Beiträge von Encore

  • GRE routing fester IP ins Heimnetz!

    ICH HABS GESCHAFFT!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! MIT DEM GRE.


    Es lag an einer Mischung aus der MTU + den Proxmox einstellungen..


    ich hab in Proxmox lediglich


    eingetragen gehabt.


    Nachdem ich nun 2x vlans an den NIC gehangen hab mittels bridge dann in die vm gebunden hab und die MTU auf 1436 auf dem GRE angepasst habe und das WAN MTU auch runtergesetzt hab.


    meine Proxmox einstellung sieht jetzt so aus:


    Da ich kein "physikalisches" lan habe, habe ich gaaaanz einfach eine zweite vm aufgesetzt, die an die vmbr1 gehangen, dort dann auf das in pfsense zugewiese lan subnet (10.0.0.0/24 - fest zugewiesene ip 10.0.0.1/24 - pfsense dhcp für das lan aktiviert gehabt) , somit konnte ich auf die einstellungsseite.

    Dort habe ich das "Block Private Networks" feature ausgeschaltet + unter system-advanced - network das hardware checksum offload ausgeschaltet.


    Dann habe ich eine zweite vm erstellt, diese an vmbr2 gehangen (ebenso per dhcp von pfsense dann zugewiesen, diesmal aber im 192.168.1.0/24 netz.)


    durch passendes routingeinstellung per anleitung von : KLICK MICH (administrator.de) + 1:1 nat habe ich nun eine VM mit der ÖFFENTLICHEN IP von netcup (die zusätzliche)


    von meiner 250mbit leitung kommen laut speedtest in der VM 194Mbit im down und 42 im up an - im richtigen LAN kommen 255 - 44 an ... das reicht für meine zwecke!


    hurraaaaaaaa


    lustig ist, habe mir bevor es geklappt hat eine digibox basic für bridge mode + nen zweiten nic bestellt...war jetzt für meine zwecke unnötig ... die digibox is privat gekauft und der nic, mhm .. vl brauch ich den noch iwie anders..



    falls interesse besteht, kann ich gerne ne anleitung schreiben die bebildert + detailierter ist :)

  • GRE routing fester IP ins Heimnetz!

    Hab die MTUs der gegenstellen auch wie wild angepasst, mit den MTUs etc, bin ich ehrlich - kenne ich micht so aus.. verbringe schon ganzen tage lange damit zu lesen und zu "lernen"..

    Ich weiß das es quasi die "Paketgröße/Framegröße" ist und bei nem oversize es zur fragmentierung kommt = schlecht


    Langsam frage ich mich, ob vl das doppelte NAT einfach iwie probleme macht..


    Ich möchte die feste ip ausschließlich in Proxmox verwenden, es wird kein "physikalischer, externer computer" mit dieser IP im LAN bestückt.

    Quasi eine KVM in Proxmox, die über die feste ip erreichbar ist ^^


    Mein neuer gedanke war, mir ne digibox basic zu kaufen, die in bridge mode zu versetzen, nen zusätzlichen nic für den Proxmox host und das so aufzubauen:


    Digibox Basic als Bridge-> Proxmox Host-> (WAN)PPoE Einwahl mittels PFsense->LAN->zur fritzbox als reiner Router fürs "Heimnetz" (Konsole, handy, tv usw usw.)

    Neben dem LAN wird dann noch eine Virtuelles Interface (vmbr ohne gateway anlegen?) erstellt auf die ich dann IRGENDWIE die eine KVM hin hänge und den GRE tunnel mit diesem Interface verbinde...


    wäre das rein theoretisch gesehen die bessere lösung? oder unnötig da das ganze auch wie ichs vor hatte (1 nic da das "lan" an der pfsense kein Physikalischen Nutzen hat (da hängt nix dran ..außer halt aktuell die VM ) aber das klappt ja nicht wirklich :(


    Was würdest du / ihr tun?


    Vielleicht möchte das jemand privat mal experimentell nachbauen und kann das ganze in der vorgehensweise ggfls. sogar bebildert dokumentieren?


    ich gehe mal SEHR stark davon aus, dass da viele interesse dran hätten ^^


    Zum Thema sicherheit des VPS (ssh wird deaktiviert, verwaltung erfolgt über die VNC konsole von netcup dann), außer dem GRE läuft auf dem kein weiterer Dienst.

