PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSEfirewall2 und VPN ... wie ?



Stargate
14.11.02, 06:34
Hi,

ich habe hier mit pptp ein VPN (auf meinem Linux Router)aufgebaut. Und zwar soll dort eine Person aus dem Internet und ich aus dem Netzwerk rein. Wir kommen auch beide rein (wenn ich die Firewall deaktiviere) doch dann kann sich niemand von uns beiden Pingen und auch keine Server des anderen joinen. Selbst kann man sich allerdings Pingen. Das selbe Problem tritt auf, wenn ich auf den VPN Server meines Freundes connecte. Wenn ich direkt ins Internet gehe ohne den Router funzt VPN einwandfrei (wenn ich mich bei ihm einlogge). Nur halt nie wenn der Router dazwischen ist, oder wir uns selbst auf dem Router einwählen.
Weiß jemand was ich bei der SuSEfirewall2 alles einstellen muß, damit VPN richtig funzt ?

Danke schonmal für eure Hilfe !

MfG,
Stargate

HangLoose
14.11.02, 09:48
moin moin

versuch mal folgendes

FW_DEV_EXT="ppp0 ipsec0"

FW_SERVICES_EXT_UDP="500"

FW_SERVICES_EXT_IP="50"


Gruß HangLoose

Stargate
14.11.02, 14:19
Hi,

danke schonmal HangLoose.. aba Ipsec0 ist glaube ich das falsche Netzwerk...

Obwohl pptpd (mit rcpptpd start) gestartet ist kommt folgende Meldung bei starten der SuSEfirewall2: "Warning: interface ipsec0 is not active."
Ping geht auch nicht... Weder der Router kann meinen Hauptrechner (über die VPN-IPs) pingen noch umgekehrt.. Jeder selbst kann sich aba einwandfrei pingen !

MfG,
Stargate

Newbie2001
14.11.02, 14:30
wie heißt denn dein vpn-device dann ??

Stargate
14.11.02, 14:35
Original geschrieben von Newbie2001
wie heißt denn dein vpn-device dann ??

Keine Ahnung.. wie bekomme ich das raus ?

MfG,
Stargate

Stargate
14.11.02, 18:19
Ich habe mir das gerade so ein bißchen angeschaut.. IPsec war überhaupt nicht gestartet. Ich habe lediglich poptop mit rcpptpd start gestartet. Aber es muß ja irgendwie funktionieren, weil man sich zumindest erfolgreich einloggen kann von WinXP aus !

HangLoose
14.11.02, 19:11
hi stargate

ich hab leider null plan von Ipsec. die einstellungen von oben hab ich *ergoogelt*.


Gruß HangLoose:)

Harry
14.11.02, 19:46
Original geschrieben von HangLoose
ich hab leider null plan von Ipsec. die einstellungen von oben hab ich *ergoogelt*.
Ähmmm ... er benutzt ja auch kein IPSEC sondern PPTP (Point to Point Tunneling Protocol).
Wenn von VPN die Rede ist, dann ist das nicht automatisch immer FreeSWAN mit IPSEC :D

Harry

HangLoose
14.11.02, 19:51
hi harry


Original geschrieben von Harry
Ähmmm ... er benutzt ja auch kein IPSEC sondern PPTP (Point to Point Tunneling Protocol).
Wenn von VPN die Rede ist, dann ist das nicht automatisch immer FreeSWAN mit IPSEC :D


sach ich doch, ich hab null plan *grins* nutzt Ipsec denn noch andere ports und protokolle?


edit: habs schon gefunden port 1723 und proto 47 :)

Harry
14.11.02, 20:10
Original geschrieben von HangLoose
hi harry

sach ich doch, ich hab null plan *grins* nutzt Ipsec denn noch andere ports und protokolle?

edit: habs schon gefunden port 1723 und proto 47 :)
Port 1723 und Proto 47? Ja das benutzt möglicherweise irgendein Protokoll, jedoch IPSEC per Default sicher nicht ;)

