Statische IP via vServer/OpenVPN



  • Moin moin,

    ich habe folgendes vor, Teile davon funktionieren auch, jedoch so ganz komm ich noch nicht klar …

    Folgendes Szenario: VDSL2 -> Modem -> pfSense/172.16.1.1/(auf einer WatchGuard-Maschine) -> LAN
    Im LAN haengt ein Server/172.16.1.254/

    per OpenVPN baue ich nun vom pfSense eine Verbindung mit einem vServer auf (geht auch alles) welcher mehrer IP's hat. Von einer IP sollen Teile (80,443 ...) zum OpenVPN gehen, die pfSense zuhause soll die dann per NAT an den Server bringen (Wahrscheinlich schreibe ich total verwirrend :) )

    Damit soll der interne Server im Prinzip eine öffentliche IP bekommen um dann einen mx darauf zu betreiben.

    auf dem VServer wird folgendes gemacht, was prinzipell auch funktioniert:

    #!/bin/bash
    IPT=which iptables
    SYSCTL=which sysctl
    ext_if="venet0"
    int_if="tun0"
    int_ip="172.16.2.6" # IP address in internal VPN network

    $IPT -t nat -A PREROUTING -p tcp -i $ext_if --dport 80 -j DNAT --to $int_ip:80
    $IPT -A FORWARD -p tcp -i $ext_if -o $int_if -d $int_ip --dport 80 -m state --state NEW -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -i $ext_if --dport 443 -j DNAT --to $int_ip:443
    $IPT -A FORWARD -p tcp -i $ext_if -o $int_if -d $int_ip --dport 443 -m state --state NEW -j ACCEPT

    $IPT -A FORWARD -i $ext_if -o $int_if -d $int_ip -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -i $int_if -s $int_ip -o $ext_if -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPT -t nat -A POSTROUTING -j MASQUERADE -o $int_if

    So - meine Frage ist nun - funktioniert das ordentlich, wie ist es mit Antwortpaketen ?

    Eine weitere Frage, wie bringe ich pfSense/den vServer dazu, alles was von 172.16.1.254 auf dem SMTP-Port kommt 'via' dem vServer zu versenden ? (vServer hat auf dieser IP auch einen RDNS ...)

    Reicht es um einen mx auf der Kiste zu betreiben wenn ich wie oben statt port 80 entsprechend den smtp-port eintrage ? auf der heimischen pfsense natuerlich dann ein nat smtp -> 172.16.1.254
    Ich kann von der Teledumm leider keine Statische IP bekommen ;(

    Danke & Gruss,
    michael


  • Moderator

    Okay das klingt wirklich etwas konfus :) Könnte man das nochmal etwas klarer ggf. mit einem kleinen Bild kombiniert darlegen? Ich habe eine wage Ahnung was bezweckt werden soll, aber ganz sicher bin ich mir dabei nicht :)



  • Er versucht etwas ähnliches wie ich.. Er möchte einfach einen VPN Client zu Hause an eine IP seines vServers binden.
    Er lässt z.b. auf seinem Client sagen wir 172.16.10.100 einen Mailserver laufen auf port 25. Er möchte diesen Port über den VPN an einer IP Seines Vservers weiterleiten. Das heißt spricht man die WAN IP des vServers auf Port 25 an wird man mittels dnat und snat an den client weitergereicht… Ich hab dasselbe problem.. Jedoch etwas anders :D