    Updates werden über CRON eingespielt


    Mein ziel nochmal erwähnt:


    Die zusätzliche IP vom VPS per GRE oder VPN oder sonst was, nachhause routen in die pfsense rein und dort dann einer KVM zuweisen...

    Das ganze auch ohne jeden einzelnen Port im VPS von Netcup einzeln weiterleiten zu müssen (geht das? - quasi ein 1:1 weiterleiten / nat)


    Muss schon sagen, sitze da jetzt schon echt tage dran ohne großen erfolg.. aber mich Fuchst es einfach!

    Ich würde demjenigen der eine zufriedenstellende Lösung + den ausschlaggebenden hinweis gibt, nen döner per paypal ausgeben.. zwar nicht viel aber für die mühe..^^

  • GRE routing fester IP ins Heimnetz!

    Bin jetzt viele MTUs durch, ohne erfolg :/ kann die zweite ip pingen in beide richtungen, ssh handshake erfolgt, weiter gehts aber nicht.


    auf den auf einer VM angelegten apache, komme ich weiterhin nicht drauf, die seite"lädt" ewig.

    Übers lokale netzwerk, komm ich drauf..


    jmd noch ideen?:(

  • GRE routing fester IP ins Heimnetz!

    Zitat von killerbees19

    Wenn die TCP-Verbindung z.B. für SSH prinzipiell aufgebaut wird (Handshake erfolgreich), es aber danach hängen bleibt, klingt das verdächtig nach einem MTU-Problem. Darauf hat eripek vorhin schon kurz hingewiesen.

    dumme frage, wird der MTU dem LAN, WAN oder GRE netzwerk in der Pfsense zugeordnet.. hab ihn aktuell auf dem GRE und würde den jetzt mal auf 1476 oder 1468 setzen


    komme mit der berechnung nicht so ganz klar,


    die fritte nutzt ja ppoe mtu 1492.. wie berechnet ich jetzt den mtu, welchen ich verwenden muss? :/


    habe testweite mal unwissentlich auf 1400 gestellt.. ohne erfolg


    falls es weiterhilft "The SS2 Session has terminated with error, reason: FlowsocketReader: Error receiving bytes. Windows error 10060 ein Verbindungsversuch ist fehlgeschlagen da die gegenstelle nach einer bestimmten ....."

  • GRE routing fester IP ins Heimnetz!

    die PFsense WAN läuft auf vmbr0 (proxmox host 192.168.178.200) , pfsense wurde fürs WAN die ip 192.168.178.201 zugeteilt (erscheint auch unter "netzwerk" der fritte)

    als LAN interface wurde das subnet 10.0.0.0/24 zugeteilt.


    hinter dieser IP 10.0.0.6 steckt die CENTOS vm mit dem webserver.


    in der fritte kann ich die 10.0.0.6 nicht gesondert freigeben, da diese von der fritte als "bereits verwendet" angezeigt wird (wegen dem routing in der fritte und vermutlich da die ip von pfsense zugewiesenw urde?)


    Das Modul ist sowohl auf dem VPS als auch auf der pfsense geladen


    ich habe es jetzt auch geschafft, dass dass GRE netzwerk connectet ich kann vom VPS zum lokalen pingen und umgekehrt.

    auch kann ich jetzt die 2te dedizierte IP pingen.


    Wenn ich jetzt aber versuche über SSH auf die VM zu connecten (WAN>Fritzbox>Proxmox>Pfsense>DIESE VM

    krieg ich angezeigt: "connection to SSH2 server 45.***** (meine zweite ip halt)

    dann auch "Connection established" etc, dann beim first key exchange etc bleibt er hängen, vermutlich habert es iwo noch mti den ports :/


    auch kann ich unter der zweiten dedicated ip nicht auf die website zugreifen (80 oder 443) wenn ich im lokalen netz 10.0.0.6 eintippe, allerdings schon..


    wir kommen der sache schon nhäer, aber iwo haberts :D


    MTU vom GRE interface in der PFSENSE ist auf 1476 gesetzt.


    root@v220200264269109717:~# iptables -L

    Chain INPUT (policy ACCEPT)

    target prot opt source destination

    ACCEPT gre -- anywhere anywhere


    ist ebenso gesetzt

  • GRE routing fester IP ins Heimnetz!

    Hey zusammen,


    ich brauche mal eure Hilfe..


    Vorhandene Netcup VPS:


    VPS Karnevall mit 2 IPs (1 durch vps + 1 zusätzliche)


    Zuhause:

    Telekom S.Vec mit 250Down / 42 up (sync mit 51up) - reicht für meine UNPRODUKTIVEN sachen völlig aus.

