VPN Roadwarrior SL 9.3
Hallo LeserIn, sobald ich mich mittels rcipsec start mit dem VPN Gateway verbinde, bekomme ich von meinem Notebook mit SL 9.3 keine Verbindung mehr zu einem beliebigen Rechner im I-net. Sowohl ping als auch traceroute mit einer IP Adresse liefern sofort "resource temporarily unavailable". Die Tunnel zum VPN Gateway und dem LAN dahinter funktionieren. Das VPN Gateway kann ich sowohl über die externe IP als auch die interne an-pingen. Woran kann das liegen? Welche Informationen werden evtl. noch benötigt? Vielen Dank für Hilfe und liebe Grüße aus Wien Heinz
Hallo Hienz, Heinz Mezera schrieb:
Hallo LeserIn,
sobald ich mich mittels rcipsec start mit dem VPN Gateway verbinde, bekomme ich von meinem Notebook mit SL 9.3 keine Verbindung mehr zu einem beliebigen Rechner im I-net. Sowohl ping als auch traceroute mit einer IP Adresse liefern sofort "resource temporarily unavailable". Die Tunnel zum VPN Gateway und dem LAN dahinter funktionieren. Das VPN Gateway kann ich sowohl über die externe IP als auch die interne an-pingen.
mit Suse 9.3 habe ich es noch nicht probiert, aber bei den VPNs die ich kenne, wird die default-Route auf die VPN-Verbindung gelegt, so dass dann in der Tat keine anderen Internet-Adressen funktionieren. Ich weiß allerdings nicht, ob man dieses Verhalten ändern kann... Gruß Martin
Am Montag 20 Juni 2005 15:56 schrieb Hans-Martin Flesch:
Hallo Hienz,
Heinz Mezera schrieb:
Hallo LeserIn,
sobald ich mich mittels rcipsec start mit dem VPN Gateway verbinde, bekomme ich von meinem Notebook mit SL 9.3 keine Verbindung mehr zu einem beliebigen Rechner im I-net. Sowohl ping als auch traceroute mit einer IP Adresse liefern sofort "resource temporarily unavailable". Die Tunnel zum VPN Gateway und dem LAN dahinter funktionieren. Das VPN Gateway kann ich sowohl über die externe IP als auch die interne an-pingen.
mit Suse 9.3 habe ich es noch nicht probiert, aber bei den VPNs die ich kenne, wird die default-Route auf die VPN-Verbindung gelegt, so dass dann in der Tat keine anderen Internet-Adressen funktionieren. Ich weiß allerdings nicht, ob man dieses Verhalten ändern kann...
Gruß Martin
Was für eine VPN Software ist das denn? Die VPNs die ich kenne machen das nicht so. Darüber wird nur die die Route zum Zielnetz(VPN) gesetzt. Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
Hans-Martin Flesch <hmflesch@bugi.de> writes:
Hallo Hienz,
Heinz Mezera schrieb:
Hallo LeserIn, sobald ich mich mittels rcipsec start mit dem VPN Gateway verbinde, bekomme ich von meinem Notebook mit SL 9.3 keine Verbindung mehr zu einem beliebigen Rechner im I-net. Sowohl ping als auch traceroute mit einer IP Adresse liefern sofort "resource temporarily unavailable". Die Tunnel zum VPN Gateway und dem LAN dahinter funktionieren. Das VPN Gateway kann ich sowohl über die externe IP als auch die interne an-pingen.
mit Suse 9.3 habe ich es noch nicht probiert, aber bei den VPNs die ich kenne, wird die default-Route auf die VPN-Verbindung gelegt, so dass dann in der Tat keine anderen Internet-Adressen funktionieren. Ich weiß allerdings nicht, ob man dieses Verhalten ändern kann...
