iptables und openvpn

[PapaBaer]

Folgendes Problem:

Ich hab einen OpenVPN-Tunnel vom WRT auf meinen Server im LAN mit folgenden IPs und Netzen:

WRT

• eth1 -> 104.62.14.41/8

• br0 -> 192.168.1.1/24

• tap0 -> 104.62.0.99/28

Server

• eth0 -> 192.168.1.235/24

• tap0 -> 104.62.0.100/28

Der VPN-Tunnel steht und funzt. Wenn ich mir das Routing auf dem WRT anschaue ist da auch alles korrekt, 104.62.0.96 wird auf tap0 geschickt. Erst konnte ich nicht durch den Tunnel vom Server zum WRT pingen, hab dann aber ein paar iptables Regeln gefunden.

Code: Alles auswählen

iptables -I INPUT -i tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -j ACCEPT
iptables -I OUTPUT -o tap0 -j ACCEPT

Wenn ich jetzt aber auf dem Server die 104.62.0.99 als Standard-Gateway setze hab ich folgenden Effekt: vom WRT kann ich alle Netze und den Server anpingen. Vom Server kann ich den WRT auf 104.62.0.99 und auf 104.62.14.41 pingen, aber hinter dem WRT ist alles tot. Ein ping auf 104.62.14.20 ist nicht drin.

Wenn ich den Standard-Gateway auf dem Server jedoch auf 192.168.1.1 setze und nicht durch den Tunnel gehe, ist alles in Ordnung.

Muss da noch was in die iptables rein? Mir richt das irgendwie stark nach nem Problem im FORWARD-Chain. Da an den Routen alles ok ist, glaube ich nicht das da was schief geht. Am OpenVPN hab ich schon alles mögliche ausgetestet, tun bzw. tap Device, tcp bzw. udp, ... immer das gleiche Ergebnis

Stefan

[se]

sieht für mich erstmal so aus, als würde die 104.62.14.20 nicht die korrekte route zu deiner 104.62.0.100 kennen, d.h. ping-requests kommen zwar an, aber ping-respone geht nicht, da keine route bekannt. hast du das netz per hna4 announced?

[PapaBaer]

Danke,

das wars natürlich, jetzt gehts und ich kann sogar die ersten Server-Dienste von außen ansprechen. Es geht voran, wenn ich fertig bin, schreib ich mal ne dicke Wiki-Seite dazu.

Stefan