    A300 mit Ryzen 3600g + 32gb ram

    Proxmox als host (192.168.178.200)

    darunter eine PFSENSE (ip192.168.178.201) mit vmbr0 (wan) und vmbr1 (VIRTUELLES lan für die VMs)


    Das ganze hinter einer Fritzbox 7590(192.168.178.0/24) mit routing zum Pfsense LAN (10.0.0.0/24) gateway 192.168.178.201

    Das Routing bei einer normalen VM klappt auch soweit, komme aus der VM übers eigene Subnet ins netz auch die kommunikation im Netz selbst, funktioniert.


    Nun möchte ich aber folgendes erreichen:


    Die VMs am LAN der Pfsense über die zusätzliche IP des Netcup VPS erreichbar machen.


    Das ganze über ein GRE interface was ich aktuell wiefolgt aufgebaut habe:


    HOST (VPS) (DEBIAN BUSTER)

    modprobe ip_gre

    echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf

    sysctl -p
    ip addr del (zusätzlicheipvonnetcup) dev eth0 #da netcup die beim image automatisch schaltet

    ip tunnel add gre1 mode gre local (ip vom NetcupVPS) remote (IP vom WAN der Fritzbox - öffentliche IP vom ISP) ttl 255

    ip addr add 172.20.1.1/30 dev gre1 #subnet zur kommunikation der beiden GRE endstellen 1 ist vps 2 ist die pfsense#<br> ip link set gre1 up


    ip route add 172.20.1.2 dev gre1

    ip route add (zusätzlicheipvonnetcup) dev gre1


    da das ganze über die MAC vom eth0 laufen muss noch

    ip neigh add proxy (zusätzlicheipvonnetcup) dev eth0


    ZUHAUSE (PFSENSE)

    GRE tunnel angelegt mit interface WAN(vmbr0)

    GRE tunnel local address ist die 172.20.1.2
    GRE tunnel Remote address ist die 172.20.1.1

    GRE tunnel subnet 30


    Dem ganzen dann noch dem GRE interface zugeordnet.



    Dann habe ich zwei Floating rules angelegt für in und out

    im out als Gateway das GRE interface


    ein 1:1 nat eingerichtet mit dem Interface GRE, external subnet ip ist die zusätzlichenetcupip und als internal ip die IP der Proxmox VM (10.0.0.6)


    SOOO

    nun das problem:


    in der PFSENSE selbst, kann ich 172.20.1.1 und 172.20.1.2 pingen.

    vom NETCUP vps aber NICHT! da erreiche ich nur mich selbst aber die PFSENSE nicht.


    Ich sitze an dem problem schon mehrere stunden, mich fuchst das ganze und ich würde es schon gerne hinbekommen :D


    Über sinnhaftigkeit lässt sich streiten.


    Ich darf den Strom vom Nachbar mitbenutzen, daher betreibe ich nen kleinen server bei mir zuhause, welcher über die IP erreichbar werden soll^^ und da mich das ganze mit knappen 5 euro günstiger kommt + viel mehr an leistung , möchte ich das ganze zuhause betreiben.



    In der Fritzbox selbst, habe ich 10.0.0.6 ports freigeschaltet + a uch schon exposed probiert. , brachte kein erfolg.


    wo liegt mein fehler...

    vl hat jemand ein ähnliches setup und kann mir weiterhelfen :/


    WICHTIG! der A300 hat nur 1!! nic , ich arbeite mit nem virtuellen switch in proxmox , das müsste auch so bleiben


    lg


    edit: gerne kann ich auch screenshots der konfigurationen machen :/

  • Fail2Ban -- Virtualmin/webmin - Debian BUSTER

    auch mit den standart einstellung nach nem z.B. clean install, funktionierts nicht...

    befehl beim starten von f2b:


    ipset create <ipmset> hash:ip timeout <bantime><familyopt>

    firewall-cmd --direct --add-rule <family> filter <chain> 0 <actiontype> -m set --match-set <ipmset> src -j <blocktype>


    befehl beim herunterfahren von f2b:


    firewall-cmd --direct --remove-rule <family> filter <chain> 0 <actiontype> -m set --match-set <ipmset> src -j <blocktype>

    <actionflush>

    ipset destroy <ipmset>


    befehl um ip zu bannen:


    ipset add <ipmset> <ip> timeout <bantime> -exist


  • Fail2Ban -- Virtualmin/webmin - Debian BUSTER

    ein kleiner auszug der jail.conf - gekürzt da mehr als 10k zeichen

  • Fail2Ban -- Virtualmin/webmin - Debian BUSTER

    Hey leute,


    server läuft soweit alles wunderbar, stehe seit geraumer Zeit allerdings vor dem Problem,

    dass Fail2Ban nicht richtig bannt.


