Lorac78
13.12.05, 13:04
Mahlzeit,
seit Tagen versuche ich eine lauffähige VPN Verbindung in unser Firmen Netzwerk aufzubauen, aber es treten immer wieder neue Probleme auf :)
Folgendes Szenario:
Internet Einwahl Router: Suse 9.0 Professional mit SuSEfirewall2
VPN Server: Microsoft Windows Server 2003 Routing und RAS
Ich habe auf dem Suse Rechner die Port Weiterleitung für TCP 1723 und die Protokoll Weiterleitung für GRE eingerichtet, was auch zu funktionieren scheint.
Ich kann mich von extern per VPN einwählen und bekomme eine IP Adresse aus dem internen Netz von dem Windows Server.
Jedoch kann ich NICHTS im internen Netzwerk erreichen ausser mich selbst (VPN Client).
Firewall Config:
2 FW_QUICKMODE="no"
4 FW_DEV_EXT="ppp0"
6 FW_DEV_INT="eth0 eth1"
8 FW_DEV_DMZ=""
10 FW_ROUTE="yes"
12 FW_MASQUERADE="yes"
14 FW_MASQ_DEV="$FW_DEV_EXT"
15
16 FW_MASQ_NETS="
17 10.1.0.16/32
18 10.1.0.50/32
19 10.1.0.105/32,0/0,tcp,21
20 10.1.0.105/32,0/0,tcp,20
21 10.1.0.105/32,0/0,tcp,80
22 10.1.0.105/32,0/0,tcp,443
23 10.1.0.105/32,0/0,tcp,1024:65535
24 10.1.0.159/32,0/0,tcp,21
25 10.1.0.159/32,0/0,tcp,20
26 10.1.0.159/32,0/0,tcp,1024:65535
27 10.1.0.250/32
28 192.168.1.0/24
29 "
30
31 FW_PROTECT_FROM_INTERNAL="no"
33 FW_AUTOPROTECT_SERVICES="yes"
35 FW_SERVICES_EXT_TCP="pop3 pop3s smtp"
37 FW_SERVICES_EXT_UDP=""
40 FW_SERVICES_EXT_IP=""
42 FW_SERVICES_DMZ_TCP=""
44 FW_SERVICES_DMZ_UDP=""
46 FW_SERVICES_DMZ_IP=""
48 FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 139 1024:65535"
50 FW_SERVICES_INT_UDP=""
52 FW_SERVICES_INT_IP=""
54 FW_SERVICES_QUICK_TCP=""
56 FW_SERVICES_QUICK_UDP=""
58 FW_SERVICES_QUICK_IP=""
60 FW_TRUSTED_NETS="10.1.0.0/24"
62 FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
64 FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
66 FW_SERVICE_AUTODETECT="yes"
69 FW_SERVICE_DNS="yes"
71 FW_SERVICE_DHCLIENT="no"
73 FW_SERVICE_DHCPD="no"
75 FW_SERVICE_SQUID="yes"
77 FW_SERVICE_SAMBA="yes"
79 FW_FORWARD=""
80
82 FW_FORWARD_MASQ="
83 0/0,10.1.0.50,tcp,80,80
84 0/0,10.1.0.50,tcp,1723,1723
86 0/0,192.168.1.3,tcp,1022,22
87 0/0,192.168.1.2,tcp,8080,8080
88 "
89
91 FW_REDIRECT=""
93 FW_LOG_DROP_CRIT="yes"
95 FW_LOG_DROP_ALL="no"
97 FW_LOG_ACCEPT_CRIT="yes"
99 FW_LOG_ACCEPT_ALL="no"
101 FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
103 FW_KERNEL_SECURITY="yes"
105 FW_STOP_KEEP_ROUTING_STATE="no"
107 FW_ALLOW_PING_FW="yes"
109 FW_ALLOW_PING_DMZ="no"
111 FW_ALLOW_PING_EXT="no"
115 FW_ALLOW_FW_TRACEROUTE="yes"
117 FW_ALLOW_FW_SOURCEQUENCH="yes"
119 FW_ALLOW_FW_BROADCAST="no"
121 FW_IGNORE_FW_BROADCAST="yes"
123 FW_ALLOW_CLASS_ROUTING="no"
125 FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
127 FW_REJECT="no"
129 FW_HTB_TUNE_DEV=""
Dies sind die custom-rules für die GRE Weiterleitung:
vpnserver="10.1.0.50"
54 iptables -N pptp
56 iptables -A pptp -p 47 --dst $vpnserver -j ACCEPT
57 iptables -I FORWARD -j pptp
58 iptables -t nat -N pptp
60 iptables -t nat -A pptp -i ppp0 -p 47 -j DNAT --to $vpnserver
61 iptables -t nat -A PREROUTING -j pptp
Wie gesagt, die Einwahl funktioniert, aber anpingen kann ich nichts. Wenn ich in mein SystemLog schaue nachdem der Client eingewählt ist, sehe ich ziemlich viele von diesen Meldungen:
Dec 13 14:03:22 ovtux kernel: martian source 145.254.193.189 from 145.254.103.22, on dev eth0
Dec 13 14:03:22 ovtux kernel: ll header: 00:0e:a6:1a:96:7d:00:c0:9f:47:2a:f8:08:00
Wobei die 145.254.103.22 die öffentliche IP von dem VPN Client ist.
Und eth0 ist das Device an dem das Interne Firmennetz dran hängt.
Kann jemand was mit den Meldungen anfangen ?
