Debian als Gateway, nur wie?
Hallo Liste Ich möchte gerne einen VPN Gateway einrichten. Der Tunnelaufbau ist mir auch gelungen :D, nur habe ich das Problem das mein Server nichts weiterleitet. Die Konfiguration von Racoon meinem IKE Dämonen sollte auch richtig sein, da ich mit dem Buch VPN mit Linux arbeite. Ich habe auch schon herausgefunden was mir fehlt ;) nur kann ich dies nicht umsetzten. Ich habe das Paket ipmasq installiert, dies zeit mit mir an das sobald ich einen Tunnel aufgebaut habe das die Pakete vom Clienten auf eth0 ankommen aber auch durch eth0 wieder zurück geschickt werden. In einem Forum hab ich gelesen, das ich ein SNAT benötige, aber der folgende befehl hat mir auch nicht weitergeholfen. iptables -t nat -A POSTROUTING -s 192.168.21.98/32 -o eth1 -j SNAT --to 192.168.10.0-192.168.10.100 Für die VPN Benutzer gibt es einen eigenen Internetzugang, bei dem ich die Firewall direkt am PC anschliesse auf eth0 und den Datenverkehr über eth1 in Netzwerk leiten. Hoffe die Frage ist inetwa so Formuliert das man versteht was ich meine. Wäre jetzt froh wenn mir jemand sagen könnte wie ich das Problem am bessten angehen soll? Oder mir jemand sagt wo ich einen fehler mache:) Software Debian Sarge 3.1 Kernel 2.6.8 Mit freundlichen Grüssen Florian Rindlisbacher
Re: Debian als Gateway, nur wie?
am 02.03.2005, um 11:44:51 +0100 mailte Rindlisbacher Florian folgendes: Hallo Liste Ich möchte gerne einen VPN Gateway einrichten. Der Tunnelaufbau ist mir auch Was für ein Tunnel? gelungen :D, nur habe ich das Problem das mein Server nichts weiterleitet. Die Konfiguration von Racoon meinem IKE Dämonen sollte auch richtig sein, da Ach so. ich mit dem Buch VPN mit Linux arbeite. Ich habe auch schon herausgefunden was mir fehlt ;) nur kann ich dies nicht umsetzten. Ich habe das Paket ipmasq installiert, dies zeit mit mir an das sobald ich einen Tunnel aufgebaut habe das die Pakete vom Clienten auf eth0 ankommen aber auch durch eth0 wieder zurück geschickt werden. In einem Forum hab ich gelesen, das ich ein SNAT benötige, aber der folgende befehl hat mir auch nicht weitergeholfen. Nicht einfach alles nachtippern, was man in Foren so aufschnappt. iptables -t nat -A POSTROUTING -s 192.168.21.98/32 -o eth1 -j SNAT --to 192.168.10.0-192.168.10.100 Und? Fehlermeldungen können hilfreich sein. Für die VPN Benutzer gibt es einen eigenen Internetzugang, bei dem ich die Firewall direkt am PC anschliesse auf eth0 und den Datenverkehr über eth1 in Netzwerk leiten. parse error. Hoffe die Frage ist inetwa so Formuliert das man versteht was ich meine. Nein, nicht wirklich. Ich kenne jetzt Racoon nicht wirklich, aber es sollte alles ohne SNAT-Regeln gehen. Dazu muß aber Dein VPN-Tunnel erst mal _richtig_ stehen. Wenn der steht, muß das Gateway wissen, daß diese Netze an den VPN-Seiten hängen und das durch das VPN routen. Die Clients wiederum kennen nur den Router, das VPN ist transparent. Bei Dir scheint ein oder mehr Dinge aus dieser Auswahl (möglicherweise unvollständig) nicht richtig zu laufen: - IP_FORWARD - Routing - Tunnelaufbau - Packetfilterung All das kann man prüfen. 1. cat /proc/sys/net/ipv4/ip_forward (sollte 1 ergeben) 2. rpute -n 3. tail /var/logmessages, auth, syslog, ... 4. iptables-save -c Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Gateway, nur wie?