    Im Log wird auch schön angezeigt " Bann >IP hier<"

    allerdings wird im endeffekt nicht gebannt.

    Selbsttest mit z.B. handy SSH erfolgte, die verbindung wird nicht zurückgewiesen oder gedropt.


    mit firewall-cmd ip set und alle mögl. variationen schon durchprobiert, ebenso firewalld runterschmissen und mit normalen iptables bann probiert, ebenso ohne erfolg...


    hat jemand ggfls eine Lösung dafür?

    oder stand vor dem selben problem und hat nen fix gefunden?

  • OpenVPN Access Server (DEBIAN9) - Portweiterleitung

    Erstmal vielen Dank!

    Ja VPN läuft soweit alles gut, werde deine Anleitung heute abend mal testen und berichten.

    Darf man fragen wieso wire statt ovpn?

    Vorteile / Nachteile, ggfls für meine Zwecke besser? Würde bei openvpn die Verschlüsselung eh abschalten - frisst Performance und wird für meine Zwecke nicht benötigt da ab dem root - > Netz dort eh unverschlüsselt weiter geht.

  • OpenVPN Access Server (DEBIAN9) - Portweiterleitung

    Hey zusammen,


    da mir die Dyndns lösung zu "einfach" ist, der basteltrieb auch iwie anschlägt, bräuchte ich hilfe bei folgender umsetzung:


    ich habe:

    VPS 100 mit openvpnaccess server auf debian 9 bei netcup


    Zuhause: fritzbox 7590 "als dummes gerät / passtrough" - dahinter am (wan asus router-> lan fritzbox) einen asus ac86u (exzelente vpn performance).


    Ziel: die feste IP des vps samt portanfragen von extern im internen Heimnetzwerk zu verteilen


    Beispiel: vpn client ist im asus router eingestellt, verbindet sich auch mit dem vpn server, unter wieistmeineip.de wird auch die ip des vps angezeigt - inet klappt also, verbindung ebenso.


    Nun wollte ich testweite zb auf dem rechner einen ts3 server testen - runtergeladen, gestartet - portforwarding 9987 udp auf meine interne (192.168.x.xx) - vergebene IP vom dhcp des asusrouters gemacht.


    wenn ich jetzt zb von nem externen gerät (smartphone mit ts3 app) die ip des "VPS" eingebe, dachte ich dass der vpn dann ins heimnetz weiterleitet und dort dann auf den "aktuell noch lokalen" ts server verbindet.


    allerdings tut er das nicht..

    habe das image von netcup genommen mit dem opvenvpn access server - wiegesagt, verbindung mit nem neu angelegten user usw klappt problemlos im asus router als vpn client.


    WAS muss ich tun, damit das routing <---> klappt?

    Würde amliebsten alle anfragen samt prots zb über den vpn ins heimnetz routen lassen, dort dann mittels nat + firewall das ganze filtern.. aber halt so das ich dann mit ner portweiterschaltung meine "dienste" ans laufen bekomme :)


    in der shell im debian habe ich noch nichts geändert -> image installiert, user angelegt -ovpn geladen, im asus eingerichtet, portweiterleitung für den ts port gemacht usw..


    möchte genau so ein szenario haben das ich quasi die feste ip des vps im kompletten heimnetz nutzen kann :) - kein dyndns, reverse proxy usw. - auch nicht "warum" :D würde es einfach gerne so haben wollen :,) (nicht böse gemeint)


    Anbindung zuhause: telekom 250/42 einwahl über ppoe


    falls jmd mir eine anleitung geben kann oder etwas unter die arme greiftr, wäre ich dankbar.


    edit: - möchte iwan vl nen kleinen lokalen heimserver haben, auf dem ne vm mit minecraft, ts, garrys mod, kleine website (mit serverdaten für die jeweiligen dienste) läuft. das ganze auch nicht 24/7 sondern für freunde, familie und zum spaß + experementieren.

