VPS 200 G8 - OpenVPN, Wireguard

  • Ich habe auf der VPS speziell, wegen den Ports, nichts unternommen. Außer die Standard WireGuard Installation. (GitHub)

    Ich würde gerne erstmal SSH (Port 22) oder XRDP (Port 5901) probieren.


    Code
    sudo netstat -tulpen

  • Nutze das einfach weiter über VPN, dann bist du auf der sicheren Seite. Ich habe zwar Wireguard nie eingerichtet (habe meine fertigen OVPN Configs) aber da sollte man doch auch angeben können, welche Routen der Client kriegen soll.

    Für SSH:

    Das sollte über IP Tables auch funktionieren. Das wurde hier im Forum mal diskutiert.

    Man kann auch über den HAProxy im tcp Modus das konfigurieren.

  • Es scheint wirklich schwierig zu sein, aus dir mal gezielt sinnvolle Informationen herauszubekommen.


    Du MUSST was auf dem VPS gemacht haben, um das Routing zu ermöglichen. Vielleicht war es Bestandteil der Wireguard Anleitung, dann schreib doch wenigstens, welche du da befolgt hast. Dazu ein paar Infos bezüglich IP Netzen etc, damit man mal einschätzen kann, was da bei dir überhaupt läuft.


    Meine größte Sorge: Da selbst auf mehrfache Nachfrage einfach gar nichts Brauchbares zurückkommt, steigt bei mir der Verdacht, dass du nicht den Hauch einer Ahnung hast, wovon wir eigentlich reden. Das ist beim Betreiben eines VPS äußerst gefährlich, du musst dabei auch an Mitstörerhaftung etc. denken. Wenn dein Server hops genommen wird, dann landen die IPs von Netcup wieder auf irgendwelchen Blacklisten, und die Folge ist das hier:

    EMails: Server auf Blacklist bei Microsoft / Hotmail - netcup Kundenforum
    Hallo, beim Versenden von Mails von unserem Server an eine EMail Adresse bei Hotmail bekomme ich folgende Antwort: (Quelltext, 1 Zeile) Es scheint aber nur…
    forum.netcup.de


    Sowas ist inakzeptabel.

  • Jo Zeile 193-197 im Script sieht man die Firewall Regeln mit dem Masq.

    Also mal schauen wie die Regeln aussehen (sieht nach iptables aus).

    Also heisst es Iptables Regeln zu schreiben oder Reverse Proxy Lösungen umsetzen.

  • Moin,

    ich mache so ziemlich das selbe,

    Kleiner vServer mit zweiter IP, Wireguard und ipforewarding mit iptables;

    was du brauchst, sind diese befehle;


    Alles von der zweiten ip auf den client im VPN weiterleiten;


    PUBLIC_IPV4 ersetzen mit deiner ipv4
    Mein vserver hat die 192.168.1.1 der homeserver die 192.168.1.25

    Code
    echo 1 > /proc/sys/net/ipv4/ip_forward
    sudo iptables -t nat -A PREROUTING -d PUBLIC_IPV4 -j DNAT --to-destination 192.168.1.25
    sudo iptables -t nat -A POSTROUTING -o wg0 -d 192.168.1.25 -j SNAT --to-source 192.168.1.1


    Alternativ, wenn man nur einzelne Ports weiterleiten will;


    Code
    echo 1 > /proc/sys/net/ipv4/ip_forward
    sudo iptables -t nat -A PREROUTING -d PUBLIC_IPV4 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.25
    sudo iptables -t nat -A POSTROUTING -o wg0 -p tcp --dport 80 -d 192.168.1.25 -j SNAT --to-source 192.168.1.1
  • ahmedahmed: Ist bei dir denn die iptables Variante aktiv? Das Script bietet ja mehrere Optionen. Oder sind andere Firewall Frameworks aktiv? ufw oder so? Das musst du bei den Portweiterleitungen ja auch beachten.


    Dann noch sicherstellen, dass der Server grundsätzlich gegen Fremdzugriffe geschützt ist. Dann sollte es funktionieren.

  • Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- anywhere anywhere
    ACCEPT all -- anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination

    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination
    MASQUERADE all -- anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT all anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

  • Ja, da ist einfach nichts. Dein Server hängt offen für alles erreichbar im Netz. Mich würde das nervös machen.

    Übrigens: Wenn du das ganze in Code Tags verpackst, dann ist es deutlich besser lesbar.


    ufw oder ähnliches ist nicht aktiv. Ich persönlich mag das, andere mögen das anders sehen. Da aber auch dein Installationsscript direkt auf iptables setzt, ist das vermutlich gut so.


    Du solltest dir jetzt das iptables Howto deiner Wahl suchen und dann die Basiskonfiguration vornehmen. Dabei sollte die Maßgabe sein, alles zu blocken, was du nicht wirklich brauchst. Anschließend kannst du dann die Regeln fürs Portforwarding einfügen, wie Homwer es gepostet hat.

  • Ja, da ist einfach nichts. Dein Server hängt offen für alles erreichbar im Netz. Mich würde das nervös machen.

    Ich hatte einfach mal über Port Check den Port 22 eingegeben. Ergebnis:

    Port 22 is open on xxx.xx.xxx.xxx.

    → Aber alles andere ist geschlossen. Sogar vom WireGuard der Standardport für VPN:

    Port 51820 is closed on xxx.xx.xxx.xxx.


    Übrigens: Wenn du das ganze in Code Tags verpackst, dann ist es deutlich besser lesbar.

    Ja, ich hatte es unterwegs mit meinem IPhone gemacht. Sorry und danke.


    lg ahmet

  • Aber alles andere ist geschlossen. Sogar vom WireGuard der Standardport für VPN

    Dabei solltest du zwei Dinge bedenken: Du hast vermutlich nur auf TCP getestet, aber es gibt auch noch UDP, ICMP, und zahlreiche weitere Protokolle, die teilweise nicht mit Portnummern arbeiten. Der Umstand, dass du deinen Wireguard UDP Port nicht gefunden hast, zeigt deutlich, dass du nicht ordentlich getestet hast.


    Dazu kommt: Im Moment mag nicht mehr offen sein, weil der Server frisch ist und nichts eingerichtet wurde. Aber sobald du ein neues Paket installierst oder ein vorhandenes Paket ein Update bekommt, kann das anders aussehen. Selbst SSH auf Port 22 zu belassen und vermutlich sogar Passwort-basierte Authentifizierung zuzulassen, ist ein Risiko, dass eigentlich nicht vertretbar ist. Schau mal in dein Log. Da sind mit Sicherheit haufenweise gescheiterte Login-Versuche auf SSH.


    Alte Faustregel: Die Ports, die man nicht braucht, macht man zu. SSH auf andere Ports verlegen und Login nur via Zertifikat oder schlimmstenfalls noch per 2FA. Immer auch an UDP, ICMP und andere Protokolle denken. Und alles immer für IPv4 und IPv6, und bei IPv6 noch Routing Header Type 0 bedenken.

  • Was spricht denn dagegen, einfach alles zumachen und dann nur per VPN die Dienste zu nutzen? Wenn man Ports weiterleitet, dann hab man auch noch das System auf dem PI abzusichern.

    Nichts spricht dagegen. Genau so ist die normale Vorgehensweise.

    Der Server im Netz blockt erstmal alles und du gibst nur nach und nach frei was wirklich auch genutzt wird / werden soll.

  • Nichts spricht dagegen. Genau so ist die normale Vorgehensweise.

    Der Server im Netz blockt erstmal alles und du gibst nur nach und nach frei was wirklich auch genutzt wird / werden soll.

    Ich kenne das Vorgehen. Hier sollen ja aber die Ports ohne VPN weitergeleitet werden. Ich glaube weiter vorn hatte ich mal gefragt, was alles genutzt werden soll. Kam aber leider keine Antwort.

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip