[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing
Christoph Schulz
fli4l at kristov.de
So Nov 15 19:33:25 CET 2015
Hallo!
Alexander Dahl schrieb:
>> Nein, aber es sollte eine entsprechende PREROUTING-Regel geben, die
>> Pakete an das entsprechende dummy-Gerät weiterleitet.
>
> Ich habe keine entsprechende Regel erstellt.
Nein, das meinte ich nicht. Das openvpn-Paket erstellte passende Regeln. Das
dummy-Device wird intern genutzt, um den OpenVPN-Tunneln von dem äußeren
Interface etwas zu "entkoppeln". Es ist ein Implementierungs-Detail, das
eigentlich (!) keine Rolle spielen sollte -- außer es funktioniert
irgendetwas nicht. Und das scheint bei dir der Fall zu sein.
Mach mal "iptables -t nat -vnL" und suche in der Ausgabe nach DNAT-Regeln,
die Pakete nach 169.254.23.42 schicken. Ich wette, du wirst fündig werden.
Bei mir sieht das z.B. so aus:
fence 4.0.0-r42485 # iptables -t nat -vnL | grep 169.254.23.42
6 736 MASQUERADE all -- * !dummy0 169.254.23.42
0.0.0.0/0
7 1300 DNAT all -- !dummy0 * 0.0.0.0/0
0.0.0.0/0 match-set nat-ovpn-port dst to:169.254.23.42
Die Regel 7 ist die, die ich meinte -- alles, was _nicht_ vom dummy-Device
selbst kommt und an den OpenVPN-Zielport geschickt wird, wird zu
169.254.23.42 (und somit dem dummy-Device) umgeleitet.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4l_dev