 |
|
|
|
| Autor |
Nachricht |
Iruwen
Anmeldungsdatum: 04.02.2010
Beiträge: 2
Wohnort: Bremen
|
 Verfasst am:
Do 04 Feb, 2010 17:58 |
  |
|
Moin,
jetzt dachte ich ich hätte den ganzen VPN-Kram endlich verstanden, hab erfolgreich einen Tunnel aufgebaut aber krieg keine Daten durch 
Also: ich hab hier einen 1823er fürs lokale Netz der über VDSL einen VPN-Tunnel zu einem OpenBSD Server aufbaut (mit isakmpd) hinter dem einige Server stehen.
Lokal 192.168.0.0/24 --> 1823 --Internet--> OpenBSD --> Remote 10.0.0.0/8
Ich würde jetzt gerne aus dem lokalen Netz direkt auf die Server in diversen Subnetzen zugreifen können.
Den Tunnel hab ich aufgebaut bekommen, allerdings bin ich mir jetzt nicht ganz sicher was ich auf dem LANCOM bei den Routen bzw. Firewall Regeln eintragen muss.
Ich hab auf dem LANCOM diese Route eingetragen:
Erste blöde Frage: ist 10.0.0.3 dann quasi die Adresse des LANCOM im entfernten Netz? Das hab ich mir von einer anderen funktionierenden VPN-Verbindung (externer Client zum LANCOM) abgeguckt:
Da ist dann halt 192.168.0.248 die interne Adresse des Clients.
Die OpenBSD Maschine hat die interne Adresse 10.0.0.1.
Und so sieht die VPN-Verbindung aus, allerdings mit automatischer statt manueller Regelerzeugung:
So wird der Tunnel aufgebaut, ich sehe auf der OpenBSD Maschine auch entsprechende Routen:
| Zitat:
|
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
192.168.0/24 0 10/8 0 0 p5DCXXXXX.dip.t-dialin.net/esp/use/in
10/8 0 192.168.0/24 0 0 p5DCXXXXX.dip.t-dialin.net/esp/require/out
|
In pf (OpenBSD Paketfilter) ist auch eingehender Traffic fürs VPN Interface pauschal freigegeben (outbound Policy ist eh allow): pass in quick on $fw_if_enc all
Allerdings kann ich z.B. 10.0.0.110 nicht anpingen (oder sonstwie darauf zugreifen). Nichtmal 10.0.0.1, also der Host selbst, funktioniert.
Ich habe dann auch probiert die automatische Regelerzeugung auszuschalten und folgende Regel selbst hinzuzufügen:
So komme ich zwar ins Internet und kann auch über das VPN auf die Server im entfernten Netz zugreifen (also scheine ich ja schonmal kein Problem mit den Firewallregeln auf der OpenBSD Seite zu haben), allerdings kann man dann nicht mehr aus dem Internet auf die Server zugreifen. Die Routen auf der OpenBSD Maschine sehen dann auch so aus:
| Zitat:
|
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
default 0 10/8 0 0 p5DCXXXXX.dip.t-dialin.net/esp/use/in
10/8 0 default 0 0 p5DCXXXXX.dip.t-dialin.net/esp/require/out
|
Dass die Server so nicht mehr erreichbar sind wundert mich auch nicht weiter, aber wie mach ich das jetzt richtig? :\ |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4464
Wohnort: Aachen
|
| Verfasst am:
Do 04 Feb, 2010 20:45 |
|
|
Hi Iruwen
| Zitat:
|
|
Erste blöde Frage: ist 10.0.0.3 dann quasi die Adresse des LANCOM im entfernten Netz? Das hab ich mir von einer anderen funktionierenden VPN-Verbindung (externer Client zum LANCOM) abgeguckt:
|
Hier muß eigentlich 10.0.0.0 stehen, da du ja das ganze Netz erreichen willst. Glücklicherweise wird im LANCOM überall immer erst die Netzadresse gebildet, weshalb das hier egal ist...
Bei einem Client hingegen steht da natürlich die Adresse, die der Client "hinter" dem Tunnel haben soll - zusätzlich die dabei auch die Netzmaske auf 255.255.255.255 gesetzt...
| Zitat:
|
|
Allerdings kann ich z.B. 10.0.0.110 nicht anpingen (oder sonstwie darauf zugreifen). Nichtmal 10.0.0.1, also der Host selbst, funktioniert.
|
mit diesen SAs solltest du aus dem 192.168.x.x Netz alles im 10.x.x.x-Netz anpingen können - es sei denn auf dem OpenBSD stimmt die Routing-Tabelle nicht
| Zitat:
|
Ich habe dann auch probiert die automatische Regelerzeugung auszuschalten und folgende Regel selbst hinzuzufügen:
(...)
So komme ich zwar ins Internet und kann auch über das VPN auf die Server im entfernten Netz zugreifen (also scheine ich ja schonmal kein Problem mit den Firewallregeln auf der OpenBSD Seite zu haben),
|
das heißt aber, daß du selbst nicht aus dem 192.168.x.x-Netz kommst, denn sonst hätte das schon mit den automatischen Regeln funktionieren müssen...
| Zitat:
|
|
allerdings kann man dann nicht mehr aus dem Internet auf die Server zugreifen. Die Routen auf der OpenBSD Maschine sehen dann auch so aus:
|
es ist ja schön, wenn die SAs korrekt ausgehandelt wurden, dennoch mußt du auf dem NetBSD dafür auch eine Defaultroute auf den Tunnel legen, sonst schickt es die Antworten auf alles, was durch den Tunnel reinkommt dierekt ins Internet...
Hier mußt du vermutlich mit der Firewall des openBSD (was verwenden die eigentlich?) herumexperimentieren, denn schließlich soll nur das, was durch den Tunnel angefragt wurde auch wieder in den Tunnel geroutet werden. Der normale Internet-Traffic soll ja weiterhin direkt ins Internet gehen...
Gruß
Backslash |
|
|
 |
|
Iruwen
Anmeldungsdatum: 04.02.2010
Beiträge: 2
Wohnort: Bremen
|
| Verfasst am:
Do 04 Feb, 2010 22:55 |
|
|
Danke, das hat mir einen Schritt weitergeholfen, jetzt weiß ich schonmal dass die Konfiguration auf LANCOM Seite ok ist (ich bin also nicht ganz zu doof). Die Routen sind denke ich hiermit abgedeckt, damit geht ja alles was aus "meinem" Netz kommt auch dahin zurück (die VPN-Routen sind unter OpenBSD unter "Encap" separat gelistet):
| Zitat:
|
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
192.168.0/24 0 10/8 0 0 p5DCXXXXX.dip.t-dialin.net/esp/use/in
10/8 0 192.168.0/24 0 0 p5DCXXXXX.dip.t-dialin.net/esp/require/out
|
OpenBSD verwendet pf, gewöhnt man sich recht schnell dran wenn man iptables kennt  Knackpunkt sind wohl meine Firewallregeln in pf, ohne die standardmäßige "blockier alles was reingeht" Regel funktionierts nämlich. Wahrscheinlich geht der Traffic zwar übers VPN rein und zu den Servern raus aber nicht zurück. Muss ich mich da wohl nochmal durchwursten.
Danke erstmal! |
|
|
|
|
|
|
|
|
| |
|
|
