Support Hetzner Firewall bzw. Iptables will nicht so wie ich... wer kann helfen?

[V13-Oscam]

Hallo an alle,

ich habe mir bei Hetzner einen kleinen VPS gegönnt. Die VPN-Verbindung zu Hetzner ist aktiv. Leider bekomme ich es nicht hin, dass der Port 25 hinter dem VPN in meinem Heimnetzwerk erreichbar ist.
Hetzner hat mir jetzt auch "nur" diesen Link geschickt:

Sie müssen registriert sein, um Links zu sehen.

Aktuell schaut iptables so aus:

Spoiler

# Generated by iptables-save v1.8.10 (nf_tables) on Tue Jan 21 13:39:15 2025
*filter
:INPUT ACCEPT [355:27388]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [84:6594]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Jan 21 13:39:15 2025
# Generated by iptables-save v1.8.10 (nf_tables) on Tue Jan 21 13:39:15 2025
*nat
:REROUTING ACCEPT [82:5120]
:INPUT ACCEPT [76:4288]
:OUTPUT ACCEPT [21:1292]
:OSTROUTING ACCEPT [21:1292]
-A POSTROUTING -o wg0 -j MASQUERADE
-A POSTROUTING -o wg0 -j MASQUERADE
COMMIT
# Completed on Tue Jan 21 13:39:15 2025

In der Hetzner Firewall habe ich für eingehenden Verkehr Port 25 freigegeben.

Kann mir da jemand helfen oder welche Infos werden noch benötigt? Vielleicht gibt sich ja jemand die Mühe und kann mir genau sagen, wie die iptables aussehen muss, damit es funktioniert. Allerdings wäre es gut, wenn derjenige mir auch die einzelnen Zeilen etwas erklären könnte, was diese bewirkt. Denn da steige ich bis jetzt noch nicht so durch.

 

[Osprey]

Ich nutze für solche Fragen ChatGPT

Ein Server zuhause erreichen auf tcp port 80. die Verbindung geht aber über einem vps Server auf dem ubuntu 24.04 läuft. Wie müssen iptables gesetzt werden?

Spoiler

Um einen Heimserver auf TCP-Port 80 zu erreichen, wobei die Verbindung über einen VPS läuft, können Sie iptables auf dem VPS so konfigurieren, dass der Datenverkehr weitergeleitet wird. Dies setzt voraus, dass IP-Forwarding auf dem VPS aktiviert ist. Hier sind die Schritte, die Sie befolgen müssen:

1. IP-Forwarding aktivieren

Aktivieren Sie das IP-Forwarding auf dem VPS:

sudo sysctl -w net.ipv4.ip_forward=1

Stellen Sie sicher, dass diese Änderung auch nach einem Neustart bestehen bleibt. Dazu fügen Sie folgende Zeile in die Datei /etc/sysctl.conf ein:

net.ipv4.ip_forward=1

2. IPTables-Regeln auf dem VPS konfigurieren

Nehmen wir an:
• Die öffentliche IP-Adresse des VPS ist VPS_IP.
• Die interne IP-Adresse Ihres Heimservers ist HOME_SERVER_IP.
• Der VPS leitet den Datenverkehr auf TCP-Port 80 an den Heimserver weiter.

Fügen Sie folgende IPTables-Regeln hinzu:

a) NAT-Regeln für Portweiterleitung

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination HOME_SERVER_IP:80
sudo iptables -t nat -A POSTROUTING -d HOME_SERVER_IP -p tcp --dport 80 -j MASQUERADE

• PREROUTING: Leitet eingehende Anfragen auf TCP-Port 80 an die IP des Heimservers weiter.
• POSTROUTING: Setzt die Absender-IP-Adresse auf die des VPS, damit der Heimserver die Antwort über den VPS zurücksendet.

3. IPTables-Regeln auf dem Heimserver (optional)

Falls Ihr Heimserver hinter einem NAT-Router steht, stellen Sie sicher, dass:
1. Der Router Port 80 auf die interne IP des Heimservers weiterleitet.
2. Auf dem Heimserver selbst keine Firewall den Zugang auf TCP-Port 80 blockiert.

