Hallo Liste. Ich hab mir ein funktionierendes VPN gebaut, und zwar so, daß ich von außen ins Firmen-LAN komme, wo der VPN-Server (10.0) steht. Soweit, so gut, das Problem ist nur, daß zwar der Tunnel steht, ich aber das dahinter liegende nicht komme. Zu diesem Zweck wolle ich mir Masquerading aktivieren. Das geht aber nicht, weil Yast den Netzwerkadapter tun0 nicht findet. Es gibt ihn aber: # ifconfig tun0 tun0 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet Adresse:10.8.0.1 P-z-P:10.8.0.2 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 Sendewarteschlangenlänge:100 RX bytes:576 (576.0 b) TX bytes:576 (576.0 b) Was muß ich jetzt anstellen, um mich mit dem Rest des Netzwerkes hinter dem Server unterhalten zu können? Danke und Gruß. -- Andre Tann
Am Donnerstag, 30. März 2006 16:07 schrieb Andre Tann:
Hallo Liste.
Ich hab mir ein funktionierendes VPN gebaut, und zwar so, daß ich von außen ins Firmen-LAN komme, wo der VPN-Server (10.0) steht.
Soweit, so gut, das Problem ist nur, daß zwar der Tunnel steht, ich aber das dahinter liegende nicht komme. Zu diesem Zweck wolle ich mir Masquerading aktivieren. Das geht aber nicht, weil Yast den Netzwerkadapter tun0 nicht findet.
Es gibt ihn aber:
# ifconfig tun0 tun0 Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet Adresse:10.8.0.1 P-z-P:10.8.0.2 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:8 errors:0 dropped:0 overruns:0 frame:0 TX packets:8 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 Sendewarteschlangenlänge:100 RX bytes:576 (576.0 b) TX bytes:576 (576.0 b)
Was muß ich jetzt anstellen, um mich mit dem Rest des Netzwerkes hinter dem Server unterhalten zu können?
Danke und Gruß.
-- Andre Tann
Ich vermute mal, du willst das mit der SuSEfirewall2 machen, oder? Dann solltest du am besten mal direkt in die Konfigurationsdatei in /etc/sysconfig/SuSEfirewall2 schauen und das dort ändern. Danach ein SuSEfirewall start um die Änderungen zu übernehmen. Mfg, Thomas
Thomas Gräber, Donnerstag, 30. März 2006 16:27:
Ich vermute mal, du willst das mit der SuSEfirewall2 machen, oder? Dann solltest du am besten mal direkt in die Konfigurationsdatei in /etc/sysconfig/SuSEfirewall2 schauen und das dort ändern. Danach ein SuSEfirewall start um die Änderungen zu übernehmen.
OK, das habe ich nunmehr ausgiebig probiert, aber ich hatte keinen Erfolg. Vermutlich liegt das daran, daß ich nicht genug von IP-Netzen verstehe. Daher versuche ich nun, das Problem aufzuzeichnen, in der Hoffnung, daß mir da jemand in der Sache helfen kann. Kann doch eigentlich nicht so schwer sein, da es eine Standard-Situation ist. Ziel ist, einen externen Benutzer in das Firmen-LAN zu lassen. Dabei ist der OpenVPN-Server nicht das Standardgateway im LAN. Das Netz sieht so aus: Notebook (192.168.66.69 und 10.8.0.6) | | DSL-Router | | (((((( Internet ))))))) | | Firmen-Firewall ext: fixe IP, | int: 192.168.0.200 | Forwarding Port 1194 auf 192.168.0.199 | +--VPN-Server mit 192.168.0.199 (eth0) | und 10.8.0.1 (tun0) | +--Server1 mit 192.168.0.20 +--Server2 mit 192.168.0.21 +--Client1 usw. Wie kriege ich jetzt Pakete vom Notebook auf Server1 und 2? In meiner Grundeinstellung kann ich vom Notebook aus 10.8.0.1 und vom VPN-Server 10.8.0.6 pingen. Jetzt wollte ich dem Notebook sagen, wo es 192.168.0.20 suchen soll. Dazu habe ich gesetzt # grep push /etc/openvpn/server.conf push "route 192.168.0.0 255.255.255.0" Ist das richtig? [1] Allerdings kann ich jetzt immer noch keinen Server im LAN pingen. Die Pakete finden wohl den Rückweg nicht, und vermutlich auch schon den Hinweg nicht [2]. Kann mir jemand helfen, wie ich das hinbekomme? Irgendwie steh ich auf dem Schlauch. Es muß doch möglich sein, per Masquerading o.