....mir brummt der Schädel.

In meinem Büro habe ich einen SuSE 7.3 Server stehen. Der stellt in der dortigen Netzwerkumgebung die Verbindung zum Internet her (z.T. per Squid, z.T. über Masquerading-Funktion der SuSEfirewall2), dient als File-Server (Samba) und Mail-Server. Der Rechner ist über eine DSL-Flatrate und einen Dynamic-IP-Service praktisch 24 Stunde online und erreichbar.
Schön wäre es nun, zu Hause auch so einfach mit den Netzwerklaufwerken arbeiten zu können, wie im Büro selbst. Gesagt getan, ein wenig Zeit investiert, das bei der SuSE 7.3 professional mietgelieferte "pptpd" installiert und nach verschiedenen HOWTOS konfiguriert. Die SuSEfirewall2 auf dem Server im Büro so eingestellt, dass ich von außen drauf zu greifen kann.
Nun bin ich zu Hause, sitze hier mit meinem WIN2K-Laptop hinter einem D-Link DSL-Router, der von den Regeln her aber eigentlich offen ist. Die VPN-Verbindung zum Server im Büro kann ich über's Internet aufbauen. Doch weder Pings funktionieren, noch Samba, noch etwas anderes. Deaktiviere ich die Firewall im Büro, funktioniert alles.
Wenn ich richtig kombiniere, scheint es also an den Einstellungen der SuSEfirewall2 im Büro zu liegen.
Nun versuche ich schon den ganzen Tag Lösungen im Internet zu finden. Google glüht wegen mir schon... Ich finde immer wieder etwas zu Masquerading, Freeswan, NAT Traversal und sämtlichen anderen Programmen, Begriffen und Howtos. Doch so richtig komme ich nicht weiter. Das liegt wohl auch daran, das ich nicht so wirklich weiß, wo ich ansetzen soll, ob meine Installation von "pptpd" ausreicht, ob noch Anderes installiert werden muss, ob's eh ganz falsch ist, ob ich nur eine Zeile auskommentieren muss...
Wer weiß weiter? Bin ich denn überhaupt auf dem richtigen Weg? Wäre ein anderes Verfahren eh viel besser, leichter, toller.......?:ugly:

hast du die ports über die du zugreifen willst forgewordet??

johnpatcher

Nachdem ich davon noch nicht wirklich etwas gehört habe, denke ich nein. Nur normales Masquerading für's Büro-Netz. Sonst nix. Kann es daran liegen? Wie kann ich das herausfinden?

Hallo,

mit Portforwarding hat das überhaupt nichts zu tun.

>Deaktiviere ich die Firewall im Büro, funktioniert alles.

Dann blockt diese die Verbindungen, also musst du die VPN Verbindung selber reinschreiben bzw. freigeben.

Grüsse, Stefan

Original geschrieben von geronet
Hallo,

mit Portforwarding hat das überhaupt nichts zu tun.

>Deaktiviere ich die Firewall im Büro, funktioniert alles.

Dann blockt diese die Verbindungen, also musst du die VPN Verbindung selber reinschreiben bzw. freigeben.

Grüsse, Stefan


Hm, so weit dachte ich mir das auch schon. Doch was muss ich explizit reinschreiben bzw. freigeben? Hab schon hier und da etwas versucht, aber bisher auf keinen grünen Zweig gekommen.

Der pptpd hat doch warscheinlich ein Interface, gib das doch mal testweise komplett frei:

iptables -I 1 INPUT -i [interface-name] -j ACCEPT
und vielleicht noch
iptables -I 1 OUTPUT -o [interface-name] -j ACCEPT

Kannst du auch auf der Konsole eingeben, zum testen.

Grüsse, Stefan

ok, nachdem ich Folgendes eingegeben hatte, hatte es so weit schon mal funktioniert:

iptables -I INPUT -i [interface-name] -j ACCEPT
iptables -I OUTPUT -o [interface-name] -j ACCEPT

Aber, kann ich das aus Sicherheitsgründen so stehen lassen? Soll's das denn wirklich schon gewesen sein?

