Die nftables habe ich damals selbst aufgesetzt, manuell ohne Script und dann vergessen im Laufe der Zeit. Ich hatte heute angenommen, es wäre außer iptables nichts drauf, also komplett mein Fehler. Es gibt wohl keinen guten Trick, so einen Fehler effektiver zu finden, als alle Möglichkeiten abzuklappern. Oder kann man beim Linux-Kernel irgendwie auslesen, welche Firewalls aktiv sind?
Trotzdem danke für die Lösungsansätze, ich weiß die Hilfe sehr zu schätzen!
Na ja, zu Installations-Scripts kann ich sagen, besser als alles von Hand machen. Und so ein Script ist ja jederzeit einsehbar.
Aber ich habe jetzt das Problem gefunden - es war zusätzlich zu iptables noch nftables konfiguriert, und das hat mir die entsprechenden Ports blockiert. Ein netstat -tulpen hätte mir das aber auch nicht gesagt, da wurde der Port immer als offen angezeigt 
Ich bin jetzt nur draufgekommen, weil ich gegoogelt habe, welche Firewalls es gibt, und dann eben nach der Reihe durchgeschaut ob davon irgendwas installiert ist. Hat jemand eine Idee, wie ich so etwas in Zukunft besser diagnostizieren könnte?
Ist sichergestellt, dass dein Client auf den Ports ausgehend kommunizieren darf?
Ja. Habe gerade den selben TCP-Server, es ist ein ganz einfacher Echo-Server, auf einem anderen VPS, ebenfalls Port 22223 laufen, und dort ist eine Verbindung von außen möglich.
Ich habe jetzt noch ein bisschen herumprobiert, und einmal einen einfachen TCP-Server mit Port 22223 aufgemacht. Müsste eigentlich möglich sein zu verbinden, mein Webserver auf Port 80/443 funktioniert ja auch ohne Probleme.
Der Verbindungsaufbau von außen wird jedoch abgelehnt:
[root@simon-desktop wireguard]# nc -v XX.XXX.XXX.XX 22223
v2202006123605121186.ultrasrv.de [XX.XXX.XXX.XX] 22223: Verbindungsaufbau abgelehntWenn ich nginx herunterfahre, und den selben TCP-Server auf Port 80 laufen lasse, funktioniert es wie erwartet:
[root@simon-desktop wireguard]# nc -v 45.129.182.19 80
v2202006123605121186.ultrasrv.de [45.129.182.19] 80 (http) openJetzt meine Frage bzw. Vermutung: Kann es sein, dass netcup selbst eine Firewall davor geschalten hat, die nur bestimmte Standardports wie SSH oder HTTPS offen lässt? Oder gibt es irgendwas außer iptables, das mir die Ports von außen blockieren könnte?
Wenn ich nmap scan auf meine public IP mache (vom Server auf sich selbst), kommt das gleiche Ergebnis:
v2202006123605121186% sudo nmap -sU -p 52663-52665 XX.XXX.XXX.XX
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-16 14:14 CET
Nmap scan report for v2202006123605121186.ultrasrv.de (XX.XXX.XXX.XX)
Host is up (0.000057s latency).
PORT STATE SERVICE
52663/udp closed unknown
52664/udp open|filtered unknown
52665/udp closed unknown
Nmap done: 1 IP address (1 host up) scanned in 1.33 secondsHier ist die Wireguard-Config am Server:
v2202006123605121186% sudo cat /etc/wireguard/wg0.conf
[Interface]
Address = 10.66.66.1/24,fd42:42:42::1/64
ListenPort = 52664
PrivateKey = uLD0xF25nviJ+....
PostUp = iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
### Client netcup-vpn
[Peer]
PublicKey = +U9TRtj7yJ....
PresharedKey = x8qx3qul/....
AllowedIPs = 10.66.66.2/32,fd42:42:42::2/128
v2202006123605121186% sudo cat /etc/wireguard/params
SERVER_PUB_IP=XX.XXX.XXX.XX
SERVER_PUB_NIC=eth0
SERVER_WG_NIC=wg0
SERVER_WG_IPV4=10.66.66.1
SERVER_WG_IPV6=fd42:42:42::1
SERVER_PORT=52664
SERVER_PRIV_KEY=uLD0xF25....
SERVER_PUB_KEY=YgZK3/ZP9TU....
CLIENT_DNS_1=94.140.14.14
CLIENT_DNS_2=94.140.15.15Hier ist die Wireguard-Config am Client:
[root@simon-desktop wireguard]# cat /etc/wireguard/wg0.conf
[Interface]
PrivateKey = sCLNf+HrJVn....
Address = 10.66.66.2/32,fd42:42:42::2/128
DNS = 94.140.14.14,94.140.15.15
[Peer]
PublicKey = YgZK3/ZP9TU....
PresharedKey = x8qx3qul/....
Endpoint = XX.XXX.XXX.XX:52664
AllowedIPs = 0.0.0.0/0,::/0Hier sind die iptables am Server:
v2202006123605121186% sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i eth0 -o wg0 -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
v2202006123605121186% sudo iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADEHallo, vielleicht kann mir hier jemand helfen.
Ich habe auf meinem RS 1000 G9 Archlinux installiert, und versuche gerade einen VPN-Server aufzusetzen.
Habe zuerst OpenVPN mit diesem Script versucht zu installieren: https://github.com/angristan/openvpn-install
Das hat nicht funktioniert - der Server lief, aber ich konnte gar nicht erst verbinden, und es wurde von meinem PC aus nicht einmal der OpenVPN-Port des Servers als offen angezeigt, z.B. wenn ich mit nmap nachgeschaut habe.
Habe dann noch Wireguard ausprobiert, mit diesem Script am Server installiert: https://github.com/angristan/wireguard-install
Hier aber dasselbe Problem, es kam keine Verbindung zustande.
Am Client wird mir die Verbindung angezeigt:
[root@simon-desktop wireguard]# wg
interface: wg0
public key: +U9TRtj7yJaif35Gt7GNL7dhT1mDZ/fJQI18U2Mkuho=
private key: (hidden)
listening port: 40595
fwmark: 0xca6c
peer: YgZK3/ZP9TUi95I2cFCp4+KwE5SvwuDtn8zVhpFZkVE=
preshared key: (hidden)
endpoint: XX.XXX.XXX.XX:52664
allowed ips: 0.0.0.0/0, ::/0
transfer: 0 B received, 148 B sentDer Server tut aber so, als hätte er keine Verbindung:
v2202006123605121186% sudo wg
interface: wg0
public key: YgZK3/ZP9TUi95I2cFCp4+KwE5SvwuDtn8zVhpFZkVE=
private key: (hidden)
listening port: 52664
peer: +U9TRtj7yJaif35Gt7GNL7dhT1mDZ/fJQI18U2Mkuho=
preshared key: (hidden)
allowed ips: 10.66.66.2/32, fd42:42:42::2/128Wenn ich am Client mit dem Wireguard-Device wg0 verbunden bin und versuche, 10.66.66.1 zu pingen (die Wireguard-IP des Servers), kommt nichts zurück.
Port-Scan vom Server auf sich selbst:
v2202006123605121186% sudo nmap -sU -p 52663-52665 127.0.0.1
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-16 13:47 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000071s latency).
PORT STATE SERVICE
52663/udp closed unknown
52664/udp open|filtered unknown
52665/udp closed unknown
Nmap done: 1 IP address (1 host up) scanned in 1.32 secondsPort-Scan vom Client aus:
[root@simon-desktop wireguard]# nmap -sU -p 52663-52665 XX.XXX.XXX.XX
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-16 13:49 CET
Nmap scan report for v2202006123605121186.ultrasrv.de (XX.XXX.XXX.XX)
Host is up (0.023s latency).
PORT STATE SERVICE
52663/udp closed unknown
52664/udp closed unknown
52665/udp closed unknown
Nmap done: 1 IP address (1 host up) scanned in 0.26 secondsWoran kann es liegen, dass ich keine Verbindung kriege, bzw. dass der VPN von außen nicht erreichbar ist?
