Jan
20
2016

OpenVPN – UFW – routing zwischen mehreren Netzwerken

OpenVPN UFW Routing © Maximilian Riess / Riess Group.

Sobald man über OpenVPN mehrere Netzwerke verbinden möchte, muss der VPN-Server ip_forwarding aktiviert haben, und schon funktioniert dies. Betreibt man auf dem VPN-Server aber eine Firewall (hier UFW), funktioniert das Routing nicht mehr, da die Defaulteinstellung der UFW (Uncomplicated FireWall) den Austausch von Daten zwischen den Interfaces verbietet.

Die Einstellung hierzu findet man bei Debian unter /etc/default/ufw:

DEFAULT_FORWARD_POLICY="DROP"

Wenn Pakete zwischen verschiedenen Interfaces ausgetauscht werden sollen, muss diese Einstellung folgendermaßen geändert werden:

DEFAULT_FORWARD_POLICY="ACCEPT"

Erst damit wird das Routing bei aktiver UFW möglich.

+----------------------------------+
|      OpenVPN Server              |
|      with enabled UFW (Firewall) |
+----------+------------+----------+
           |            |
        .5 |         .9 |
           |            |
+----------+---+    +---+----------+
| Transit      |    | Transit      |
| Network      |    | Network      |
| 10.10.90.4/30|    | 10.10.90.8/30|
+--------+-----+    +------+-------+
         |                 |
      .6 |             .10 |
         |                 |
+--------+------+  +-------+-------+
|Gateway towards|  |Gateway towards|
| Network A     |  |  Network B    |
| 10.10.1.0/24  |  |  10.10.2.0/24 |
+---------------+  +---------------+

 

Referenz: https://wiki.ubuntu.com/UncomplicatedFirewall

Diagram: http://asciiflow.com/