|
Autor
|
|
Nachricht nächster / vorheriger Thread
|
Todesursache
Einsteiger
Registriert seit: 12.2007
Beiträge:15
| Iptables und Routing
Hallo,
Nachdem ich mein Openvpn soweit konfiguriert habe, dass ich alle Rechner im Netzwerk (von Außen)anpingen kann, habe ich nun die ersten Probleme mit der "unsauberen" Methode.
Zufälligerweise hat ein Kunde das gleiche Interne netz wie ich Daheim, und das hat den Effekt das sämtlicher Traffic auf meinem Laptop blockiert wird sobald ich ein VPN Tunnel nachhause aufbaue. Das sollte nach Möglichkeit nicht passieren.
Ich vermute das das Problem mit der Verwendung der Iptables vom Tisch sein wird, ist es korrekt? Habe ich noch andere "leichtere" Möglichkeiten, um das Problem mit gleichen internen Netzwerken zu umgehen?
Beim rumblättern ich euren Tutorials habe ich viel gefunden und da ich mit iptables nie gearbeitet habe stellt sich mir die Frage wieviel ich denn wirklich brauche? Letzendlich, so denke ich, möchte ich doch nur die Packete von tun0 nach eth0 leiten. Was benötige ich also wirklich?
Da Meine linux Kiste eine vmware Maschine ist und sich hinter einem Router befindet, brauche ich die Firewall eigentlich gar nicht so dick zu konfigurieren, es geht mir also nur um die Funktion der weiterleitung.
Ich würde also gerne wissen wie ich das Problem am besten angehen soll, ist es notwendig sich mit iptables zu befassen und wenn ja wie tief soll man denn in die Materie hineinsteigen? Das was in den Tutorials aufgelistet wird ist eine Menge, jedoch werde ich das Gefühl nicht los, das ich nicht mal die hälfte davon brauche.
Bitte um Rat.
Danke!
|
| 09.06.2008 15:18 | Profil >> Zitat >> IP gespeichert |
| Keywords:iptables |
|---|
glua
Online-tutorials.net Team
Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389
|
also ich schätz mal, es geht dir dabei um die konfiguration des clients. bei mir machen folgende zwei zeilen in der client-config das routing:
Code:
route-gateway 10.0.0.1
redirect-gateway local
10.0.0.1 ist dabei die ip des vpn-server im vpn.
wenn du öfters in konflikt mit anderen ip-netzen kommst, dann würde ich
a) ein sehr ungewöhnliches netz wählen und
b) ein sehr kleines netz wählen
angenommen du hast nie mehr als 6 ips im vpn aktiv (incl. vpn-server), dann würde sich ein /29-netz anbieten:
(privates netz, 'eher' selten verwendet) 172.16.241.128 netzmaske: 255.255.255.248
|
| 10.06.2008 11:37 | Homepage >>  >>Profil >> Zitat >> IP gespeichert |
Todesursache
Einsteiger
Registriert seit: 12.2007
Beiträge:15
|
Ich habe mir die ganze Sache mal durch den Kopf gehen lassen und komme zu dem Ergebnis das es einfach sein muss, das er mir alle Schnittstellen sperrt die in irgendeiner Art und weise irgendetwas mit dem Netz zutun haben wie bei mir daheim.
Auch wenn es funktionieren würde und ich von mir aus auf den Client mit der IP 192.168.100.100 zugreifen wollen würde, woher soll denn mein Laptop wissen ob ich den client in dem Netz ansprechen will der meiner geographischen Lage am nächsten ist, oder den der über die VPN Verbindung zu erreichen ist?
Openvpn blockiert vorallem nie sich selbst, das Programm schottet mein Laptop zwar komlett ab, gewährt mir aber noch zugriff auf das netz welches mit dem identisch ist, in welchem ich mich gerade physikalisch befinde. Kaum schließe ich die VPN Verbindung funktioniert google wieder und ich kann sonst wie gewohnt mit dem Laptop arbeiten.
Ich vermute also das dieser "Fehler" nicht an mir liegt, es ist vielmehr so vorgesehen und tritt auch nur dann auf wenn ich die zeile (push "192.168.100.0 255.255.255.0" ) in der server.conf auskommentiere.
Ist kein Push befehl da funktioniert die VPN Schnittstelle und alles andere auch.
Momentan ist die beste Idee wirklich die, die Netze unterschiedlich zu gestalten und darauf achten das sie niemals doppelt sind. Was eigentlich nicht das Problem ist.
Übrigens hat es mit
route-gateway 10.0.0.1
redirect-gateway local
auch nicht funktioniert, der Effekt war der gleiche, nur konnte ich nach dem schließen der VPN verbindung gar nicht mehr ins Internet und musste meinen Wlan adapter neu starten.
Ich habe nun also eine andere Frage. Gegenwärtig arbeite ich mit Statischen Routen, wenn meine VPN Verbindung also steht und ich mit dem Client die Tun Schnittstelle vom server Pingen kann, pushe ich in das eigentliche Netzwerk, weil ich die clients hinter dem VPN-Server erreichen möchte.
Danach lege ich die Routen in der Debian maschine fest und auf jedem einzelnen client, auf den ich später mal von weit weg zugriff haben soll.