PS: Du kannst das in meinem iptables Generator ganz einfach nachschauen, welche Anforderungen IPSEC an Ports und Protokolle hat :D

Harry

HangLoose
14.11.02, 20:17
moin

häh, jetzt versteh ich gar nichts mehr ? ;)

stargate schreibt im ersten posting


ich habe hier mit pptp ein VPN

ich geb ihm dann anscheinend die *werte* für ipsec und nicht für pptp, nachdem du mich drauf hinweist, das ipsec != pptp such ich nach pptp und finde dann für pptp port 1723 proto 47 :confused:

ich werde jetzt mal deine *höllenmaschine* nehmen ;)

Harry
14.11.02, 20:21
Achso ... dann habe ich Dich gerade falsch verstanden, wenn die letzten Werte für PPTP gemeint waren. Ich hatte angenommen, Du hättest neue Werte für IPSEC gegoogelt und dafür stimmten diese Werte definitiv nicht.

Für PPTP können die Werte schon stimmen, aber da habe ich fast keinen Plan von. Also ich ziehe meine letzte Aussage zurück :D

Harry

HangLoose
14.11.02, 20:28
hi stargate

dann versuch doch mal folgendes

FW_DEV_EXT="ppp0"

FW_SERVICES_EXT_TCP="1723"

FW_SERVICES_EXT_IP="47"

@harry

ich hatte auch schon wieder komplett an mir gezweifelt ;)


Gruß HangLoose

Stargate
14.11.02, 20:44
Ne geht leider immer noch kein Ping zu nem anderen Rechner...

Also Router kann sich unter der VPN IP selbst pingen und Hauptrechner ebenfalls ... aber halt kein Ping untereinander möglich ... selbe Problem wie vorher auch !

Ich habe hier mal noch was gefunden... Steht bei ettlichen Optionen benötigt für VPN. Weiß aba nicht was ich da eintragen soll:
http://www.robidu.de/linux/firewall/variable.html

HangLoose
14.11.02, 20:48
hm

meckert die firewall denn noch beim starten? und den port hast du auch bei tcp eingetragen, vorher wars nämlich udp. und was sagen die logs?

Stargate
14.11.02, 20:58
Jo Ports habe ich richtig gesetzt. Das sind glaub ich die Fehlermeldung die auftreten wenn ich Pingen will:


Nov 14 20:51:02 pandora kernel: SuSE-FW-UNAUTHORIZED-TARGET
IN=ppp1 OUT=ppp0 SRC=192.168.1.235 DST=194.25.2.135 LEN=63 TOS=0x10 PREC=0x00 TTL=127 ID=14165 PROTO=UDP SPT=1080 DPT=53 LEN=43

Nov 14 20:52:16 pandora kernel: SuSE-FW-UNAUTHORIZED-ROUTING
IN=ppp1 OUT=ppp0 SRC=192.168.1.235 DST=194.25.2.129 LEN=63 TOS=0x10 PREC=0x00 TTL=127 ID=14164 PROTO=UDP SPT=1080 DPT=53 LEN=43



Zur Erklärung:
Normales Netzwerk (Eth0)
Router: 192.168.0.1
Hauptrechner: 192.168.0.2
Subnet: 255.255.255.0

VPN Netzwerk:
Router: 192.168.0.235
Hauptrechner: 192.168.1.235

Betriebssysteme:
Router: Suse Linux 8
Hauptrechner: Windows XP

MfG,
Stargate

P.S. Sowas stand da auch noch.. weiß aba nicht ob das wichtig ist:


Nov 14 20:52:31 pandora kernel: martian source 62.246.8.217 from 192.168.0.2, on dev ppp1
Nov 14 20:52:31 pandora kernel: ll header: 45:00:00:28

psycholars
13.02.03, 20:46
Hi,
gibt es irgendwo ein gutes HowTo???
Ich wollte ein VPN über einen Linux Server einrichten, welches eine Freigabe von einem WinNT Server für Win2k CLients zur Verfügung stellen soll. Der Server kann nur mit dyndns betrieben werden, also keine feste IP leider.....


Lars