Harald Oehlmann schrieb:
Am 31.08.2010 11:55, schrieb Fred Ockert:
Harald Oehlmann schrieb:
Am 31.08.2010 11:16, schrieb Fred Ockert:
Harald Oehlmann schrieb:
Mir geht es um das routen der rohen vpn-Pakete, die ja bei mir udp:443 Pakete sind, also das, was du "geschickter Netzaufbau" nennst. nix Routen !!! das Zauberwort heisst hier Portforwarding!
RW -> dsl0:443 UDP -> 10.10.10.10:443 UDP -> 172.30.30.30:443 udp -> 192.168.17.17:443 udp
Ja, genau das versuche ich. Deshalb habe ich ja auch in SuSE-Firewall unter Maskerading eine Portweiterleitung gesetzt. Nur gehen dann die Rückpakete aus dem falschen dsl-Kanal raus.
bitte nix NATten (ohne Not :) ) wo rennt denn der openVPN-Server ? Masquerading haben ich nirgendwo hier (nur einmal NAT nach aussen...)
Ja, Begriffe sind faszinierend.
openVPN läuft auf dem Server. Dieser hat keine öffentliche IP-Adresse. In Richtung Internet hat dieser den Router-PC mit SuSE. Dieser hat 2 öffentliche IP-Adressen, je dsl eine.
Ich nutze Maskerading (was ich eventuell irreführend mit NAT bezeichnet habe) auf dem Router-PC für alle Pakete (nicht nur VPN Rohpakete), um die nichtöffentliche Server-IP-Adresse (192.168.201.147) für das Internet in die Öffentlichen zu übersetzen.
überredet... (Masquerading/NAT), dabei redest du aber von ausgehenden Verbindungen!!! openVPN wartet aber auf eingehende Verbindungen -... das ist ein bisserl was anderes
Ich vermute, daß das SuSE-Firewall Port Forwarding einfach nicht für mehrere Aussenschnittstellen gemacht ist und daß es deshalb nicht geht.
doch... natürlich hat jder "Kanal" von aussen seinen eigenen Port! Wenn von innen 2 vpn-Server lauschen, dann tun sie das (von aussen gesehen) auf 2 unterschielichen Ports ...alternativ: einer udp, der zweite tcp ... wobei TCP teilweise etwas langsamer ist...
Ich habe nur einen vpn-Server mit einem Port (udp:443), der eben über zwei öffentliche IP-Adressen erreichbar sein könnte.
Noch nie probiert... könnte aber gehen (erst einen Probieren, dann den nächsten) viel einfacher ist es aber 2 Serverinstanzen auf 2 verschiedenen tun-Devices mit je einem eigenen Port laufen zu lassen. Jedem seine eigene Server.conf ...seinen eigenen (öffentlichen) Port ..
Mein Gate nach aussen leitet einen Handvoll Ports auf verschiedene Maschinen weiter [VPN,ssh, smtp,http]...natürlich hat z.B. jeder Webserver (nach aussen) einen anderen Port ! ich.net:10000; ich.net:10001; ich.net:10003 usw. das wird jeweils auf intern1:80 ; intern2;80 und intern3:80 geforwardet
NAT findet nur statt um alle 255 IPs nach aussen auf eine abzubilden (na ja..wie jedes Gate zum Internet eben)
Nach aussen also 88.88.88.88 (eth0) innen 10.10.10.0/24 (eth1)...Beispiel-IPs . also wird 88.88.88.88:443 udp nach 10.10.10.99:1234 geforewardet ...weil dor der VPN-Server lauscht
und der antwortet auch genau dahin (established ).. da geht nix zum Standardgateway...
Das ist so klar. Ich habe das eventuell falsch konfiguriert. Bei mir gehen eben die Rückpakete zum Standardgateway heraus. Eventuell liegt das auch am UDP, da ja da kein Zustand ist und der Maskerading Router PC eventuell nichts speichert.
nein auch UDP weiss, woher die Verbindung gekommen ist Ich würde auf inkorrekten Portforward tippen Oder sag mir, warum das sonst bei dir so nicht geht...na ja ... evtl. kommst du per VPN rein, kannst den (File)Server eine Frage zukommen lassen, aber der kennt den "Weg nach Hause" nicht und schickt den Krempel zum Standardgateway (das tut aber nicht der VPN-Server..) Aber ..erst mal solltest du die Kiste mit dem VPN-Server stabil erreichen können ..testen per ssh-login oder so was in der Art.
Danke, Harald
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org