Wie kann ich diesen Schritt umegehen? Bei 10 Clients kann ich ja noch zu jedem hingehen und eine Statische Route hinzufügen, bei mehreren clients wird das lästig. Gibt es da eine gute lösung die mir die Arbeit abnimmt?
|
| 10.06.2008 19:27 | Profil >> Zitat >> IP gespeichert |
glua
Online-tutorials.net Team
Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389
|
sorry..hat etwas länger gedauert :)
also..könntest du mir evtl. einen groben plan von deinem netzwerk schicken (aufbau, welche ip-netze werden verwendet, welche adressen haben vpn-server usw.)
dann sollte ich noch vom client z.b. die ausgabe von route -n haben, wenn das netz funktioniert und wenns nicht funktioniert.
route-gateway 10.0.0.1
redirect-gateway local
<= und der push befehl =>
push "192.168.100.0 255.255.255.0"
..sind alternativen zueinander. push kann vom server global an alle clients geschickt werden - das route-gateway usw. werde auf jedem client definiert. daher bitte nur eines verwenden.
|
| 18.06.2008 12:17 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Todesursache
Einsteiger
Registriert seit: 12.2007
Beiträge:15
|
Hätte jetzt nicht gedacht das mir noch jemand antwortet, hehe. Geht klar, ich stelle demnächst ein plan von dem netzwerk hier rein.
|
| 24.06.2008 14:25 | Profil >> Zitat >> IP gespeichert |
Todesursache
Einsteiger
Registriert seit: 12.2007
Beiträge:15
|
Also gut, das Ziel ist also das folgende:
Zugriff auf das Komplette netzwerk Hinter dem Openvpn Server ohne einen Eintrag in den Statischen routen auf jedem Client vornehmen zu müssen.
Mein Netzwerk:
Router:192.168.100.254
Server(Win 2003 Std.): 192.168.100.253
VMware mit Debian (Ovpn Server läuft auf dem Win2003 server): 192.168.100.252
Die Clients im Netzwerk: 192.168.100.100-200 ist der Range.
Nun die Routen aus der Debian VM-Ware Maschine.
debianlink:~# route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
172.16.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.0.0 172.16.0.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 192.168.100.254 0.0.0.0 UG 0 0 0 eth0
wie man sehen kann sind die IP Adressen der Virtuellen schnittstellen 172.16.0.1 (Server)
172.16.0.6 kriegt immer der Ovpn Client.
Bei Jedem Windowsclient sieht es in etwa so aus:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.100.254 192.168.100.253 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 169.254.108.66 169.254.108.66 10
169.254.108.66 255.255.255.255 127.0.0.1 127.0.0.1 10
169.254.255.255 255.255.255.255 169.254.108.66 169.254.108.66 10
172.16.0.0 255.255.255.0 192.168.100.252 192.168.100.253 1
192.168.26.0 255.255.255.0 192.168.26.1 192.168.26.1 20
192.168.26.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.26.255 255.255.255.255 192.168.26.1 192.168.26.1 20
192.168.100.0 255.255.255.0 192.168.100.253 192.168.100.253 10
192.168.100.253 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.100.255 255.255.255.255 192.168.100.253 192.168.100.253 10
192.168.164.0 255.255.255.0 192.168.164.1 192.168.164.1 20
192.168.164.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.164.255 255.255.255.255 192.168.164.1 192.168.164.1 20
224.0.0.0 240.0.0.0 169.254.108.66 169.254.108.66 10
224.0.0.0 240.0.0.0 192.168.26.1 192.168.26.1 20
224.0.0.0 240.0.0.0 192.168.100.253 192.168.100.253 10
224.0.0.0 240.0.0.0 192.168.164.1 192.168.164.1 20
255.255.255.255 255.255.255.255 169.254.108.66 169.254.108.66 1
255.255.255.255 255.255.255.255 192.168.26.1 192.168.26.1 1
255.255.255.255 255.255.255.255 192.168.100.253 192.168.100.253 1
255.255.255.255 255.255.255.255 192.168.164.1 192.168.164.1 1
Standardgateway: 192.168.100.254
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
172.16.0.0 255.255.255.0 192.168.100.252 1
Der Zugriff auf die windows Kisten funktioniert nur dann, wenn bei "Ständige Routen" der gegenwärtige eintrag auch vorhanden ist.
Bei 3 Clients (wie bei mir daheim) ist der Aufwand noch zu ertragen, wenn man jedoch 50 Clients ohne Domäne verwalten muss......
Wie gehe ich also alles am besten an? Bzw. Wie umgehe ich diesen statischen routeneintrag?
Dieser Beitrag wurde zuletzt am 07.07.2008 13:26 von Todesursache editiert.
|
| 07.07.2008 13:25 | Profil >> Zitat >> IP gespeichert |
glua
Online-tutorials.net Team
Registriert seit: 08.2004
Wohnort:Schwarzach
Beiträge:389
|
ist es möglich den router auch ins vpn zu hängen?
|
| 08.07.2008 11:21 | Homepage >> >>Profil >> Zitat >> IP gespeichert |
Todesursache
Einsteiger
Registriert seit: 12.2007
Beiträge:15
|
Ne, leider nicht. Der Popelnetgear kann nur eine Statische Route aufnehmen, dann kan ich auch von außen auf ihn zugreifen, aber der Weg ist der Gleiche. "Um auf etwas zugreifen zu können, -> Statische route manuell eingeben"
Ich habe mich etwas informiert und eigentlich wäre eine Bridge genau das was ich bräuchte. Bzw, die Informationen die ich so gesammelt habe, deuten darauf hin, dass ich mit einer Bridge besser bedient wäre. Kann man das bestätigen?
|
| 08.07.2008 12:01 | Profil >> Zitat >> IP gespeichert |
|
|
nächster / vorheriger Thread
|
Archiv-Version: View only!