Wenn ein VPN-Gateway als Bridge konfiguriert wurde, werden alle Routes durch die VPN-Verbindung getunnelt. Kommerzielle VPN-Router, wie z.B. Cisco, sind häufig nur als Bridge zu betreiben. Du solltest mal prüfen, ob das Gateway als Bridge oder als Router für bestimmte Adressbereiche konfiguriert wurde. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, mir ist zwar (noch) nicht klar wo du hinaus willst, aber alles weitere unten. Am Montag, 20. Juni 2005 17:02 schrieb Dieter Kluenter:
Hans-Martin Flesch <hmflesch@bugi.de> writes:
Hallo Hienz,
Heinz Mezera schrieb:
Hallo LeserIn, sobald ich mich mittels rcipsec start mit dem VPN Gateway verbinde, bekomme ich von meinem Notebook mit SL 9.3 keine Verbindung mehr zu einem beliebigen Rechner im I-net. Sowohl ping als auch traceroute mit einer IP Adresse liefern sofort "resource temporarily unavailable". Die Tunnel zum VPN Gateway und dem LAN dahinter funktionieren. Das VPN Gateway kann ich sowohl über die externe IP als auch die interne an-pingen.
mit Suse 9.3 habe ich es noch nicht probiert, aber bei den VPNs die ich kenne, wird die default-Route auf die VPN-Verbindung gelegt, so dass dann in der Tat keine anderen Internet-Adressen funktionieren. Ich weiß allerdings nicht, ob man dieses Verhalten ändern kann...
Die Routingtable sieht in den drei Stufen folgendermaßen aus: 1. nach Boot Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 2. nach Modemeinwahl Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.3.65.24 0.0.0.0 255.255.255.255 UH 0 0 0 modem0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 195.3.65.24 0.0.0.0 UG 0 0 0 modem0 2. nach rcipsec start mit auto start der Tunnel Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.3.65.24 0.0.0.0 255.255.255.255 UH 0 0 0 modem0 80.108.217.166 0.0.0.0 255.255.255.255 UH 0 0 0 modem0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 modem0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 0.0.0.0 128.0.0.0 U 0 0 0 modem0 128.0.0.0 0.0.0.0 128.0.0.0 U 0 0 0 modem0 0.0.0.0 195.3.65.24 0.0.0.0 UG 0 0 0 modem0
Wenn ein VPN-Gateway als Bridge konfiguriert wurde, werden alle Routes durch die VPN-Verbindung getunnelt. Kommerzielle VPN-Router, wie z.B. Cisco, sind häufig nur als Bridge zu betreiben. Du solltest mal prüfen, ob das Gateway als Bridge oder als Router für bestimmte Adressbereiche konfiguriert wurde.
Das geschilderte Problem habe ich _nicht_ auf der VPN Gateway Seite, sondern beim Roadwarrior, der sich mittels Modem einwählt. Das Gateway ist ein Linux PC auf Basis Debian Sarge. Im konkreten Fall handelt es sich um den im Heft 04/2005 der c't vorgestellten Server. Hilft dir das weiter, um mir aus der Patsche zu helfen?
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
LG aus Wien, Heinz PS: Zeilenumbruch absichtlich ausgeschalten, um die Tabellen nicht zu "zerbrechen"
Heinz Mezera <hmtux@mezera.at> writes:
Hallo Dieter,
mir ist zwar (noch) nicht klar wo du hinaus willst, aber alles weitere unten. [...] Die Routingtable sieht in den drei Stufen folgendermaßen aus: 1. nach Boot Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 2. nach Modemeinwahl Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.3.65.24 0.0.0.0 255.255.255.255 UH 0 0 0 modem0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 195.3.65.24 0.0.0.0 UG 0 0 0 modem0 2. nach rcipsec start mit auto start der Tunnel Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.3.65.24 0.0.0.0 255.255.255.255 UH 0 0 0 modem0 80.108.217.166 0.0.0.0 255.255.255.255 UH 0 0 0 modem0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 modem0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 0.0.0.0 128.0.0.0 U 0 0 0 modem0 128.0.0.0 0.0.0.0 128.0.0.0 U 0 0 0 modem0 0.0.0.0 195.3.65.24 0.0.0.0 UG 0 0 0 modem0
Wenn ein VPN-Gateway als Bridge konfiguriert wurde, werden alle Routes durch die VPN-Verbindung getunnelt. Kommerzielle VPN-Router, wie z.B. Cisco, sind häufig nur als Bridge zu betreiben. Du solltest mal prüfen, ob das Gateway als Bridge oder als Router für bestimmte Adressbereiche konfiguriert wurde.
