Iptables Port forwarding aus einem VPN Tunnels

31/01/2008 - 10:19 von Frank Kirschner | Report spam
Hallo,

Ausgangssituation: Ein WLAN Router (Linksys WRT54GL mit DD-WRT v24RC6)
ist per wireless (eth1) WANseitig in einem privaten Netz eingebunden.
Auf dem WRT làuft ein OpenVPN Client, der als device tap0 durch das
private WAN eine öffentliche Class-C IP Adresse tunnelt. Diese wird
dann in das routerseitige LAN Netz (192.168.1.0/24) geroutet. Aus dem
LAN kann man nun mit öffentlicher IP surfen.

Das Problem: Wie kann ich auf dem Router mittels iptables einen
Portbereich von der öffentlich getunnelten IP auf einen bestimmten Host
(FritzBox 7050 für Voip zu 1&1) im privaten Netz (für VoiP) weiterleiten?

Der Versuch:

iptables -t nat -I PREROUTING -p udp --dport 30000:30005 -j DNAT --to
192.168.130.254:30000:30005
iptables -I FORWARD -p udp -d 192.168.130.254 --dport 30000:30005 -j ACCEPT

funktioniert leider nicht. Laut Portscan von "Shield Up" ist der Port
geschlossen. Der Router meldet auch, daß die eingehenden Ports
geschlossen sind.

Wie kann das Problem gelöst werden?

vlg
Frank
 

Lesen sie die antworten

#1 Hauke Laging
31/01/2008 - 11:35 | Warnen spam
Frank Kirschner schrieb am Donnerstag 31 Januar 2008 10:19:

Moin,

ich gebe zu, ich habe den Aufbau schlichtweg nicht verstanden. Mir
ist nicht mal klar, wie viele Geràte da im Spiel sind. Es gibt diese
schönen Strichzeichnungen, die Missverstàndnisse vermeiden helfen...

Ausgangssituation: Ein WLAN Router (Linksys WRT54GL mit DD-WRT
v24RC6) ist per wireless (eth1) WANseitig in einem privaten Netz
eingebunden. Auf dem WRT làuft ein OpenVPN Client, der als device
tap0 durch das
private WAN



Was, bitte, ist ein privates WAN?


eine öffentliche Class-C IP Adresse tunnelt. Diese
wird dann in das routerseitige LAN Netz (192.168.1.0/24) geroutet.
Aus dem LAN kann man nun mit öffentlicher IP surfen.



Das kann man auch dann, wenn der WAN-Router Masquerading macht. Wo
liegt der Mehrwert? Und wie soll das funktionieren? Der Router
leitet diese IP an genau einen Rechner weiter, der in seinem
Ethernet-Segment liegt? Und dieser Rechner hat außerdem noch eine IP
in diesem privaten C-Netz, oder wie?


Das Problem: Wie kann ich auf dem Router mittels iptables einen
Portbereich von der öffentlich getunnelten IP auf einen bestimmten
Host (FritzBox 7050 für Voip zu 1&1) im privaten Netz (für VoiP)
weiterleiten?



Mir ist nicht mal klar, wie viele Router hier nun im Spiel sind.

Internet WAN-Gateway 192.168.1.0/24 Linksys WRT54GL
FritzBox 7050 (192.168.130.254)

Sieht das so aus? Kann man den Linksys mit iptables konfigurieren?
Oder steht da irgendwo noch ein Linux-PC rum?

Der Versuch:

iptables -t nat -I PREROUTING -p udp --dport 30000:30005 -j DNAT
iptables -I FORWARD -p udp -d 192.168.130.254 --dport 30000:30005
-j ACCEPT

funktioniert leider nicht. Laut Portscan von "Shield Up" ist der
Port geschlossen. Der Router meldet auch, daß die eingehenden Ports
geschlossen sind.

Wie kann das Problem gelöst werden?



Na, erst mal mit einer adàquaten Beschreibung. Dann würde ich mit
tcpdump o.Ä. schauen, wo die Pakete durchkommen. Dass der Router
Ports, die er nur weiterleitet, (mit netstat) als nicht offen
meldet, ist ja klar. Warum sollte da ein Dienst laufen, wenn der
doch nie erreicht wird, weil der Paketfilter entsprechende Anfragen
weiterschiebt?


CU

Hauke
http://www.hauke-laging.de/ideen/
http://www.hauke-laging.de/software/
http://zeitstempel-signatur.hauke-laging.de/
Wie können 59.054.087 Leute nur so dumm sein?

Ähnliche fragen