  • Server IPV4 über VPN Privat nutzen? (VPS)

    Zitat von geekmonkey

    Sorry, was spricht gegen ne dynamische IP? Kannst doch über deinen Router automatisch nen Script auf deinem VPS aufrufen und via netcup API DNS Records ändern.


    Bei mir läuft auch auf nem mini web hosting hier nen DynDNS. Das passende Script gibt's sogar direkt bei github. So sind eigentlich alle meine Sachen daheim via Subdomain erreichbar.

    hab das script grad gefunden, hab noch nen webhost mini von blackfriday 2017 - bins mir grad am einrichten :)


    wegen dem Magenta zuhause L - dort gibts keine dedizierte ip und der voice / data S premium mit 250mbits als privatkunde sind 77 euro zuviel des guten haha :D

    geekmonkey der webhost mini hat aber keinen cronjob, wie hast du bewerkstelligt dass der script auf dem webhost ausgeführt wird, wenn das webhostpaket kein cronjob inne hat?:/

  • Server IPV4 über VPN Privat nutzen? (VPS)

    das beantwortet meine frage leider nicht ganz.


    ich möchte aus der ferne und im allgemeinen bei mir zuhause ne domain als bsp hosten.

    auch mit mailverkehr, daher brauch ich den rdns.


    der vpn client läuft dann auf dem router zuhause direkt , nicht auf den jeweiligen Geräten.


    Ich will das mein lokaler pi4 zb über domain owncloud.maxmustermann.de erreichbar ist, mein ts unter ts.maxmustermann.de meine website unter mustermann.de usw usw.


    wenn ich jetzt nen openvpn auf nem debian einrichte den client auf meinem router laufen lasse dafür so dass alle geräte im lokalen netz über den vpn ins netz gehen (tolle sache dieser ac 86u :D ) kann ich dann ganz schlicht meine domain auf die ip vom vps zeigen lassen und die portverwaltung läuft über mein heimnetz

    oder muss ich die ports einzeln routen lassen - denke mal das alle ports auf dem vps offen lassen nicht so ne dolle idee wäre , auch wenn dort eige nur nen vpn server laufen soll.



    Quasi:


    Ich zuhause->VPN->VPS(bei netzcup)->ins weite internet


    Weite internet->VPS bei netcup>VPN>ich zuhause.


    möchte eige nix mehr als die IP des VPS fest bm zuhause nutzen zu können^^

  • Server IPV4 über VPN Privat nutzen? (VPS)

    Hey zusammen,


    mal ne ganz banale frage.


    Habe zuhause eine Supervectoring 250Mbits(down)42(UP) Leitung. beim großen T.

    Würde einige Sachen gerne Zuhause betreiben auf nem raspberry pi 4 (kleine ws, klitzekleine owncloud usw.)


    Möchte aber nicht auf dyndns zurückgreifen (mag nicht auf nen xyz unternehmen im Internet angewiesen sein) - sondern möchte vollwertig IPV4 nutzen können.

    Da mein Anbieter nur business kunden eine feste ipv4 zu HORRENTEN!!! preisen zur verfügung stellt, war meine idee:


    Theoretisch könnte ich doch einen VPS nehmen (ganz kleinen, Traffic würde nicht mehr als 2-5 tb im Monat entstehen (durch private Nutzung :D ) dort einen vpn Server betreiben (unverschlüsselt - mit ner normalen festenip beim ISP wäre es ja auch nicht verschlüsselt (außer halt deinste smtp, https usw)


    So dass ich mit meinem Asus AC86U einen festen VPN Client zu meinem VPS einrichte der dann 24/7 läuft.


    Dadurch dürfte ich dann doch die feste ip des roots nutzen können? :)


    Wie schaut es dabei dann mit Ports etc aus.

    Würde ungern ports 1x im Router 1x aufm Server und 1 mal aufm Betriebssystem des homepcs freigeben müssen..


    würde es gerne so haben, als hätte ich einfach eine feste ip über den isp.. nur halt Umweg über den vps :)


    Absicherung des ganzen natürlich vorausgesetzt (ssh keys, sichere Passwörter, ggfls f2b als Ergänzung) den rootlogin würde ich extern eh verbieten wollen, alles was ich einstellen würde könnte! ich auch übers Netcup VNC machen :)


    Wäre das ganze theoretisch umsetzbar?


    Möchte mich ungern (erneut) an einen RS XXXX binden wenn ich alles notwendige bis auf die feste ip schon zuhause hätte :)


    lg und sry für die Rechtschreibung (Smartphone beim laufen getippt)