Das geschilderte Problem habe ich _nicht_ auf der VPN Gateway Seite, sondern beim Roadwarrior, der sich mittels Modem einwählt. Das Gateway ist ein Linux PC auf Basis Debian Sarge. Im konkreten Fall handelt es sich um den im Heft 04/2005 der c't vorgestellten Server. Hilft dir das weiter, um mir aus der Patsche zu helfen?
Es wäre nützlich zu wissen, was sich hinter den drei Adressen 195.3.65.24, 80.108.217.166 und 128.0.0.0 verbirgt. Ich kenne leider nicht den Artikel der c't, weiss auch nicht was du unter 'Straßenkämpfer' verstehst, aber die Routing Tabelle kann ich lesen. :-) Alle Datenpakete werden an 195.3.65.24 übermittelt, der Host hinter diese Adresse hat für die Verteilung zu sorgen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, hat ein bischen gedauert, da ich nicht da war und werde auch erst am Dienstag wieder "am Gerät" sitzen. Am Montag, 20. Juni 2005 19:00 schrieb Dieter Kluenter:
Heinz Mezera <hmtux@mezera.at> writes:
Hallo Dieter,
<...>
Es wäre nützlich zu wissen, was sich hinter den drei Adressen 195.3.65.24, 80.108.217.166 und 128.0.0.0 verbirgt. Ich kenne leider nicht den Artikel der c't, weiss auch nicht was du unter 'Straßenkämpfer' verstehst, aber die Routing Tabelle kann ich lesen. :-)
Unter Roadwarrior versteht man (in der mir bekannten Literatur) einen Telearbeiter oder Außendienstarbeiter, der sich in das Firmennetz einwählt und dabei jeweils eine andere (dynamische) IP-Adresse hat. Zu den drei Adressen aus der Routing Tabelle: 195.3.65.24 ist bei ifconfig modem0 die P-t-P "Gegenstelle" 80.108.217.166 ist die fixe IP meines VPN gateways und 128.0.0.0 scheint von rcipsec generiert zu werden (hat ja große Ähnlichkeit mit localhost, oder?).
Alle Datenpakete werden an 195.3.65.24 übermittelt, der Host hinter diese Adresse hat für die Verteilung zu sorgen.
Das sieht meines Erachtens _leider_ nicht so aus. tcpdump -n -i modem0 zeigt: vor dem rcipsec-Start z.B den ping Traffic, nach dem rcipsec Start keinerlei Traffic mehr sichtbar.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
LG aus Wien, Heinz
Hallo Dieter und LeserInnen, Am Montag, 20. Juni 2005 19:00 schrieb Dieter Kluenter:
Heinz Mezera <hmtux@mezera.at> writes:
Hallo Dieter, <...> alles absichtlich gelöscht, da für die Lösung nicht relevant
das Problem lag an der ipsec.conf, die ich neu erstellt hatte und nicht das vorhandene "Muster" erweitert. Deshalb kam das include der no_oe.conf "abhanden". Von Ralf Spenneberg, der ein Buch zum Thma VPN geschrieben hat, bzw. dem Forum auf seiner Homepage habe ich die Lösung erhalten. LG aus Wien, Heinz
participants (4)
-
Daniel Hanke -
Dieter Kluenter -
Hans-Martin Flesch -
Heinz Mezera