4. IPTables-Regeln sichern

Um die IPTables-Regeln nach einem Neustart beizubehalten, speichern Sie diese (z. B. mit iptables-persistent):

sudo apt install iptables-persistent
sudo netfilter-persistent save

5. Test der Verbindung
• Versuchen Sie, über die öffentliche IP des VPS auf den Heimserver zuzugreifen: http://VPS_IP.
• Wenn alles korrekt konfiguriert ist, sollte die Anfrage an den Heimserver weitergeleitet werden.

Falls Fragen oder Probleme auftauchen, teilen Sie mir Details zu Ihrer Netzwerkstruktur mit!

 

[V13-Oscam]

Auch keine schlechte Idee, hab ich noch nie benutzt, ich probiere es mal.

 

[Osprey]

ich probiere es mal.

Das Problem ist, es macht süchtig und man verlernt das selbstständige Denken. Ich nutze das schon mehrere Stunden am Tag

 

[V13-Oscam]

Da der Router die VPN-Verbindung aufbaut, muss ich dann als die Homeserver_IP die Router IP eingeben?

Welches ChatGPT nutzt du?

 

[Osprey]

Damit ist deine externe ip oder dyndns Adresse gemeint.

 

[V13-Oscam]

Es gibt eigentlich in dem Sinne keine externe IP oder DynDNS Adresse. Die feste IPv4 von Hetzner steht in einem DNS A-Eintrag drin verbunden mit einem mx-Eintrag "xxx.xxx.de"

 

[Osprey]

Die externe ip Adresse von dir Daheim ist damit gemeint. Wenn du dich mit dem Hetzner VPS verbindest muss der ja wissen an welche ip er den Port weiterleiten werden soll.

 

[V13-Oscam]

Eigentlich an die IP von Hetzner, denn die ist ja durch die VPN-Wireguard-Verbindung mit dem Router zuhause verbunden. Meine externe Telekom IP ändert sich ja ständig und DynDNS möchte ich nicht. Darum möchte ich das ja über die feste IPv4 von Hetzner lösen. Ich habe ja schon eine andere VPN-Verbindung mit dem gleichen Prinzip laufen, aber aus Kostengründen wollte ich halt auf Hetzner umsteigen.

 

[Osprey]

Und was ist der Server Zuhause dein Router oder ein anderes Gerät?

 

[V13-Oscam]

Ein PC im Heimnetzwerk mit Axigen Mailserver, Router hat die IP 192.168.174.1

 

[Osprey]

Auf welchem Gerät läuft der VPN Client bei dir Zuhause auf dem Router oder auf dem PC?

 

[V13-Oscam]

Auf dem Router.

Was ich nicht ganz verstehe. Wenn ich die iptables Datei rules.v4 speichere, muss ich den Dienst dann nicht neu starten?
iptables ist installiert (apt install iptables sagt mir das), aber mit systemctl restart iptables, service iptables restart, systemctl status iptables kommt immer die Meldung "iptables.service could not be found"

In der Hetzner UI von Wireguard ist ein Client angelegt deren Daten im Router eingetragen sind. Hier hat das Interface 172.30.0.2. Die Adresse in iptables eingetragen funktioniert es aber auch nicht. Wäre für mich jetzt logisch gewesen, dass der Port 25 auf die Interface-Adresse weitergeleitet wird und dann natürlich am Router rauskommt.

 

[Osprey]

Dann kann ich dir leider nicht weiterhelfen. Wenn der Client der PC wäre, müsstest du nur am VPS die wg0.conf ergänzen mit der privaten ip vom pc 192.168.. und die iptables anpassen. Ab hier lesen wenn du den vps Client umziehen möchtest zum Server Eigenen VPN Server mit Wireguard einrichten

 

[V13-Oscam]

Ich bekomme es weiterhin nicht hin, selbst wenn ich PostUp und PostDown direkt im Wireguard UI von Hetzner eingebe funktioniert es nicht. Weiß nicht, warum das so kompliziert sein muss.