| Thema |
Verfasser |
Letzte Antwort |
| VPN-Verbindung zulassen |
SteamboatWillie ( ---.osnanet.de) |
19 Oct 2006 05:53 |
Hallo,
habe folgende Problemstellung:
Nutzen einen normalen DSL-Anschluß. Als DSL-Router/Firewall kommt Suse 9.3 mit aktuellen Patches zum einsatz inkl und iptables
Möchte nun aus dem internen Netz einem Client erlauben via seinem Netscreen Client eine VPN-Verbindung zum im Internet befindlichen VPN-Server zuzulassen.
Habe dafür folgende Regeln erstellt.
dst=1.1.3.4 # VPN-Server
src=192.168.x.121 # Client im lokalen Netzwerk
for port in 500 4500 ; do
$IPTABLES -A FORWARD -p udp --dport $port -d $dst -s $src -j ACCEPT
$IPTABLES -A POSTROUTING -p udp --dport $port -d $dst -s $src -o ppp0 -j MAS QUERADE -t nat
$IPTABLES -A FORWARD -p udp --sport $port -s $dst -d $src -m state --state ESTABLISHED,RELATED -j ACCEPT
done
Problem ist:
Es wird keine Verbindung aufgebaut.
via tcpdump kann ich sehen, dass meine Pakete auf udp500 auf der LAN-NIC am Router ankommen.
Ich sehe ebenfalls am ppp0, dass Pakete vom VPN-Server auf udp500 bei mir ankommen, sowie Pakete an den VPN-Server verschickt werden.
Trotzdem kommen diese Pakete nicht bei meinem Client an.
Hoffe habe mich klar ausgedrückt.
Gibt es zumindest tools oder standard Einstellungen die ich überprüfen kann?
Danke! |
| ||
| RE: VPN-Verbindung zulassen | Ralf ( ---.dip.t-dialin.net) | 21 Aug 2006 12:27 |
Hallo
Port 4500 wird nicht genutzt? Dann macht Dein Client wahrscheinlich kein NAT-Traversal und Du musst zusätzlich die Protokolle 50/51 zulassen. Genaues könnte man aber nur bei Angabe eines Protokolls sagen.
Gruß,
Ralf
|
| RE: RE: VPN-Verbindung zulassen | SteamboatWillie ( ---.osnanet.de) | 4 Oct 2006 11:07 |
Hallo Ralf,
das Problem war, das nach erstmaligem (durch falsches Kennwort) Fehlverbindungsaufbau noch die NAT Verbindung offen ist. Ich hab das über iptstat raus gefunden.
Wenn ich nun auf das Time-Out der Verbindung warte kann ich die VPN-Verbindung aufbauen.
Die Frage: Warum wird die NAT-Verbindung nicht mit beenden der VPN-Verbindung abgebaut? |
| RE: RE: RE: VPN-Verbindung zulassen | Ralf ( ---.versanet.de) | 4 Oct 2006 11:12 |
Hallo,
nein. Lediglich bei TCP-Verbindungen wird tatsächlich auch die NAT Verbindung in der Firewall abgebaut. Bei UDP oder anderen generischen Protokollen geht das nicht. ESP-Verbindungen bleiben bei Linux 10 Minuten als genattete Verbindung bestehen. (UDP 180 sek).
Gruß,
Ralf
|
| RE: RE: RE: RE: VPN-Verbindung zulassen | SteamboatWillie ( ---.osnanet.de) | 10 Oct 2006 09:53 |
Danke für die Info!
Nebenbei:
Ich finde es absolut top, dass du dich neben deiner Tätigkeit auch noch so um die Probleme anderer kümmerst. Das kenne ich so aus keinem anderen Bereich.
Daumen hoch! |
| RE: RE: RE: RE: RE: VPN-Verbindung zulassen | Ralf ( ---.dip.t-dialin.net) | 19 Oct 2006 05:53 |
Gern geschehen.
Gruß,
Ralf |
17 Oct 2008: