Netwerkbrücke (tap) in der Firewall freigeben
Hallo Ich benötige für mein OpenVPN eine Netzwerkbrücke (tap). Ich kann inzwischen auch eine Verbindung herstellen, allerdings nur wenn ich die lokale IP-Addresse nutze. Versuche ich das ganze über die bei DynDNS registrierte Domain, so funktioniert es nicht. Ich vermute sehr stark, dass es an der Firewall liegt, denn ein SSH-Port für Putty wird auch vom Router weitergeleitet und sobald ich die Brücke starte funktioniert dieses auch nicht mehr (vorher gings über die Domain, danach nur noch über die lokale IP) Die offizielle Doku gibt an dass folgende iptables-Einträge gemacht werden müssen **iptables -A INPUT -i tap0 -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT** Leider sind diese Regeln nach einem Neustart nicht mehr vorhanden und Yast zeigt mir (bei laufender Brücke) nur das eth0-Device an. Daher meine Frage: wie kann ich die Firewall dauerhaft so konfigurieren dass ich mein VPN über die Netzwerkbrücke nutzen kann? Vielen Dank Hier mal noch mein Skript dass die Brücke startet. #!/bin/bash ################################# # Erstellt eine Netzwerkbrücke unter Linux # Benötigt: bridge-utils ################################# # Definiert den Bridge Adapter br="br0" # Definiert eine Liste von TAP Adaptern,die gebridged werden sollen, # Beispiel tap="tap0 tap1 tap2". tap="tap0" # Definiert den physischen Ethernet Adapter der gebridged werden soll, # mit dem TAP Adapter, siehe oben. eth="eth0" eth_ip="192.168.0.110" eth_netmask="255.255.255.0" eth_broadcast="192.168.0.255" for t in $tap; do openvpn --mktun --dev $t done brctl addbr $br brctl addif $br $eth for t in $tap; do brctl addif $br $t done for t in $tap; do ifconfig $t 0.0.0.0 promisc up done ifconfig $eth 0.0.0.0 promisc up ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ich komme leider mit diesem Thema immer noch nicht weiter. Hab inzwischen nur herausgefunden dass ich in /etc/init.d/boot.local Skripte angeben kann die beim Systemstart ausgeführt werden sollen, da könnte ich ja die iptables-Einträge unterbringen. Das wichtigste ist im Moment erst mal, dass mein SSH noch funktioniert wenn die Brücke aktiv ist. Komischerweise funktioniert beispielsweise der NX Client tadellos, aber Putty bekommt überhaupt keine Verbindung mehr zustande. Und das Stop-Skript will auch nicht so richtig, obwohl es von der OpenVPN Seite stammt. #!/bin/bash # Definiert den Bridge Adapter br="br0" # Definiert eine Liste von TAP Adaptern die vorher gebridged wurden. tap="tap0" ifconfig $br down brctl delbr $br for t in $tap; do openvpn --rmtun --dev $t done Hoffe, es kann mir jemand helfen Danke Marc Schlegel schrieb:
Hallo
Ich benötige für mein OpenVPN eine Netzwerkbrücke (tap). Ich kann inzwischen auch eine Verbindung herstellen, allerdings nur wenn ich die lokale IP-Addresse nutze. Versuche ich das ganze über die bei DynDNS registrierte Domain, so funktioniert es nicht. Ich vermute sehr stark, dass es an der Firewall liegt, denn ein SSH-Port für Putty wird auch vom Router weitergeleitet und sobald ich die Brücke starte funktioniert dieses auch nicht mehr (vorher gings über die Domain, danach nur noch über die lokale IP)
Die offizielle Doku gibt an dass folgende iptables-Einträge gemacht werden müssen
**iptables -A INPUT -i tap0 -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT**
Leider sind diese Regeln nach einem Neustart nicht mehr vorhanden und Yast zeigt mir (bei laufender Brücke) nur das eth0-Device an. Daher meine Frage: wie kann ich die Firewall dauerhaft so konfigurieren dass ich mein VPN über die Netzwerkbrücke nutzen kann?
Vielen Dank
Hier mal noch mein Skript dass die Brücke startet. #!/bin/bash ################################# # Erstellt eine Netzwerkbrücke unter Linux # Benötigt: bridge-utils ################################# # Definiert den Bridge Adapter br="br0" # Definiert eine Liste von TAP Adaptern,die gebridged werden sollen, # Beispiel tap="tap0 tap1 tap2". tap="tap0" # Definiert den physischen Ethernet Adapter der gebridged werden soll, # mit dem TAP Adapter, siehe oben. eth="eth0" eth_ip="192.168.0.110" eth_netmask="255.255.255.0" eth_broadcast="192.168.0.255"
for t in $tap; do openvpn --mktun --dev $t done
brctl addbr $br brctl addif $br $eth
for t in $tap; do brctl addif $br $t done
for t in $tap; do ifconfig $t 0.0.0.0 promisc up done
ifconfig $eth 0.0.0.0 promisc up
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (1)
-
Marc Schlegel