Hallo!

es gehört zwar nicht ganz hier rein aber ich versuch es trotzdem ;)

und zwaaaarrrr...........

habe ich ein grosses Problem, ein VPN-Server, der auf Basis von Win2000-Server realisiert werden _SOLL_, hinter einer Firewall ins Betrieb zu nehmen...

meine Vorstellung war es, dass alle VPN-Pakete von aussen das Firewall passieren und zum W2k-Server geroutet werden,der seinerseits Zugriff auf die weiteren Resourcen (Freigaben, Daten etc.) ermöglicht; soweit die Vorstellung :)

die Praxis sieht volgendermassen aus:

T-Online-DSL-Flat mit dyn. IP, die IP jederzeit über XXXX.d2g.com bekannt,
Firewall: Suse 7.3 + Ipitables-Firewallskript, entsprechendes Abschnitt füge ich hier mal ein :)


# locale SErverIP 192.168.1.5

$IPTABLES -t nat -A PREROUTING -p tcp --dport 500 -i $DEV_INET -j DNAT --to 192.168.1.5:500
$IPTABLES -t nat -A PREROUTING -p udp --dport 500 -i $DEV_INET -j DNAT --to 192.168.1.5:500


$IPTABLES -A INPUT -p 50 -i $DEV_INET -j ACCEPT
$IPTABLES -A OUTPUT -p 50 -i $DEV_INET -j ACCEPT

## TESTWEISE AKTIV

$IPTABLES -A INPUT -p 47 -i $DEV_INET -j ACCEPT
$IPTABLES -A OUTPUT -p 47 -i $DEV_INET -j ACCEPT


vom Prinzip sollte klar sein, oder ?;))) <wenn nicht, kann ich gerne vertiefen ;)>


soweitsogut;


wenn ich mich über ne isdn-karte von einem anderm Rechner einwähle, also von Aussen, als Einwahl-Server meine XXXX.d2g.com adresse einwähle, findet der Einwahlfersuch statt!!! - der Server wird also gefunden... es kommt jedoch keine Verbindung zustande, mit einer Meldug sinngemäss : "es leigt kein Gültiges Zertifikat vor.." (Sitze gerade an einem anderem Rechner, kann aber nach bedarf die Fehlermeldung reproduzieren ;) .. ).. Habe dann mit Zertifikaten von W2k paar Tage herumexperimentiert, allerdings ohne Erfolg :///

meine Frage an der Stelle : Hat jemand schon Mal änliche Konstellation zum Laufen gebracht?? an welcher Stelle ist denn der Fehler zu suchen?? Habe ich da was übersehen??

bin auf euere Antworten gespannt....
schon Mal THX!

Das wüsste ich auch gerne, mir stellt sich das Problem demnächst nämlich auch. Ich hab ein VPN bisher nur ohne Firewall und mit FreeS/WAN aufgebaut, funktioniert auch einwandfrei.
Soviel ich weiss, darf man kein NAT machen, weil IPsec erkennt das die Pakete manipuliert wurden und sie verwirft.

Versuchst du die Authentifizierung mit X.509 Zertifikaten ? Da ist Windows2000 ziemlich pinkelig, mag z.B. keine Sonderzeichen.

Linux VPN Masquerade HOWTO
ftp://ftp.rubyriver.com/pub/jhardin/masquerade/VPN-howto/VPN-Masquerade.html
Ist noch fuer die alten Kernels 2.0 u. 2.2, aber die meisten Sachen kann man ja gut portieren.

T;o)Mes

Die Linuxguruz (http://www.linuxguruz.org) haben fuer fast jedes *prob* ne Loesung.

T;o)Mes

hallo!

@ tomes :

in dem howto ist von 2.0 und 2.2-kernel die rede... heist es, dass es mit 2.4.x nicht funktionieren wird?
muss 2.4er auch gepatcht werden?


@ all
hat jemand schon sowas mit 2.4.x zum laufen bekommen???

kann man ipsec überhaupt verNATen????


fragen....

:eek:

VPN NAT müsste eigentlich mit dem 2.4er Kernel ohne Patch funktionieren

damit kann ich leider nix anfangen...
müsste oder funktioniert??

bitte etwas präzieser, wenn es geht... THX

leider noch nicht allzusehr mit iptables beschaeftigt [schaem], aber der grosseVorteil vom 2.4 Kernel ist ja, dass diese Kleinigkeiten schon eingebaut sind.
IPSec und Firewall geht im Grunde genommen. Auf ner Cisco-Pix jedenfalls.
Soweit ich das verstanden habe, muss die Firewall *nur* IPSec sprechen koennen, damit sie erkennt, dass da eingepackte Pakete kommen. Wegen dem routig und so. Werd mich mal umschauen ob ich da noch was finde.
Bei Cisco ist es jedenfalls so, das die Firewall die Pakete auspackt, sich anschaut wo sie hin sollen und sie dann wieder einpackt und weiter schickt. Wenn sie nicht der Endpunkt ist. Wenn man die Firewall als Endpunkt nimmt (Site-to-End) ist das Ganze natuerlich *einfacherer* ;-)
Achso, ob das schon eingebaut ist --> schau dir doch mal deine Kernel-Konfiguration an.
# more /boot/vmlinuz.config
und dann zum Punkt --> IP: Netfilter Configuration
Was aber noetig ist, Schulter zucken.
Aber wie gesagt, das muesste LINUX eigendlich koennen !!!

