Portforwarding in VPN-Netz

HSKonnection · Beitrag von **HSKonnection** » 30 Jun 2009, 12:28

Hallo zusammen,

ich habe einen Business 800+. Dieser ist per VPN über das Internet mit einem weiterem Netz verbunden (z.B. 192.168.1.0/24). Er selber ist z.B. im Netz 192.168.0.0/24.

Im Netz 192.168.1.0/24 habe ich einen Mailserver(192.168.1.2) stehen. Der Lancom soll nun ein Portforwarding zu diesem Server machen.
Dazu habe ich unter:
Experten-Konfiguration --> Setup --> IP-Router --> 1-N-NAT --> Service-Tabelle
folgenden Eintrag erstellt:
D-Port-von: 25
D-Port-bis: 25
Intranet-Adresse: 192.168.1.2
Map-Port: 25
Aktiv: ja
Kommentar: SMTP-Server

Unter
Experten-Konfiguration --> Setup --> IP-Router --> Firewall --> Regel-Tabelle
ist folgende Regel angelegt:
Idx.: 0001
Prot.: 6
Quell-MAC: 000000000000
Quell-Adresse: 0.0.0.0
Quell-Netz-Maske: 0.0.0.0
Q-Von: 0
Q-Bis: 0
Ziel-MAC: 000000000000
Ziel-Adresse: 192.168.1.2
Ziel-Netz-Maske: 255.255.255.255
Z-Von: 25
Z-Bis: 25
Aktion: limit: accept snmp
verknuepft: nein
Prio: 0
Rtg-Tag: 0

Vor dieser Regel sind keine Regeln, die Pakete ablehnen oder verwerfen. Die Regel scheint auch zu greifen, denn es erscheint ein Eintrag im LANmonitor.
Was mich verwundert, ist das in der Open-Port-List unter "Firewall" der Port 25 nicht auftaucht. Was auch erklärt, warum trotz allem keine Pakete an dem andern VPN-Gateway ankommen.
Wenn ich mit einem Rechner aus dem 192.168.0.0/24-Netz auf den Mailserver zugreife, dann funktioniert das ohne Probleme, nur nicht aus dem Internet…

Vielen Dank schon mal für Eure Hilfe.

HSKonnection

backslash · Beitrag von **backslash** » 30 Jun 2009, 14:03

Hi HSKonnection

Was mich verwundert, ist das in der Open-Port-List unter "Firewall" der Port 25 nicht auftaucht.

Der wird da auch nicht auftauchen. Die Open-Portliste ist dazu da, z.B. bei FTP-verbindungen den Datenport zu öffnen, damit trotz Deny.All-Regel die Verbindung überhaupt zustaned kommt.

Was auch erklärt, warum trotz allem keine Pakete an dem andern VPN-Gateway ankommen.

eben nicht...
Es kommen keine Pakete auf dem amnderen VPN-Gateway an, weil keine passenden VPN-Regeln existieren...

Hierzu mußt du einerseits an obiger Regel noch das Häkchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" (VPN: ja) setzen und andererseits auf dem gegenüberliegenden VPN-Gateway eine Default-Route auf den VPN-Tunnel legen. Wenn das gegenüberliegenden VPN-Gateway kein LANCOM ist, dann sind dort u.U. noch weitere Konfigurationen nötig.

Gruß
Backslash

HSKonnection · Beitrag von **HSKonnection** » 30 Jun 2009, 15:00

Hallo backslash,

vielen Dank für Deine Antwort.

Hierzu mußt du einerseits an obiger Regel noch das Häkchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" (VPN: ja) setzen

Habe ich gemacht, hat aber keine Verbsserung gebracht.

und andererseits auf dem gegenüberliegenden VPN-Gateway eine Default-Route auf den VPN-Tunnel legen.

Der Default-Route ist auch da, aber die wird doch nur für den "Rückweg" gebraucht, oder? Es kommen vorher aber nicht mal Pakete an dem anderen Gateway an(tcpdump).

Gruß
HSKonnection

backslash · Beitrag von **backslash** » 30 Jun 2009, 17:17

Hi HSKonnection

Habe ich gemacht, hat aber keine Verbsserung gebracht.

wie schon gesagt: alleine bringt das nichts, auf dem entfernten VPN-Gateway muß das auch noch passend konfiguriert werden.

Gib aber mal im Telnet auf dem LANCOM "show vpn" ein und prüfe ob die VPN-Regel angelegt wurde

Der Default-Route ist auch da, aber die wird doch nur für den "Rückweg" gebraucht, oder?

Ein LANCOM braucht sie zudem um die VPN-Regeln aufsetzen zu können...

Es kommen vorher aber nicht mal Pakete an dem anderen Gateway an(tcpdump).

Das entfernte VPN-Gateway ist hier offenbar eine Linux-Maschine. Da mußt du natürlich auch noch eine passende VPN-Regel erzeugen, die den Traffic von allen Stationen an den Server zuläßt. Wie die allerdings genau aussehen muß, kann ich dir nicht sagen.

Wenn im LANCOM die VPN-Regel existiert, dann mach mal auf dem LANCOM einen IP-Router-, VPN-Status- und VPN-Packet-Trace vom Mail-Eingang. Achte dabei aber darauf, daß das auch das einzige ist, was gerade auf dem LASNCOM passier, denn sonst siehst du im Trace den Wald vor lauter Bäumen nicht mehr...

Gruß
Backslash

HSKonnection · Beitrag von **HSKonnection** » 01 Jul 2009, 12:16

Hallo,

also das Ding treibt mich bald in den Wahnsinn...

jetzt wollte ich ein trace wie vorgeschlagen ausführen. Allerdings kann ich den Netzwerkverehr nicht wirklich eindämmen. Denn das VPN wird in der Produktion benötigt und ich kann auf die Kiste nur per Remote über das VPN zugreifen.

Also dachte ich benutze ich einen Filter. In der Doku steht folgendes Beispiel:

Code: Alles auswählen

trace + ip-router @+TCP +"port: 80"

Also dachte ich mir, mache ich:

Code: Alles auswählen

trace + ip-router @+TCP +"port: 25"

Allerdings schlagen beide Befehle mit einem Syntaxfehler fehl. Was ist an den Befehlen verkehrt?

Installierte Version ist:
6.27.0022

Gruß
HSKonnection

HSKonnection · Beitrag von **HSKonnection** » 01 Jul 2009, 13:44

So habe es jetzt anders gelöst.

Da das ganze nur eine temporäre Sache ist, habe ich jetzt einen SSH-Portforward von einem Rechner im 192.168.0.0/24 Netz zum Mailserver erstellt.
Und den Portforward im Lancom auf diesen Rechner geändert...

Nochmal viele Dank für Eure Hilfe...

Gruß
Tim

backslash · Beitrag von **backslash** » 01 Jul 2009, 13:50

Hi HSKonnection

Allerdings schlagen beide Befehle mit einem Syntaxfehler fehl. Was ist an den Befehlen verkehrt?

Zwischen @ und +TCP muß ein Leerzeichen stehen

Installierte Version ist:
6.27.0022

das ist ja schon fast aus der Steinzeit...

Da das ganze nur eine temporäre Sache ist, habe ich jetzt einen SSH-Portforward von einem Rechner im 192.168.0.0/24 Netz zum Mailserver erstellt.
Und den Portforward im Lancom auf diesen Rechner geändert...

Das ist die einfachste Lösung, um den Ärger mit den VPN-Regeln zu umgehen...

Gruß
Backslash