Hallo Leude,
hab da ein Problem mit meinem VPN.

Zur Situation:

Client (Roadwarrior):
Win2K Laptop per DSL
VPN Client SSH Sentinel

Server (VPN Gateway)
SuSE Linux 9.2 mit OpenS/WAN
VPN mit x509 certs
(erstmal) kein NAT-T

Ich möchte (testhalber) mit dem RW-Laptop eine Freigabe von einem Rechner im internen Netz hinter dem Gateway nutzen. Dazu hab ich erstmal dem betreffendem (Domänen-)Rechner als Standard-GW das interne Device des VPN - Gateways gegeben. Auf dem RW-Laptop habe ich die Freigabe als Laufwerk gemappt.

Das Grundproblem besteht darin, dass nach erfolgreichem Tunnelaufbau ein ping möglich ist (bis 1410 Bytes), ein Filetransfer jedoch nicht. Jetzt hab ich mal was von MTU gelesen. Aber was hat das damit zu tun, was muss ich ändern und vor allem wo??
Oder woran kann es sonst noch liegen... :confused:

Viele THX für eine Antwort

greets
majoman

Ich glaub mit der MTU hat das eher weniger zu tun, es sei denn du hast sie mal selbst verändert.
Bei mir war mal eine Route zu legen, damit ichs zum Laufen brachte.

Hast du eventuell schon mal die Benutzerrechte überprüft?
Ist denn eine Verbindung über FTP oder HTTP möglich?

Bevor du dich mit Samba rumschlägst, aktivier mal Apache o.ä. und versuch drauf zuzugreifen.
ssh müsste eigentlich auch immer gehen.

PS.: Wenn ssh geht, geht auch der Filetransfer mit sftp

Aber wie gesagt: Wenns über ein anderes Protokoll geht, sinds zu 99% die Benutzerrechte.

Also erstma Danke für die Antwort :)

Hab jetzt ne Menge rumgefummelt - und siehe da: es funktioniert nichts mehr :ugly:

ich poste jetz einfach ma diverse Einstellungen - vielleicht weiß ja jemand was:

/etc/sysconfig/SuSEfirewall2 (alles was hier nicht auftaucht is leer bzw. default)

FW_DEV_EXT="eth1"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="10.10.10.0/23"
FW_PROTECT_FROM_INTERNAL="no"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="esp"
FW_SERVICES_INT_IP="esp
FW_FORWARD="0/0,10.10.10.0/23,,,ipsec 10.10.10.0/23,0/0,,,ipsec"


route -n:

'netz_extern' 0.0.0.0 255.255.255.0
10.10.10.0 0.0.0.0 255.255.254.0
0.0.0.0 'def-gw DMZ' 0.0.0.0


/etc/ipsec.secrets:

: RSA 'hostname'_req.pem "Passwort"
: RSA 'hostname'_rey.pem "Passwort"


/etc/ipsec.conf:

version 2.0

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
nat_traversal=no
forwardcontrol=yes

conn %default
keyingtries=%forever
leuftupdown=/usr/lib/ipsec/_updown_x509

conn roadwarrior
keyingtries=1
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
left='externe IP des VPN-Gateways'
leftsubnet=10.10.10.0/23
leftnexthop='def-gw DMZ'
leftcert='hostname'_cert.pem
leftid='der DN'
right=%any
auto=add

include /etc/ipsec.d/examples/no_oe.conf


Fehlt noch was ??

Bin für jede Hilfe dankbar!!! ;)

Was macht deine /var/log/messages?

roadwarrior <.............> IPSec SA established <...............>

Der Tunnel steht wieder - der Sentinel aufm Roadwarrior hatte sich wohl weggehangen.... :mad:

Das Problem besteht aber weiterhin - kein filetransfer möglich... kann das an der routerei liegen, wenn ja wo is der Fehler ?? :confused:

:edit

Pingen geht vom RW auf Client im Netz hinter dem Gateway - andersrum nicht ?!?

gruß
majoman

Eine komische Netzmask hast du da.
Vielleicht liegt eine der IPs nicht mehr im gleichen Subnetz?

Versuch mal auf beiden Seiten /16

Noch was zum Routen: ich musste bei mir zusätzlich eine Src IP mit angeben, weil nur bestimmte IP-Netze reingelassen werden.
Davor ist aber Pingen auch nicht gegangen.

Und wenn du die Firewall mal kurz ganz abstellst?
Hat bei mir schon oft geholfen, das Problem zu finden.

Soooo.... et läuft :cool:

Woran lag es ? Keine Ahnung - zumindest nicht wirklich...

Ich habe einfach beim Sentinel ne virtuelle IP, samt int. DNS eingetragen aus einem Subnetz der Gegenstelle. Auf dem Gateway ne Route in betreffendes Netz gesetzt, in der ipsec.conf rightsubnet = x.x.x.x/32 gesetzt und gut is...

Vielen Dank für die Tipps...

P.S.
edit:
Wieso ist die Netzmaske komisch? Per CIDR ist 10.10.10.0/23 doch in Ordnung. So kann ich bspw. die VPN-Clients in ein eigenes Subnetz tun (hier: 10.10.11.0), was übersichtlicher ist...

Gruß
majoman

Stimmt schon mit deiner Netzmaske.
Aber ich hatte mit solchen Masken bisher mehr Probleme als Vorteile.
Deshalb sind die VPN-Clients bei mir in einem eigenen Netz:

192.168.0.0/16 für die lokalen Clients
192.170.100.0/24 für die VPN-Clients

Aber jedem das Seine

Noch was:
Spitzenmäßiges Buch: VPN mit Linux von Ralf Spenneberg
Addison-Wesley Verlag

Was mir allerdings bei mir grade auffällt: Ich darf doch 192.170.x.x vergeben? Oder sind die reserviert?
Probleme hatte ich damit noch keine.

Was mir allerdings bei mir grade auffällt: Ich darf doch 192.170.x.x vergeben? Oder sind die reserviert?
Probleme hatte ich damit noch keine.
eigentlich darfst du die nicht benutzen aber da sie niemand sieht weil sie ja nur in deinem internen netz sind bzw. in irgendwelchen tunnels spielt das eigentlich keine rolle.
wenn du sie in einen anderes freies netzt packen willst nimm einfach 192.168.0.0 für deine internen und 192.168.1.0 für die vpn clienten

Nö, ich glaub ich änder auf das 10/24er für die VPNs bzw. externen (hab ja auch ein paar ISDN-Notfall Leitungen) und belass die Internen auf 192.168.0.0/16
Das System in unserem Netz mit den 192.168ern ist jetzt schon so ausgeklügelt durchdacht, dass ich das nicht mehr ändern will.
Auch nicht die Maske.
So bezeichnet der dritte Wert die Raumnummer und der vierte die Arbeitsplatznummer. Bsp.: 192.168.201.1
Ja ich weiß, dafür wäre DNS eigentlich besser geeignet. Nur bei der IP-Adressenvergabe kanns so zu keinen Missverständnissen kommen.
DHCP? Für die größe dieses Netzwerkes noch zu Aufwändig.
Und Backup-DHCP müsste trotzdem sein.

Bei den VPNs ist es relativ egal. Die Maske da, kann ich jederzeit ändern.
Und mit einer gänzlich unterschiedlichen IP, wird auch sofort ersichtlich ob der Client extern oder intern ist.
Auch die Rechtevergabe(Proxy und Co) kann genauer erfolgen.