Hallo Leute! Wer kennt sich mit dem pptpd unter SuSE-Linux 8.0 aus? * Ich habe einen Linux-Rechner auf dem die Firewall läuft (SuSEfirewall2). -> soweit OK * Darauf läuft auch noch IPSEC (Verbindung mit den anderen Standorten. -> soweit auch OK. * Dann möchte ich auch noch PPTPd darauf laufen lassen, um Windows-Rechnern die direkte Verbindung zu ermöglichen -> funktioniert weitgehend. NUR: Sobald sich ein Client beim pptpd einwählen möchte (Verbindung wird hergestellt), startet dieser die SuSE-Firewall2 anscheinend neu. Dadurch gehen sämtliche Regeln verloren, die durch ipsec (und deren Startscript) gesetzt worden sind, verloren. -> ipsec kann nicht mehr routen!! Weiß jemand, wie ich verhindern kann, daß bei der Einwahl eines Clients beim pptpd die Firewall neu gestartet wird? Oder wie ich ein eigenes Firewall-Startscript statt dem eigenen verwende? SuSEfirewall2 soll grundsätzlich schon erhalten bleiben Danke im voraus Günther
Hallo Günther, hallo Leute, Am Freitag, 05. Dezember 2003 07:08 schrieb Günther Zinsberger:
Wer kennt sich mit dem pptpd unter SuSE-Linux 8.0 aus?
Ich nicht, aber vielleicht kann ich trotzdem helfen ;-)
[...] Sobald sich ein Client beim pptpd einwählen möchte (Verbindung wird hergestellt), startet dieser die SuSE-Firewall2 anscheinend neu. Dadurch gehen sämtliche Regeln verloren, die durch ipsec (und deren Startscript) gesetzt worden sind, verloren. -> ipsec kann nicht mehr routen!!
Weiß jemand, wie ich verhindern kann, daß bei der Einwahl eines Clients beim pptpd die Firewall neu gestartet wird? Oder wie ich ein eigenes Firewall-Startscript statt dem eigenen verwende? SuSEfirewall2 soll grundsätzlich schon erhalten bleiben
Wird bei der Einwahl /etc/ppp/ip-up ausgeführt? Wenn ja, wirf den Aufruf der Firewall aus ip-up und probiers nochmal ;-) Aber Achtung: Bei einem Update des Pakets, aus dem ip-up stammt [1], sind Deine Änderungen wahrscheinlich wieder weg. Eigentlich nimmt man solche Änderungen ja in ip-up.local vor, aber damit kann man nur etwas zusätzliches machen und leider nix vorhandenes abstellen. Gruß Christian Boltz [1] Bei SuSE 8.0 ist das aaa_base, bei der 9.0 ist es im Paket sysconfig enthalten. --
... und der bildschirm unter kde3 ist sauschnell geworden im vergleich zur 7.3. Upps. Muß ich 'was b'sonderes beachten? Ich dachte eigentlich, daß der Monitor mit seinen 34 Kg nicht so schnell abhaut ... :-) [> Holger Poggel und Michael Nausch in suse-linux]
Am So, den 07.12.2003 schrieb Christian Boltz um 22:54:
Am Freitag, 05. Dezember 2003 07:08 schrieb Günther Zinsberger:
Clients beim pptpd die Firewall neu gestartet wird? Oder wie ich ein eigenes Firewall-Startscript statt dem eigenen verwende? SuSEfirewall2 soll grundsätzlich schon erhalten bleiben
Wird bei der Einwahl /etc/ppp/ip-up ausgeführt? Wenn ja, wirf den Aufruf der Firewall aus ip-up und probiers nochmal ;-)
Aber Achtung: Bei einem Update des Pakets, aus dem ip-up stammt [1], sind Deine Änderungen wahrscheinlich wieder weg.
Eigentlich nimmt man solche Änderungen ja in ip-up.local vor, aber damit kann man nur etwas zusätzliches machen und leider nix vorhandenes abstellen.
Ich arbeite nicht mit diesen Paketen, aber evtl. kann man ja in ip-up.local das Startscript dieses ipsec nochmal restarten, um die Regeln einfach nochmal zu setzen. Das wäre dann Update-Konform, weil nur die *-local Datei angepackt wird. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Christian Boltz schrieb:
Hallo Günther, hallo Leute,
Am Freitag, 05. Dezember 2003 07:08 schrieb Günther Zinsberger:
Wer kennt sich mit dem pptpd unter SuSE-Linux 8.0 aus?
