DS-Lite Internet: IPv4 über openssh Tunnel und ferst-ip.net

[Stefan U. Hegner]

Moin in die Runde,

ich versuche seit geraumer Zeit, die Nachteile meines Unitymedia DS-Lite
Internetzugangs mittels einer dedizierten IPv4 und einem openvpn-Tunnel
sowie iptables-Portmapping von feste-ip.net auszubügeln (... bitte keine
Flame-war über die Nachteile und Risiken solcher Anbieter, OK?).

Allerdings will ich dafür keinen zusätzlichen Raspberry nutzen, sondern
meine bestehende 24/7 Stretch-Box.

Leider zuckt deren Support nur sporadisch und mit Auslöseverzögerung und
die Antworten sind extrem sparsam. Eine umfassende Doku gibt es leider
noch nicht. Ich habe viel von meinen Fehl-Versuchen und Teil-Erfolgen
dort im Support-Wiki dokumentiert, damit man vielleicht am Ende
rekonstruieren kann, was man braucht, damit es klappt.

Mein Status Quo ist wie folgt: Ich kann ...

  * die IPv4 über openVPN bei mir einbinden
  * ausgehende Verbindungen über die IPv4 machen
  * eingehende Verbindungen auf der Box mit dem openVPN client annehmen

Was ich allerdings noch nicht kann und was mich ziemlich nervt ist, dass ich

  * keine Verbindungen über nat / iptables an andere Rechner im Heimnetz
    weiterreichen kann

die iptables sehen z.B. so aus:

    # iptables -t nat -L
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination        
    DNAT       tcp  --  anywhere             anywhere             tcp
    dpt:http to:192.168.2.116:80
    DNAT       tcp  --  anywhere             anywhere             tcp
    dpt:81 to:192.168.2.250:631
    DNAT       tcp  --  anywhere             anywhere             tcp
    dpt:222 to:192.168.2.116:22
    DNAT       tcp  --  anywhere             anywhere             tcp
    dpt:2222 to:192.168.2.250:22

    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination        

    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination        

    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination        
               all  --  anywhere             raspy-mpd.x.x.x
               all  --  anywhere             zombie.x.x.x
               all  --  anywhere             raspy-mpd.x.x.x
               all  --  anywhere             zombie.x.x.x

Dabei ist zombie (.250) der openvpn client. Ein "normales" ssh auf Port
22 geht, ein Verbiegen von 2222 auf 22 geht auch. Ebenso geht der
Zugriff über http und Port 81 auf den Cupsport 631. Nur der Zugriff auf
raspy-mpd will nicht, da bekomme ich timeouts.

Falls da jemand eine schlaue Idee hat, wie ich das z.B. mit tcpdump
debuggen kann (welche Params und wonach will ich dann im Output suchen)
würde mich das sehr freuen. Auch für sonstige Hinweise wäre ich dankbar.
Meine Shorewall habe ich inaktiv, wenn ich hier bastele, so dass ich
diese Fehlerquelle für den Moment ausschließe.

1000 Dank und bis die Tage

Hegi.

-- 
Stefan U. Hegner
         <stefan at hegner-online.de>
              * * *
D-32584 Löhne --- good ole Germany
internet: http://www.hegner-web.de
              * * *
GPG-Key | 048D 7F64 0BEB 73B1 2725
F-Print | C05E 4F77 9674 EF11 55FE

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 228 bytes
Desc: OpenPGP digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20180208/ca3790e9/attachment.sig>