T;o)Mes

geschrieben ;-(
Nicht bei IP: Netfilter Configuration sondern beim Punkt
--> Networking options --> IPSec options (FreeS/WAN)
nachschauen ;-)

Aber schau dir doch mal selber an, was ich ausgebuddelt habe:
http://www.linux-tech.com/fswan.html
-----snip-----
Configure, make and install an IPSec enabled kernel

This documentation was made using Linux-2.4.18,
iptables-1.2.6 and freeswan-1.95
-----snap-----
T;o)Mes

Ich habe bereits ein VPN zur WLAN Absicherung aufgebaut, nur halt intern, ohne durch die Firewall zu gehen.
Das ganze sieht so aus:

Client (Wlan) 192.168.141.103/16 "right"
|
|
Access Point 192.168.141.102/16
||
||
||
eth1 192.168.141.101/16 "left"
IPSec Gateway
eth0 130.0.0.103/16
||
|| "leftsubnet"
||
LAN 130.0.0.0/16


NAT darf ich hier nur zwischen eth0 des ipsec Gateways und dem LAN machen. Zwischen dem Gateway und den Clients darf kein NAT stattfinden, da ipsec sonst erkennt, das die Header der Pakete verändert wurden und diese verwirft.

Auf dem Gateway läuft iptables mit diesen Regeln:

modprobe iptable_nat

iptables -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Zur Erklärung:
Die Pakete der Clients kommen auf eth1 des Gateways mit mit Absenderadressen an, die im LAN nicht bekannt sind. Also findet auf dem Gateway NAT statt und ändert die Quelladresse auf die IP von eth0 des Gateways, da diese Adresse im LAN bekannt ist.

So hab ich das zumindest verstanden und aufgebaut. Es funktioniert auch einwandfrei. Wenn hier was falsch ist, möge man mich bitte berichtigen.
Ich schreibe auch gerade an einem kleinen Tutorial dafür, kann ich ja mal hier posten.

Das Forum versaut mir irgendwie meinen kleinen Netzplan, ich hab das ganze mal als .txt Datei hier hochgeladen http://www.webdude.de/linux/netzaufbau.txt

aus dem linux-magazine falsch ?

http://www.linux-magazin.de/ausgabe/2000/09/VPN/vpn.html
http://www.linux-magazin.de/ausgabe/2000/10/VPN2/VPN2.html

Leider habe ich im Moment nicht die notwendigen Sourcen um das mal auszuprobieren ;-(

T;o)Mes

Original geschrieben von qwert2000
hallo!

@ tomes :

in dem howto ist von 2.0 und 2.2-kernel die rede... heist es, dass es mit 2.4.x nicht funktionieren wird?
muss 2.4er auch gepatcht werden?


@ all
hat jemand schon sowas mit 2.4.x zum laufen bekommen???

kann man ipsec überhaupt verNATen????


fragen....

:eek:


also ich habe hier einen Tunnel mit freeswan laufen. Eine Gegenstelle ist auch ne pix ist auch nicht kritisch allerdings sind die Natrouter auch immer Tunnelendpunkte. Meines Wissens nach kann man ESP nicht Natten, sondern höchstens forwarden. Also entweder noch eine offizielle IP oder die Terminierung auf der Linuxmaschine lassen.

Was du mit den entpackten Packeten machst bleibt deiner Phantasie bzw deinen NAT Plänen überlassen.

meiner Ansicht nach ein ganz guter Artikel zum Thema :

http://www.netopia.com/en-us/support/technotes/hardware/NIR_077.html

Wenn ich irgendwann mal Zeit habe muss ich mir das auch noch basteln ...

Fuer fli4l-versionen vor 2.x gabs auch ein ipsec-nat modul, welches das ganz gemacht hat, aber fuer die 2er scheinbar nicht, und ich hab auch keinen link zum download fuer das modul gefunden und kanns deshalb mit meinem fli4l nich ausprobieren :-(

sprich wenn ich mal ausreichend zeit habe werde ich es dann doch mit einer zurechtgezimmerten redhat version machen muessen *seufz*