Traffic Routing via iptables -> timeout?

[BLACKDIAMONT]

Nabend zusammen,

irgendwie übersehe ich was oder ..... kp

Ich habe ein TP-Link Router mit OpenWRT den Missbrauche ich gerade für Tests, diesesmal soll vom LAN und WLAN(br-lan) jeglicher Traffic durch den OpenVPN Tunnel(tun0) geschickt werden.

Eigentlich sollte es ja mit den drei iptables Rules gegessen sein:

iptables -A FORWARD -i br-lan -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0  -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

ipv4 Forward ist aktiv

Ping etc geht ins Timeout ... mit tcpdump sehe ich:

14:52:40.311931 IP lap.lan > fra15s12-in-f3.1e100.net: ICMP echo request, id 512, seq 9984, length 40

Das wars auch schon ..... weder auf tun0 noch auf eth0 (wo es ja garnicht raus soll) ist was zu sehen ...

root@OpenWrt:~# ifconfig
br-lan Link encap:Ethernet HWaddr C0:4A:00:40:B1:C4
inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0
inet6 addr: fe80::c24a:ff:fe40:b1c4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:706 errors:0 dropped:0 overruns:0 frame:0
TX packets:422 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:45111 (44.0 KiB) TX bytes:40435 (39.4 KiB)

eth0 Link encap:Ethernet HWaddr C0:4A:00:40:B1:C5
inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:158954 errors:0 dropped:6950 overruns:0 frame:0
TX packets:18083 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:170559091 (162.6 MiB) TX bytes:8611768 (8.2 MiB)
Interrupt:4

eth1 Link encap:Ethernet HWaddr C0:4A:00:40:B1:C4
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1753 errors:0 dropped:3 overruns:0 frame:0
TX packets:4255 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1287916 (1.2 MiB) TX bytes:4022401 (3.8 MiB)
Interrupt:5

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1061 errors:0 dropped:0 overruns:0 frame:0
TX packets:1061 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:107100 (104.5 KiB) TX bytes:107100 (104.5 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.20.0.2 P-t-P:10.20.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:504 (504.0 B) TX bytes:504 (504.0 B)

wlan0 Link encap:Ethernet HWaddr C0:4A:00:40:B1:C4
inet6 addr: fe80::c24a:ff:fe40:b1c4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:859 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:76604 (74.8 KiB)

Ein Ping via tun0 zu google geht einwandfrei ..... irgendwo muss das Paket hängen

Hat einer von die Rettende Idee?^^

Grüsse
BLACK

 

[strex]

Wo bleibt der Traceroute stecken? Besten mal hier zeigen.
Sind noch andere FW Regeln für die Interfaces aktiviert? Ist der Tunnel noch erreichbar nachdem du die Regeln ausgeführt hast? Über welche Schnittstelle verbindet sich der Tunnel? eth0, eth1,..?

Folge den Guide hier: https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

 

[BLACKDIAMONT]

Beim Router bleiben die Stecken, zeigen uff wird schwierig is ein XP Notebook.

Andere Regeln sind nicht aktiv bis auf TCP-SynFlood von OpenWRT.

Das der Tunnel erreichbar ist kann ich dir gern auch Zeigen:

root@OpenWrt:~# ping -I tun0 google.de
PING google.de (216.58.208.35): 56 data bytes
64 bytes from 216.58.208.35: seq=0 ttl=57 time=25.597 ms
64 bytes from 216.58.208.35: seq=1 ttl=57 time=35.492 ms

eth0 = "WAN" in meinem Fall das Heimnetzwerk für Inet
eth1 = "LAN" bridged mit WLAN
wlan0 = "WLAN" bridged mit LAN
br-lan = ist die default Bridge von OpenWRT für LAN und WLAN
tun0 = p2p tunnel

edit: der guide ist im endeffekt genau wie ichs hab ... strange das ganze

edit2: Geistesblitz!
Ping vom Laptop auf 10.20.0.1 ging einwandfrei .. was eigentlich für korrekte iptables rules spricht(würd ich sagen).

Die Lösung ist ein statisches routing:

route add <vpn-server-ip>/32 dev eth0 gw 192.168.2.1
route delete default gw 192.168.2.1
route add default gw 10.20.0.1

Works!
Danke fürs Helfen

 

[strex]

Das wäre die nächsten Frage gewesen, mit der Routing Table

 

[BLACKDIAMONT]

Ja, ich war irgendwie der Meinung das iptables irgendwas verhaut, aber man lernt nie aus
Wäre ne idee für ein Wiki oder howto