Hallo Leute, bevor ich daran gehe, meine Firewall komplett selbst zu schreiben, wollte ich hier nochmal fragen, ob ich nicht einen Denkfehler drinhabe. Vorhanden ist ein Firewall-Rechner mit folgenden Anschlüssen: -- eth0 = 192.168.144.254 = LAN = eth-id 00:50:fc:c2:27:fb -- eth1 = 192.168.145.254 = DMZ -- eth2 = 192.168.44.5 = WAN und -- tun0 = 10.8.0.1 = Endpunkt der eingehenden VPN-Tunnel Jetzt möchte ich, daß die VPN-User den im LAN stehenden Server unter 192.168.144.1 erreichen. Dazu habe ich der SuSE-FW gesagt, daß tun0 im LAN liegt: router:/ # grep -B 10 tun0 /etc/sysconfig/SuSEfirewall2 # Which are the interfaces that point to the internal network? # # Enter all trusted network interfaces here. If you are not # connected to a trusted network (e.g. you have just a dialup) leave # this empty. # # Format: space separated list of interface or configuration names # # Examples: "eth-id-00:e0:4c:9f:61:9a", "tr0", "eth0 eth1" # FW_DEV_INT="eth-id-00:50:fc:c2:27:fb tun0" Trotzdem kann ich vom entfernten Endpunkt des VPN-Tunnels den Server nicht pingen. Im Log sehe ich: Jun 21 10:31:34 router kernel: SFW2-FWDint-DROP-DEFLT IN=tun0 OUT=eth0 SRC=10.8.0.6 DST=192.168.144.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=10187 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=10496 Wieso blockt die Firewall die Pakete, obwohl tun0 wie eth0 im LAN liegen, und dort ungeschützter Verkehr(tm) möglich sein sollte? An welcher Schraube muß ich drehen? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andre,
-----Original Message----- From: Andre Tann [mailto:atann@gmx.net] Sent: Thursday, June 21, 2007 11:00 AM To: opensuse-de@opensuse.org Subject: SuSE-Firewall-Frage
[...]
Jun 21 10:31:34 router kernel: SFW2-FWDint-DROP-DEFLT IN=tun0 OUT=eth0 SRC=10.8.0.6 DST=192.168.144.1 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=10187 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=10496
Wieso blockt die Firewall die Pakete, obwohl tun0 wie eth0 im LAN liegen, und dort ungeschützter Verkehr(tm) möglich sein sollte? An welcher Schraube muß ich drehen?
Ist vermutlich OpenVPN? Ist die Firewall auch von innen geschützt? Dann mußt du den OpenVPN-Port (TCP oder UDP??) freigeben und zusätzlich wie in der OpenVPN-Anleitung angegeben in den Custom-Scripts die Einträge einfügen! CU Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
peter grotz, Donnerstag, 21. Juni 2007 14:48:
Ist vermutlich OpenVPN?
Yep.
Ist die Firewall auch von innen geschützt?
Wie meinst Du das? Also die SuSE-FW schützt den Router/Firewall-/VPN-Rechner nicht gegen das innere Netz.
Dann mußt du den OpenVPN-Port (TCP oder UDP??) freigeben
Welchen Port meinst Du? Der 1194 ist nach außen freigegeben, sonst könnte ich ja keinen Tunnel aufbauen. Das Problem ist aber, daß ich durch den Tunnel hindurch nicht den Server unter 192.168.144.1 sehen kann.
und zusätzlich wie in der OpenVPN-Anleitung angegeben in den Custom-Scripts die Einträge einfügen!
-v bitte, ich versteh nicht, was Du hier meinst. Danke+Gruß. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
peter grotz, Donnerstag, 21. Juni 2007 14:48:
Ist vermutlich OpenVPN? Yep.
Ist die Firewall auch von innen geschützt?
Wie meinst Du das? Also die SuSE-FW schützt den Router/Firewall-/VPN-Rechner nicht gegen das innere Netz.
grrr ..wieviele Devices hast du dran?..wie geht das Routing/der Paketweg?
Dann mußt du den OpenVPN-Port (TCP oder UDP??) freigeben
Welchen Port meinst Du? Der 1194 ist nach außen freigegeben, sonst könnte ich ja keinen Tunnel aufbauen. Das Problem ist aber, daß ich durch den Tunnel hindurch nicht den Server unter 192.168.144.1 sehen kann.
wie guckst du nach dem Server ?? (Methode) was für Tunnel ist das ?? routing oder bridging ? .. mit welchen IP-Bereichen /Netzen ? 192.168.144.0 ist klar und ?
und zusätzlich wie in der OpenVPN-Anleitung angegeben in den Custom-Scripts die Einträge einfügen! -v bitte, ich versteh nicht, was Du hier meinst.
Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 21. Juni 2007 11:00 schrieb Andre Tann:
(...). Wieso blockt die Firewall die Pakete, obwohl tun0 wie eth0 im LAN liegen, und dort ungeschützter Verkehr(tm) möglich sein sollte?
IMHO weil du mit dem Eintrag von tun0 in FW_DEV_INT nicht automatisch auch das Routing ins LAN aktivierst. Vielmehr erlaubst du damit erstmal nur den Zugriff auf die Firewall selbst: "5. Why is communication between two interfaces in the same zone not working?" http://forgeftp.novell.com/susefirewall2/web/FAQ.html#id2480639
An welcher Schraube muß ich drehen?
Laut obiger FAQ: FW_ALLOW_CLASS_ROUTING="yes" HTH Jan -- Do not tell big lies. Small ones can be just as effective. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Ritzerfeld, Donnerstag, 21. Juni 2007 19:59:
http://forgeftp.novell.com/susefirewall2/web/FAQ.html#id2480639
...sehr interessant, kannte ich nicht.
An welcher Schraube muß ich drehen?
Laut obiger FAQ: FW_ALLOW_CLASS_ROUTING="yes"
Ich hab lieber FW_FORWARD genommen, das ist spezifischer. Aber Du hast den Nagel auf den Kopf getroffen, jetzt läufts. Vielen Dank! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 21. Juni 2007 23:34 schrieb Andre Tann:
Jan Ritzerfeld, Donnerstag, 21. Juni 2007 19:59:
http://forgeftp.novell.com/susefirewall2/web/FAQ.html#id2480639
...sehr interessant, kannte ich nicht.
Ich hatte eigentlich das hier gesucht: http://susefaq.sourceforge.net/guides/fw_manual.html Diese Anleitung ist was ausführlicher.
An welcher Schraube muß ich drehen?
Laut obiger FAQ: FW_ALLOW_CLASS_ROUTING="yes"
Ich hab lieber FW_FORWARD genommen, das ist spezifischer.
Jau, das kommt natürlich ganz darauf an, was man so genau machen will.
Aber Du hast den Nagel auf den Kopf getroffen, jetzt läufts.
Sehr schön!
Vielen Dank!
Keine Ursache. :) Gruß Jan -- It is only the shallow people who do not judge by appearance. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Andre Tann -
Fred Ockert -
Jan Ritzerfeld -
peter grotz