ä. eine Einstellung zu finden, mit der die Pakete den Rückweg finden, auch ohne daß ich den ganzen Maschinen im LAN eine feste Route mitgebe. Schließlich kann ich mich auch mit Maschinen im Internet unterhalten, ohne daß die den Rückweg zu mir hinter meinen Router kennen. Es wäre zwar kein Problem, der Firmen-Firewall eine statische Route für Pakete zu 10.8.0.0/16 auf 192.168.0.199 mitzuteilen [3], aber es muß doch auch irgendwie ohne gehen. Ich bitte um Erleuchtung. Gruß. AT [1] Die Routing-Table des Notebooks sieht nunmehr so aus: C:\>route -p PRINT =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 60 73 e5 eb 6e ...... SonicWALL VPN Adapter 0x1000004 ...00 0c 29 3a 74 da ...... AMD PCNET Family Ethernet Adapter 0x4000005 ...00 ff cb e2 cf 2b ...... TAP-Win32 Adapter V8 =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 192.168.66.254 192.168.66.69 1 10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 1 10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 1 10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.66.0 255.255.255.0 192.168.66.69 192.168.66.69 1 192.168.66.69 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.66.255 255.255.255.255 192.168.66.69 192.168.66.69 1 224.0.0.0 224.0.0.0 10.8.0.6 10.8.0.6 1 224.0.0.0 224.0.0.0 192.168.66.69 192.168.66.69 1 255.255.255.255 255.255.255.255 10.8.0.6 2 1 Standardgateway: 192.168.66.254 =========================================================================== Ständige Routen: Keine [2] Die Routing-Table des VPN-Servers sieht so aus: # route Kernel IP Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface 10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default firewall 0.0.0.0 UG 0 0 0 eth0 [3] Das sähe dann so aus (aus dem LAN): # ping 10.8.0.6 PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data. From 192.168.0.200: icmp_seq=1 Redirect Host(New nexthop: 192.168.0.199) -- Andre Tann
Am Donnerstag, 30. März 2006 18:12 schrieb Andre Tann:
Thomas Gräber, Donnerstag, 30. März 2006 16:27:
Ich vermute mal, du willst das mit der SuSEfirewall2 machen, oder? Dann solltest du am besten mal direkt in die Konfigurationsdatei in /etc/sysconfig/SuSEfirewall2 schauen und das dort ändern. Danach ein SuSEfirewall start um die Änderungen zu übernehmen.
OK, das habe ich nunmehr ausgiebig probiert, aber ich hatte keinen Erfolg. Vermutlich liegt das daran, daß ich nicht genug von IP-Netzen verstehe.
Daher versuche ich nun, das Problem aufzuzeichnen, in der Hoffnung, daß mir da jemand in der Sache helfen kann. Kann doch eigentlich nicht so schwer sein, da es eine Standard-Situation ist.
Ziel ist, einen externen Benutzer in das Firmen-LAN zu lassen. Dabei ist der OpenVPN-Server nicht das Standardgateway im LAN. Das Netz sieht so aus:
Notebook (192.168.66.69 und 10.8.0.6)
DSL-Router
(((((( Internet )))))))
Firmen-Firewall ext: fixe IP,
| int: 192.168.0.200 | Forwarding Port 1194 auf 192.168.0.199
+--VPN-Server mit 192.168.0.199 (eth0)
| und 10.8.0.1 (tun0)
+--Server1 mit 192.168.0.20 +--Server2 mit 192.168.0.21 +--Client1 usw.
Wie kriege ich jetzt Pakete vom Notebook auf Server1 und 2?
In meiner Grundeinstellung kann ich vom Notebook aus 10.8.0.1 und vom VPN-Server 10.8.0.6 pingen.
Jetzt wollte ich dem Notebook sagen, wo es 192.168.0.20 suchen soll. Dazu habe ich gesetzt
# grep push /etc/openvpn/server.conf push "route 192.168.0.0 255.255.255.0"
Ist das richtig? [1] müsste soweit stimmen, nur taucht es komischerweise nicht in der Routingtabelle des notebooks auf. Kannst ja mal nen traceroute machen.
Allerdings kann ich jetzt immer noch keinen Server im LAN pingen. Die Pakete finden wohl den Rückweg nicht, und vermutlich auch schon den Hinweg nicht [2].
Kann mir jemand helfen, wie ich das hinbekomme? Irgendwie steh ich auf dem Schlauch. Es muß doch möglich sein, per Masquerading o.ä. eine Einstellung zu finden, mit der die Pakete den Rückweg finden, auch ohne daß ich den ganzen Maschinen im LAN eine feste Route mitgebe. Schließlich kann ich mich auch mit Maschinen im Internet unterhalten, ohne daß die den Rückweg zu mir hinter meinen Router kennen. Es wäre zwar kein Problem, der Firmen-Firewall eine statische Route für Pakete zu 10.8.0.0/16 auf 192.168.0.199 mitzuteilen [3], aber es muß doch auch irgendwie ohne gehen.
Was evtl. klappen könnte, wäre in der SuSEfirewall2 des Openvpn-Servers das Masquerading-device auf ethx(welches die Schnittstelle zum 192.168.0.x-Netz ist) zu setzen und Masquerading-Netz 10.8.0.0/24.
Ich bitte um Erleuchtung.
Erleuchtung vielleicht nicht, aber evtl. etwas Licht. Mfg, Thomas
participants (2)
-
Andre Tann
-
Thomas Gräber