Ich nicht, aber vielleicht kann ich trotzdem helfen ;-)
[...] Sobald sich ein Client beim pptpd einwählen möchte (Verbindung wird hergestellt), startet dieser die SuSE-Firewall2 anscheinend neu. Dadurch gehen sämtliche Regeln verloren, die durch ipsec (und deren Startscript) gesetzt worden sind, verloren. -> ipsec kann nicht mehr routen!!
Weiß jemand, wie ich verhindern kann, daß bei der Einwahl eines Clients beim pptpd die Firewall neu gestartet wird? Oder wie ich ein eigenes Firewall-Startscript statt dem eigenen verwende? SuSEfirewall2 soll grundsätzlich schon erhalten bleiben
Wird bei der Einwahl /etc/ppp/ip-up ausgeführt? Wenn ja, wirf den Aufruf der Firewall aus ip-up und probiers nochmal ;-)
Ja, das wird aufgerufen. Jetzt wo du es sagst.
Aber Achtung: Bei einem Update des Pakets, aus dem ip-up stammt [1], sind Deine Änderungen wahrscheinlich wieder weg.
Ist nicht so sehr ein Problem. Ich werde diese Datei von einem Cron-Job prüfen lassen.
Eigentlich nimmt man solche Änderungen ja in ip-up.local vor, aber damit kann man nur etwas zusätzliches machen und leider nix vorhandenes abstellen.
Ja, leider. Auch das Neu-Setzten der IPSec-spezifischen Regeln ist keine Lösung für mich, da es eine kurze Unterbrechung der Verbindung (Terminal-Clients, RDP) bedeutet. Gibt es irgendeine Möglichkeit, in /etc/ppp/ip-up zu unterscheiden, welches Programm dieses Script aufgerufen hat? ppp soll auch zum Aufbau einer Internet-Ersatz-Verbindung dienen (Dial-In über Modem)? Gruss, Günther
Hallo Günter, hallo Leute, Am Freitag, 12. Dezember 2003 08:53 schrieb Günther Zinsberger:
Christian Boltz schrieb: [...]
Wird bei der Einwahl /etc/ppp/ip-up ausgeführt? Wenn ja, wirf den Aufruf der Firewall aus ip-up und probiers nochmal ;-)
Ja, das wird aufgerufen. Jetzt wo du es sagst.
Aber Achtung: Bei einem Update des Pakets, aus dem ip-up stammt [1], sind Deine Änderungen wahrscheinlich wieder weg.
Ist nicht so sehr ein Problem. Ich werde diese Datei von einem Cron-Job
Dann wären wir der Lösung schon recht nahe ;-) prüfen lassen. *g* Eine Prüfung nach jedem Online-Update sollte reichen.
Eigentlich nimmt man solche Änderungen ja in ip-up.local vor, aber damit kann man nur etwas zusätzliches machen und leider nix vorhandenes abstellen.
Ja, leider. [...] Gibt es irgendeine Möglichkeit, in /etc/ppp/ip-up zu unterscheiden, welches Programm dieses Script aufgerufen hat? ppp soll auch zum Aufbau einer Internet-Ersatz-Verbindung dienen (Dial-In über Modem)?
ip-up bekommt einige Parameter beim Aufruf übergeben (siehe ganz oben in ip-up), da ist u. a. das Device dabei. Vielleicht hilft Dir das ja. Ansonsten probiers mal mit echo "$@" | logger und lass die ip-up (indirekt) von den verschiedenen Programmen aufrufen. Irgendwo findet sich bestimmt etwas, das sich eindeutig zuordnen lässt. Gruß Christian Boltz --
Scheint aber kein kritischer Fehler zu sein :-) Nein, dass war nur ein Fehler in der Treibereinheit für meine Finger, die mich veranlasst hat zum falschem Zeitpunkt auf die falsche Taste zu drücken. ;-) [> Christoph Maurer und Jan Thoefel in suse-linux]
participants (3)
-
Christian Boltz -
Günther Zinsberger -
Joerg Rossdeutscher