Wenn du sicher bist dass kein anderer über dieses VPN rein kann dann schon.
Du kannst ja auch einzelne Ports und Protokolle freigeben..

Wenn ich es richtig verstanden habe, so muss ich das Interface (bei mir ppp1) wir ein "natürliches" behandeln. Das bedeutet man kann dieses Ding komplett mit iptables "bearbeiten".
Ich selbst habe nie wirklich mit iptables direkt gearbeitet. Habe das SuSEfirewall2-Skript benutzt. Wie und wo müsste ich in diesem Skript ppp1 freigeben?
Und noch auf der Client-Seite, meine WIN2k-Maschine. Sobald ich mich mit dem VPN verbinde, kann ich nicht mehr in das Internet. Gibt es eine Möglichkeit, beides parallel zu benutzen? Ich arbeite sehr viel mit dem Internet, mich jedes Mal abwählen müssen wäre eher lästig.

Was ich gerade festgestellt habe:

Wenn ich die Verbindung zum VPN trenne, mich dann neu anwähle, wird von der Firewall erst mal alles wieder blockiert. Klar, ppp1 ist inzwischen weggefallen und jetzt gibt es ein neues ppp1, wofür neue Regeln erstellt werden müssen. Da kann man doch bestimmt in ein Skript etwas miteinbauen, oder?

>Das bedeutet man kann dieses Ding komplett mit iptables "bearbeiten".
Ja, in dem Prinzip.

>Wie und wo müsste ich in diesem Skript ppp1 freigeben?
Kommt drauf an wie's aussieht.

> Sobald ich mich mit dem VPN verbinde, kann ich nicht mehr in das Internet. Gibt es eine Möglichkeit, beides parallel zu benutzen?
Ja klar, warscheinlich setzt der pptpd eine neue default route, was er nicht sollte.

Grüsse, Stefan

Bin inzwischen wieder etwas schlauer. Bei mir wird mit ip-up.local die Firewall gestartet, ip-down.local gestopt. Ich kann mich dran erinnern, ich hatte da am Anfang Probleme. Nach einem Tag, der Zwangstrennung also, wählte sich der Server direkt erneut ins Internet ein. Die Firewall-Regeln blieben aber stehen. Prompt konnte die aktuelle Dynamic-IP nicht mehr zum Service übermittelt werden. Das umging ich einfach, indem ich jedes Mal die Firewall mitbeendete und wieder neu gelade habe. Soweit in der Zwischenzeit nicht aufgefallen.
Jetzt ist's aber so, dass, wenn ich die Verbindung zum VPN kappe, ip-down.local ausgeführt wird, somit die Firewall alle Regeln über Board wirft. Unter Anderem dumm, da ich die Firewall von Hand starten muss.
Wenn ich mich da nur besser auskennen würde, wäre das mit dem Dynamic-IP-Service wohl ganz einfach lösbar...könnte ich die Zeilen mit Firewall-Start und -Stop auskommentieren, wäre die Firewall immer da...wäre dann vielleicht auch das mit der neuen Route behoben?

Normalerweise sollte man einen Paketfilter (Firewall ist eh was anderes) statisch konfigurieren, dass er immer während des Systemlaufs aktiv bleibt. So kann auch kein Fehler beim Starten passieren etc..

Du kannst aber mal den Service auf http://www.harry.homelinux.org/modules.php?name=iptables_Generator von Harry nützen, sollte recht einfach sein.

Grüsse, Stefan

Vielen Dank für Deine Hilfe. Inzwischen habe ich es so weit zum laufen gebracht. Die Firewall läuft nun von Anfang an und sozusagen für immer. Die Regeln für ppp1 werden erst bei DSL-Verbindungsaufbau geladen, beim -abbau wiederrausgeschmiessen.
Jetzt geht's an's optimieren Yeapieh!