Hallo & Guten Morgen! :) Ich habe dies zwar schon vor ein paar Monaten gefragt, aber keine wirklich hilfreiche Antwort erhalten - und da der Fall nun mal wieder aufgekommen ist, frage ich halt nochmals nach. In /usr/share/doc/packages/openvpn/sample-config-files/firewall.sh steht folgendes: iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT Soweit, sogut (bzgl. der Interfacebenennung). Wenn ich nun in /etc/sysconfig/SuSEfirewall2 die Bezeichnungen 'tun+' bzw. 'tap+' angebe, startet auch die FW2. Aber: ein System aus LAN-1 kann nicht auf LAN-2 zugreifen. Schema: LAN-1 <-> FW2a <-> Internet <-> FW2b <-> LAN-2 Die FW2 Systeme haben keine Probleme, wechselseitig auf LAN-1 bzw. LAN-2 zuzugreifen, nur die in den LANs stehenden Systeme können es eben nicht. Sobald ich in /etc/sysconfig/SuSEfirewall2 die festen device-Namen angeben (bspw. tun3), können die in den beiden o. g. LANs befindlichen Systeme auf das jeweils andere LAN zugreifen. Habe ich nun irgendwo einen Denkfehler, oder wie kann dies behoben werden? Systeme: SuSE 9.2 mit SuSEfirewall2-3.2-14.4 & openvpn-2.0-1 Danke & Gruß Torsten -- It is always a valid assumption to assume that your assumption was invalid.
Hallo Torsten, Am Dienstag, 9. August 2005 10:20 schrieb Torsten E.:
Hallo & Guten Morgen! :)
Ich habe dies zwar schon vor ein paar Monaten gefragt, aber keine wirklich hilfreiche Antwort erhalten - und da der Fall nun mal wieder aufgekommen ist, frage ich halt nochmals nach.
In /usr/share/doc/packages/openvpn/sample-config-files/firewall.sh steht folgendes: iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT Soweit, sogut (bzgl. der Interfacebenennung). Wenn ich nun in /etc/sysconfig/SuSEfirewall2 die Bezeichnungen 'tun+' bzw. 'tap+' angebe, startet auch die FW2. Diese Bezeichnung kenn ich nun ja noch gar nicht. Wäre auch ne gute Möglichkeit, wenn das funktionieren würde.
Aber: ein System aus LAN-1 kann nicht auf LAN-2 zugreifen. Schema: LAN-1 <-> FW2a <-> Internet <-> FW2b <-> LAN-2
Die FW2 Systeme haben keine Probleme, wechselseitig auf LAN-1 bzw. LAN-2 zuzugreifen, nur die in den LANs stehenden Systeme können es eben nicht. Komisch.... Sobald ich in /etc/sysconfig/SuSEfirewall2 die festen device-Namen angeben (bspw. tun3), können die in den beiden o. g. LANs befindlichen Systeme auf das jeweils andere LAN zugreifen.
Habe ich nun irgendwo einen Denkfehler, oder wie kann dies behoben werden?
Ich hätte da wohl genauso gedacht. Wenn du ungefähr weisst, wieviel tun-devices du hast, kannst du auch mal in der devices-Liste folgendes versuchen, hier ausgegangen von 15 devices: `for i in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15;do echo "tun$i";done` irgendwie geht das auch einfacher mit seq, allerdings weiss ich nicht, wie man das in `` machen kann. Was mir auch mal aufgefallen ist, dass die Interfaces während des Starts der Firewall schon up sein müssen, sonst blockiert die das. Vielleicht liegt es bei dir auch einfach daran und durch das probieren hast du ja die Firewall später nochmal neu gestartet. Mfg, Thomas
Hallo Thomas, Thomas Gräber scribbled on 09.08.2005 12:00:
Hallo Torsten, Am Dienstag, 9. August 2005 10:20 schrieb Torsten E.:
[...]
Diese Bezeichnung kenn ich nun ja noch gar nicht. Wäre auch ne gute Möglichkeit, wenn das funktionieren würde.
Eine _sehr_ gute Möglichkeit ... ;) Ich nehme einfach mal an, daß, wenn nicht tun+ nutzbar wäre, es bestimmt (wie ansonsten allgemein üblich) tunx heißen würde. [...]
Ich hätte da wohl genauso gedacht. Wenn du ungefähr weisst, wieviel tun-devices du hast, kannst du auch mal in der devices-Liste folgendes versuchen, hier ausgegangen von 15 devices: `for i in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15;do echo "tun$i";done` irgendwie geht das auch einfacher mit seq, allerdings weiss ich nicht, wie man das in `` machen kann.
Ja ... das habe ich ja bis dato auch gemacht - aber die Liste wird länger und länger ... ;)
Was mir auch mal aufgefallen ist, dass die Interfaces während des Starts der Firewall schon up sein müssen, sonst blockiert die das. Vielleicht liegt es bei dir auch einfach daran und durch das probieren hast du ja die Firewall später nochmal neu gestartet.
In diese 'Falle' bin ich am Anfang auch gestolpert, bis ich denn openVPN vor FW2-stage-3 starten lasse - seitdem funzt es einwandfrei.
Mfg, Thomas
Gruß Torsten
Hallo Thomas, hallo Torsten, hallo Leute, Am Dienstag, 9. August 2005 12:00 schrieb Thomas Gräber:
Ich hätte da wohl genauso gedacht. Wenn du ungefähr weisst, wieviel tun-devices du hast, kannst du auch mal in der devices-Liste folgendes versuchen, hier ausgegangen von 15 devices: `for i in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15;do echo "tun$i";done` irgendwie geht das auch einfacher mit seq, allerdings weiss ich nicht, wie man das in `` machen kann.
echo `for i in \`seq 1 15\`;do echo "tun$i";done` echo $(for i in `seq 1 15`;do echo "tun$i";done) echo $(for i in $(seq 1 15);do echo "tun$i";done) bringt jeweis dasselbe Ergebnis. Vorteil der Variante mit $(...) ist übrigens, dass man bedenkenlos beliebig tief verschachteln kann. Bei den Backticks artet es bei tieferer Verschachtelung in Backslash-Orgien aus ;-) Beispiel, wieder mit dem gewünschten Ergebnis: echo `for i in \`seq 1 \\\`echo 15\\\`\`;do echo "tun$i";done` (Das "\\\`" ist zuerst ein escapter "\" und dann ein escaptes "´") Ach so: Das Quoting habe ich in dieser Mail bewusst mal "übersehen" - das heißt aber nicht, dass es unnötig ist ;-) Gruß Christian Boltz -- 2.-5.9.2005: Weinfest in Insheim Bei der Landjugend: Liquid, AH-Band und Deafen Goblins Mehr Infos: www.Landjugend-Insheim.de
participants (3)
-
Christian Boltz
-
Thomas Gräber
-
Torsten E.