Hoi Florian Fehlt Dir eventuell noch das IP Forwarding? echo 1 /proc/sys/net/ipv4/ip_forward Liebe Grüsse, Adrian. Am 02.03.2005 um 11:44 schrieb Rindlisbacher Florian: Hallo Liste Ich möchte gerne einen VPN Gateway einrichten. Der Tunnelaufbau ist mir auch gelungen :D, nur habe ich das Problem das mein Server nichts weiterleitet. Die Konfiguration von Racoon meinem IKE Dämonen sollte auch richtig sein, da ich mit dem Buch VPN mit Linux arbeite. Ich habe auch schon herausgefunden was mir fehlt ;) nur kann ich dies nicht umsetzten. Ich habe das Paket ipmasq installiert, dies zeit mit mir an das sobald ich einen Tunnel aufgebaut habe das die Pakete vom Clienten auf eth0 ankommen aber auch durch eth0 wieder zurück geschickt werden. In einem Forum hab ich gelesen, das ich ein SNAT benötige, aber der folgende befehl hat mir auch nicht weitergeholfen. iptables -t nat -A POSTROUTING -s 192.168.21.98/32 -o eth1 -j SNAT --to 192.168.10.0-192.168.10.100 Für die VPN Benutzer gibt es einen eigenen Internetzugang, bei dem ich die Firewall direkt am PC anschliesse auf eth0 und den Datenverkehr über eth1 in Netzwerk leiten. Hoffe die Frage ist inetwa so Formuliert das man versteht was ich meine. Wäre jetzt froh wenn mir jemand sagen könnte wie ich das Problem am bessten angehen soll? Oder mir jemand sagt wo ich einen fehler mache:) Software Debian Sarge 3.1 Kernel 2.6.8 Mit freundlichen Grüssen Florian Rindlisbacher
Re: Debian als Gateway, nur wie?
Hallo - IP_FORWARD - Routing - Tunnelaufbau - Packetfilterung All das kann man prüfen. 1. cat /proc/sys/net/ipv4/ip_forward (sollte 1 ergeben) 2. rpute -n 3. tail /var/logmessages, auth, syslog, ... 4. iptables-save -c Also das hatte ich bereits aktiviert: ip_forward=1 Jetzt habe ich an iptables und dem routing nicht geändert, da ich mir nicht mehr sicher bin was genua hineingehört. Der VPN Tunnel lauft orgdnusgemäss, ich kann im Moment nur die Verbindung von einem Client zu Server selber verschlüsseln. Und hier sind die oberen Tests - # Generated by iptables-save v1.2.11 on Wed Mar 2 13:25:33 2005 *mangle :PREROUTING ACCEPT [2828:366520] :INPUT ACCEPT [1544:198437] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [269:21531] :POSTROUTING ACCEPT [269:21531] COMMIT # Completed on Wed Mar 2 13:25:33 2005 # Generated by iptables-save v1.2.11 on Wed Mar 2 13:25:33 2005 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] [0:0] -A INPUT -i lo -j ACCEPT [0:0] -A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j LOG [0:0] -A INPUT -s 127.0.0.0/255.0.0.0 -i ! lo -j DROP [7:895] -A INPUT -d 255.255.255.255 -i eth1 -j ACCEPT [1354:179188] -A INPUT -s 192.168.10.0/255.255.255.0 -i eth1 -j ACCEPT [0:0] -A INPUT -d 224.0.0.0/240.0.0.0 -i eth1 -p ! tcp -j ACCEPT [0:0] -A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -j LOG [0:0] -A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -j DROP [1:350] -A INPUT -d 255.255.255.255 -i eth0 -j ACCEPT [45:8136] -A INPUT -d 192.168.21.97 -i eth0 -j ACCEPT [0:0] -A INPUT -d 192.168.10.255 -i eth0 -j ACCEPT [142:10224] -A INPUT -j LOG [142:10224] -A INPUT -j DROP [0:0] -A FORWARD -s 192.168.10.0/255.255.255.0 -i eth1 -o eth0 -j ACCEPT [0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT [0:0] -A FORWARD -d 192.168.10.0/255.255.255.0 -o eth0 -j LOG [0:0] -A FORWARD -d 192.168.10.0/255.255.255.0 -o eth0 -j DROP [0:0] -A FORWARD -j LOG [0:0] -A FORWARD -j DROP [0:0] -A OUTPUT -o lo -j ACCEPT [0:0] -A OUTPUT -d 255.255.255.255 -o eth1 -j ACCEPT [266:20623] -A OUTPUT -d 192.168.10.0/255.255.255.0 -o eth1 -j ACCEPT [0:0] -A OUTPUT -d 224.0.0.0/240.0.0.0 -o eth1 -p ! tcp -j ACCEPT [0:0] -A OUTPUT -d 192.168.10.0/255.255.255.0 -o eth0 -j LOG [0:0] -A OUTPUT -d 192.168.10.0/255.255.255.0 -o eth0 -j DROP [0:0] -A OUTPUT -d 255.255.255.255 -o eth0 -j ACCEPT [12:1944] -A OUTPUT -s 192.168.21.97 -o eth0 -j ACCEPT [0:0] -A OUTPUT -s 192.168.10.255 -o eth0 -j ACCEPT [0:0] -A OUTPUT -j LOG [0:0] -A OUTPUT -j DROP COMMIT # Completed on Wed Mar 2 13:25:33 2005 # Generated by iptables-save v1.2.11 on Wed Mar 2 13:25:33 2005 *nat :PREROUTING ACCEPT [1542:256928] :POSTROUTING ACCEPT [4:283] :OUTPUT ACCEPT [4:283] [0:0] -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth0 -j MASQUERADE COMMIT # Completed on Wed Mar 2 13:25:33 2005 - route -n Kernel IP Routentabelle ZielRouter Genmask Flags Metric RefUse Iface 192.168.21.00.0.0.0 255.255.255.0 U 0 00 eth0 192.168.10.00.0.0.0 255.255.255.0 U 0 00 eth1 0.0.0.0 192.168.21.44 0.0.0.0 UG0 00 eth0 - tail messages Mar 2 13:31:57 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8043 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:32:27 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8045 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:32:41 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8046 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:32:58 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8047 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:33:28 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8048 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:33:58 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8049 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:34:28 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8050 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:34:58 debvpn kernel: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:a0:c5:46:16:5a:08:00 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8051 PROTO=UDP SPT=520 DPT=520 LEN=52 Mar 2 13:35:28
Re: Debian als Gateway, nur wie?
am 02.03.2005, um 13:50:09 +0100 mailte Rindlisbacher Florian folgendes: Hallo 1. bitte im Thread beleiben 2. bitte keine private Mailkopie, das nervt. Mar 2 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8043 PROTO=UDP SPT=520 DPT=520 LEN=52 Das ist alles von 192.168.21.44, der macht einen Rundruf (192.168.21.255) im selben Netz nach nach DPT=520/UDP. Da ist normalerweise ein Routingprotokoll route 520/udp router routed # RIP angesiedelt. Warum das in Deinem Szenario nötig ist und warum Du es offensichtlich wegwirfst, weiß ich nicht. Auch nicht, ob das die Ursache Deiner Probleme ist, ich kenne weder Raccon noch RIP. Hier tut ein FreeSwan-VPN (1.9x) recht klaglos seine Dienste... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian als Gateway, nur wie?
Sry wegen der mail, hab mich nicht geachtet, mein fehler. 192.168.21.44 ist die Firewall über die ich ins Internet verbinde. Ich brauche nur zu wissen wie ich Debian sagen kann, wenn du auf eth0 etwas bekommst, dekodiere es mit racoon und sende es dann weiter zu eth1. Alles weiter läuft mehr oder weniger :) MFG -Ursprüngliche Nachricht- Von: Andreas Kretschmer [mailto:[EMAIL PROTECTED] Gesendet: Mittwoch, 2. März 2005 14:07 An: debian-user-german@lists.debian.org Betreff: Re: Debian als Gateway, nur wie? Wichtigkeit: Hoch am 02.03.2005, um 13:50:09 +0100 mailte Rindlisbacher Florian folgendes: Hallo 1. bitte im Thread beleiben 2. bitte keine private Mailkopie, das nervt. Mar 2 SRC=192.168.21.44 DST=192.168.21.255 LEN=72 TOS=0x00 PREC=0x00 TTL=1 ID=8043 PROTO=UDP SPT=520 DPT=520 LEN=52 Das ist alles von 192.168.21.44, der macht einen Rundruf (192.168.21.255) im selben Netz nach nach DPT=520/UDP. Da ist normalerweise ein Routingprotokoll route 520/udp router routed # RIP angesiedelt. Warum das in Deinem Szenario nötig ist und warum Du es offensichtlich wegwirfst, weiß ich nicht. Auch nicht, ob das die Ursache Deiner Probleme ist, ich kenne weder Raccon noch RIP. Hier tut ein FreeSwan-VPN (1.9x) recht klaglos seine Dienste... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) winmail.dat