (ja auch mit entsprechenden forwarding und Firewall-, Netzwerk- und Kernleinträgen) und das die jetzt alle einen grundlegenden Fehler beinhalten will ich auch mal ausschliessen.


    Hat einer von euch einen funktionierenden VPN bei netcup laufen? Wie seid ihr da vorgegangen? Habt ihr bezüglich dieser "promiscuous mode"-Sache spezielle Einstellungen vornehmen müssen?


    Danke und beste Grüße,


    Fabian

  • Letztendlich scheitere ich immer an dem Punkt, dass ich zwar eine Verbindung aufbauen kann und auch eine IP vom VPN erhalte, aber eine Kommunikation mit anderen Diensten auf dem Server (z. B. eine SSH Verbindung welche nach extern mit einer Firewall blockiert wird und ergo intern über VPN ja funktionieren sollte) nicht möglich ist.

    Klingt für mich nach einem Firewallproblem. Die IP, die du zugewiesen bekommst ist nicht automatisch "intern". Die muss in der Firewall auch freigeschaltet werden. Hast du das gemacht?

    Wenn du sowieso schon am rumprobieren bist, kannst du dir auch Wireguard anschauen. Meiner Meinung nach gehört dem die Zukunft.

  • z. B. eine SSH Verbindung welche nach extern mit einer Firewall blockiert wird und ergo intern über VPN ja funktionieren sollte

    Der SSH Daemon müsste auch auf dem virtuellen Interface lauschen.

    Wenn der vor dem VPN Daemon gestartet wird, weiß SSH gar nichts von dem VPN Interface.


    Die Server sind ohne NAT an das Internet angeschlossen. Den Promiscuous Mode kannst du selbst aktivieren, weil du ja der Administrator des Servers bist. Notwendig ist das allerdings nicht.


    Wie sieht denn deine OpenVPN Konfiguration und iptables Konfiguration aus?

  • Hallo zusammen,


    danke für Eure Anworten.


    Klingt für mich nach einem Firewallproblem. Die IP, die du zugewiesen bekommst ist nicht automatisch "intern". Die muss in der Firewall auch freigeschaltet werden. Hast du das gemacht?

    Wenn du sowieso schon am rumprobieren bist, kannst du dir auch Wireguard anschauen. Meiner Meinung nach gehört dem die Zukunft.

    Ja ich habe das ganze Subnet in der Firewall freigegeben. Ich werde mir Wireguard mal anschauen, ich hatte davon jetzt auch schon häufiger gelsen und da es ja jetzt einen Windows Client gibt ist das mal einen Blick wert.


    Der SSH Daemon hört auf any. Das mit der Reihenfolge hatte ich bisher allerdings nicht auf dem Schirm. Ich werde das mal ausprobieren.


    Das ich den Promiscuous Mode selbst einstellen kann, wusste ich ebenfalls nicht. Ich hatte das bisher als eine Einstellung in der VM Umgebung verstanden in welcher der "root" Server läuft.


    Eine aktuelle openVPN Config habe ich nicht, da der openVPN den Try&Error anheim gefallen ist.


    iptables über ufw (before.rules)

    (sysctl.conf - Änderung zu standard)

    Danke!

  • Dein VPN client bekommt eine IP aus dem 10.1.1.0 Subnetz?

    Deine Serveranwendung lauscht auf dem Subnetz? Überprüfen mit netstat -tulpen

    Die Freigabe in der Firewall ist in der richtigen Reihenfolge und wird nicht von dem alles sperren überschrieben?


    Mit ufw kann ich dir leider nicht weiterhelfen. Vielleicht erst mal abschalten und ohne testen? Die ist ja eigentlich eh nur dafür da, dass eventuelle rootkits von außen nicht erreichbar sind. Oder für was soll das verwendet werden? Wenn einzelne Dienste nicht auf dem öffentlichen Interface erreichbar sein sollen, dann lässt man die nur auf dem gewünschten Interface lauschen.