Danke im Vorraus
lg Lorac
seit Tagen versuche ich eine lauffähige VPN Verbindung in unser Firmen Netzwerk aufzubauen, aber es treten immer wieder neue Probleme auf :)
Folgendes Szenario:
Internet Einwahl Router: Suse 9.0 Professional mit SuSEfirewall2
VPN Server: Microsoft Windows Server 2003 Routing und RAS
Ich habe auf dem Suse Rechner die Port Weiterleitung für TCP 1723 und die Protokoll Weiterleitung für GRE eingerichtet, was auch zu funktionieren scheint.
Ich kann mich von extern per VPN einwählen und bekomme eine IP Adresse aus dem internen Netz von dem Windows Server.
Jedoch kann ich NICHTS im internen Netzwerk erreichen ausser mich selbst (VPN Client).
Firewall Config:
2 FW_QUICKMODE="no"
4 FW_DEV_EXT="ppp0"
6 FW_DEV_INT="eth0 eth1"
8 FW_DEV_DMZ=""
10 FW_ROUTE="yes"
12 FW_MASQUERADE="yes"
14 FW_MASQ_DEV="$FW_DEV_EXT"
15
16 FW_MASQ_NETS="
17 10.1.0.16/32
18 10.1.0.50/32
19 10.1.0.105/32,0/0,tcp,21
20 10.1.0.105/32,0/0,tcp,20
21 10.1.0.105/32,0/0,tcp,80
22 10.1.0.105/32,0/0,tcp,443
23 10.1.0.105/32,0/0,tcp,1024:65535
24 10.1.0.159/32,0/0,tcp,21
25 10.1.0.159/32,0/0,tcp,20
26 10.1.0.159/32,0/0,tcp,1024:65535
27 10.1.0.250/32
28 192.168.1.0/24
29 "
30
31 FW_PROTECT_FROM_INTERNAL="no"
33 FW_AUTOPROTECT_SERVICES="yes"
35 FW_SERVICES_EXT_TCP="pop3 pop3s smtp"
37 FW_SERVICES_EXT_UDP=""
40 FW_SERVICES_EXT_IP=""
42 FW_SERVICES_DMZ_TCP=""
44 FW_SERVICES_DMZ_UDP=""
46 FW_SERVICES_DMZ_IP=""
48 FW_SERVICES_INT_TCP="20 21 22 25 53 80 110 139 1024:65535"
50 FW_SERVICES_INT_UDP=""
52 FW_SERVICES_INT_IP=""
54 FW_SERVICES_QUICK_TCP=""
56 FW_SERVICES_QUICK_UDP=""
58 FW_SERVICES_QUICK_IP=""
60 FW_TRUSTED_NETS="10.1.0.0/24"
62 FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
64 FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
66 FW_SERVICE_AUTODETECT="yes"
69 FW_SERVICE_DNS="yes"
71 FW_SERVICE_DHCLIENT="no"
73 FW_SERVICE_DHCPD="no"
75 FW_SERVICE_SQUID="yes"
77 FW_SERVICE_SAMBA="yes"
79 FW_FORWARD=""
80
82 FW_FORWARD_MASQ="
83 0/0,10.1.0.50,tcp,80,80
84 0/0,10.1.0.50,tcp,1723,1723
86 0/0,192.168.1.3,tcp,1022,22
87 0/0,192.168.1.2,tcp,8080,8080
88 "
89
91 FW_REDIRECT=""
93 FW_LOG_DROP_CRIT="yes"
95 FW_LOG_DROP_ALL="no"
97 FW_LOG_ACCEPT_CRIT="yes"
99 FW_LOG_ACCEPT_ALL="no"
101 FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
103 FW_KERNEL_SECURITY="yes"
105 FW_STOP_KEEP_ROUTING_STATE="no"
107 FW_ALLOW_PING_FW="yes"
109 FW_ALLOW_PING_DMZ="no"
111 FW_ALLOW_PING_EXT="no"
115 FW_ALLOW_FW_TRACEROUTE="yes"
117 FW_ALLOW_FW_SOURCEQUENCH="yes"
119 FW_ALLOW_FW_BROADCAST="no"
121 FW_IGNORE_FW_BROADCAST="yes"
123 FW_ALLOW_CLASS_ROUTING="no"
125 FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"
127 FW_REJECT="no"
129 FW_HTB_TUNE_DEV=""
Dies sind die custom-rules für die GRE Weiterleitung:
vpnserver="10.1.0.50"
54 iptables -N pptp
56 iptables -A pptp -p 47 --dst $vpnserver -j ACCEPT
57 iptables -I FORWARD -j pptp
58 iptables -t nat -N pptp
60 iptables -t nat -A pptp -i ppp0 -p 47 -j DNAT --to $vpnserver
61 iptables -t nat -A PREROUTING -j pptp
Wie gesagt, die Einwahl funktioniert, aber anpingen kann ich nichts. Wenn ich in mein SystemLog schaue nachdem der Client eingewählt ist, sehe ich ziemlich viele von diesen Meldungen:
Dec 13 14:03:22 ovtux kernel: martian source 145.254.193.189 from 145.254.103.22, on dev eth0
Dec 13 14:03:22 ovtux kernel: ll header: 00:0e:a6:1a:96:7d:00:c0:9f:47:2a:f8:08:00
Wobei die 145.254.103.22 die öffentliche IP von dem VPN Client ist.
Und eth0 ist das Device an dem das Interne Firmennetz dran hängt.
Kann jemand was mit den Meldungen anfangen ?
Danke im Vorraus
lg Lorac