×
Spam, keine Downloads möglich (17 Okt 2020)

Nachdem sich in letzter Zeit Spamregistrierungen häufen, habe ich beschlossen, den ersten Beitrag eines Users nach der Registrierung zu moderieren und manuell freizuschalten. Ich bitte euch also um Verständnis, wenn euer erster Beitrag nicht sofort sichtbar wird.

Die Downloads bleiben nach wie vor gesperrt. Wer eine verlinkte Datei braucht, möge mir eine Mail schreiben.

Ich bitte alle User um Verständnis !

Euer Andi

normal Frage Wireguard kein Routing in Netzwerk


  • sergio_eristoff
  • sergio_eristoffs Avatar Autor
  • Offline
  • Gesperrt
  • Gesperrt
Mehr
29 Jan 2021 20:13 #79444 von sergio_eristoff
sergio_eristoff antwortete auf Wireguard kein Routing in Netzwerk
Beispiel Routerwebinterface unter 10.0.0.1 ist nicht erreichbar. Generell verwende ich nicht gerne interne Namensauflösungen. Bin eher der Freund von IPs.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
29 Jan 2021 21:27 #79446 von jo93
Wie schauen die Firewallregeln aus?
Heist das LAN Interface eth0 ?
Das CG Nat Netz wird von Fonira verwendet und auch intern gerouted.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • sergio_eristoff
  • sergio_eristoffs Avatar Autor
  • Offline
  • Gesperrt
  • Gesperrt
Mehr
29 Jan 2021 21:49 #79447 von sergio_eristoff
sergio_eristoff antwortete auf Wireguard kein Routing in Netzwerk

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.0.109  netmask 255.255.255.0  broadcast 10.0.0.255
        inet6 fe80::9874:bc67:8dac:afd  prefixlen 64  scopeid 0x20<link>
        ether b8:27:eb:4f:b0:00  txqueuelen 1000  (Ethernet)
        RX packets 1090506  bytes 178001832 (169.7 MiB)
        RX errors 0  dropped 1  overruns 0  frame 0
        TX packets 16377  bytes 1195124 (1.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Lokale Schleife)
        RX packets 1  bytes 152 (152.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 152 (152.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 1420
        inet 100.64.0.1  netmask 255.255.255.0  destination 100.64.0.1
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000                                                       (UNSPEC)
        RX packets 34  bytes 3304 (3.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 7  bytes 344 (344.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Ist ganz klar eth0 und wie man sieht der Tunnel ist auch up mit wg0.

Netzwerk ist Liwest und die Fonira, wobei bei Fonira habe ich eine Statische IP und ziehe alles über den PPPOE Tunnel, da ist das CG Nat Netz egal.

Firewallregeln setze ich diese beim Aktivieren:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Regeln generell schauen so aus:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       udp  --  anywhere             anywhere             udp dpt:l2f policy match dir in pol none
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere             multiport dports isakmp,ipsec-nat-t
ACCEPT     udp  --  anywhere             anywhere             udp dpt:l2f policy match dir in pol ipsec
DROP       udp  --  anywhere             anywhere             udp dpt:l2f

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  192.168.42.0/24      192.168.42.0/24
ACCEPT     all  --  anywhere             192.168.43.0/24      ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.43.0/24      anywhere
DROP       all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
30 Jan 2021 08:27 - 30 Jan 2021 08:28 #79448 von jo93
Könntest du bitte die NAT Table posten:

sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 951K packets, 122M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 212K packets, 17M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1484 packets, 109K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 1479 packets, 108K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   37  2460 MASQUERADE  all  --  *      ens19   0.0.0.0/0            0.0.0.0/0   
Letzte Änderung: 30 Jan 2021 08:28 von jo93.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • sergio_eristoff
  • sergio_eristoffs Avatar Autor
  • Offline
  • Gesperrt
  • Gesperrt
Mehr
30 Jan 2021 08:43 #79450 von sergio_eristoff
sergio_eristoff antwortete auf Wireguard kein Routing in Netzwerk
Chain PREROUTING (policy ACCEPT 157K packets, 23M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 157K packets, 23M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 2 packets, 278 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    192.168.42.0/24      0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth0    192.168.43.0/24      0.0.0.0/0            policy match dir out pol none
   28  2108 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 279 packets, 21174 bytes)
 pkts bytes target     prot opt in     out     source               destination
 

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
30 Jan 2021 08:56 #79451 von jo93
Der nächste Schritt wäre dann mit tcpdump / wireshark einmal mitlesen, was bei eth0 raus bzw rein kommt, wenn man über das VPN einen Ping macht.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.179 Sekunden
Powered by Kunena Forum