Hallo!

Probs:
iptables auf Server mit bestehenden VPN-Verbindungen, ich lade iptables neu und Verbindungen vom VPN sollen bestehen bleiben bzw. iptables soll sich die merken und VPN oder Session soll automatisch wieder hergestellt werden, so das sich VPN-Benutzer nicht neu anmelden müssen.

Geht das.

Gruß
Jens
Wäre schön wenn mir jemand die Frage beantworten kann.

Nabend,

irgendwie versteh ich dein Problem nicht. Nach dem Flushen der iptables Regeln werden die doch für das VPN Interface nach config wieder neu gesetzt. Du bekommst nur Probleme, wenn du beim connect eines users dein Regelwerk dynamisch anpasst.
Ansonsten hat die Authentifizierung deiner VPN-User mit der Firewall idr. herzlich wenig zu tun.

Wie du bereits erwähnt hast handelt es sich um eine VPN Session (Layer 5), deine Firewall erlaubt oder verbietet den Datenaustausch auf Layer 2(Sicherung); 3(Vermittlung) und 4(Transport) eine neue Authentifikation ist nicht erforderlich. Wenn du eine bestehende Verbindung gezielt beenden willst, sollte das auf Layer 5 geschehen. Eine erzwungene Reauthentifizierung ist nicht Aufgabe der Firewall sondern des VPN-Servers

Um dein "geht das" zu beantworten: Ja, keine veränderungen notwendig, es handelt sich um das default verhalten.

gruß Felix

Danke Felix.

Genau das ist das Problem, die Regeln sind dynamisch und gehen bei Neustart der Firewall verloren und die VPN-Benutzer müssen sich neu anmelden. Was wäre den der richtige Weg.

Wäre super wenn du mir nochmal antwortest.

Gruß
Jens

Dann Speichere sie - Siehe die Option "-c"

iptables-save -c > /zum script, oder generell iptables -c und Neustart.

meinst du das undefined.

Gruß

iptables-save -c > /zum script, oder generell iptables -c und Neustart.

meinst du das undefined.

Gruß
JA - In das Script Schreiben aus dem iptables beim Start ausliest.
Ich kenne deine Distri... nicht. Der Standard ist /etc/iptables/iptables_inet /etc/iptables/iptables_inet6

Hallo!
Erstmal danke für die Antwort! Bin im Moment bißchen im Streß.

um nochmal besser zu Veranschaulischen:
System ist Debian6 , der Ablauf ist folgende , es gibt zwei Scripte, das firewall-script und mit accept zu tun oder tap und ein zweites das vom vpn-server verwaltet wird mit dynamischen rules. In dem VPN-Script werden nochmal die VPN-Benutzer + VPN-Gruppe abgefragt und dann die dynamischen Rules gesetzt und wenn passend die Verbindung gesetzt oder abgelehnt. Probs ist eben das bei Neustart des Firewall-scripts die VPN-Verbindungen weg sind und sich alle VPN-Benutzer neu anmelden müssen.

auf jeden Fall erstmall danke für die Denkanstöße. Wenn noch Ideen vorhanden sind immer her damit.

Morgen werd ich das mit iptables-save ausprobieren.

Gruß!
Jens

sorry, aber ich verstehe nur bahnhof.

was hat iptables mit den vpn-sessions zu tun?
wenn dein vpn-dienst automatisch iptables-regelen generiert, dann liegt dort das problem begraben.
von welchem vpn reden wir überhaupt?

//richard

VPN ist Openvpn
Gruß

dann wird das problem sein, dass du im openvpn die ips dynamisch vergibst und daher jeder nach dem reconnect eine andere ip hat.
somit greifen die regeln nicht mehr.

//richard

könnte OpenVPN Option float oder connect-retry /n Abhilfe schaffen, das VPN-Server nach Neustart der Firewall zu den alten Verbindungen reconnect.

Ich habs auch gerade erst gefunden,

Probs ist die Firewall, sie enthält einen ganzen Sack von Regeln und wird je nach Anforderung ergänzt und neugestartet, ist jetzt eine VPN-Sitzung fliegt diese bei durchstarten der FW raus.
Gruß

sorry, ich verstehe dein problem einfach nicht.

openvpn baut deine iptables-regeln?
du startest die firewall neu und dann geht es nicht mehr?

beschreib doch mal genauer was du machst und was wirklich das problem ist.

//richard

p.s: ich hab grad gestern ein ziemlich komplexes firewall-setup gebaut. wo anhand der x509-zertifiakte gefiltert wird. wo auch openvpn mitmischt.
es ist also machbar^^

Ablauf ist so:
von außen DSL connect zu Lan, iptables ist Accept zu tun/tap, VPN-Server nimmt Verbindung entgegen, prüft Zertifikat , sagt okay und liest dieses Gruppenfile mit Gruppe/Benutzer aus und übergibt sie den dynamischen Regeln bzw. diese Regeln verarbeiten diese Gruppen und Benutzer nochmal und geben sie verbindung frei.
Gruß

und was genau wird neu-gestartet?
was genau ist das problem?

//richard

iptables oder das Firewallscript iptables mit restart. Der VPN-Server läuft normal weiter., er müßte sowas wie ein reopen oder reconnect zu den alten Verbindungen machen.
Gruß

dann musst du ja nur wie bereits vielfach geschrieben, die iptables-regeln vorher mit iptables-save sichern und dann wiederherstellen.

//richard

okay, ich probier es Morgen aus, ich könnte sie ja seperat speichern file < iptables-restore > file wiederhesrstellen.. Mal gucken, die Sache ist , mir sind bißchen an dem Ding die Hände gebunden und soll dort was reinbringen.

Danke auf jeden Fall.
Gruß

dann leg doch schon vorher alle regeln für die vpn-user an.
so muss der openvpn-server nicht ständig regeln einfügen...

//richard

die Regeln darf ich arme Wurst nicht anlegen, Chefsache, ich soll mir nur mit Verbindungszeugs Gedanken machen. Kannst du mir paar Beispiele schreiben wie die Regeln zum Vergelich ungefähr aussehen müßten damit das i-save und i-restore klappt. Vielleicht heißt dann noch ich bin blöd.

danke

Gruß

woher soll ich wissen wie eure regeln aussehen?
kläre lieber mal das administrative ab, sonst kann das nur schief gehen...

//richard

okay, laß ich es jetzt erstmal das Thema ruhen, bin ja selbst gespannt wie das der Chef umsetzt. Wird bestimmt lustig.