Re: VPN SSH und die Firewall
am Tue, dem 09.03.2004, um 23:41:37 +0100 mailte Thomas Sommer folgendes: Nett, daß Du uns diese Meldung nicht sagst. Ist ja klar, wir sind hier die Prüflinge, und Du stellst die Fragen. Hab ich im Eifer des Gefechts vergesse: IN=eth0 OUT=ppp0 SRC=192.168.1.3 DST=192.168.0.254 LEN=60 TOX=0x00 PREC=0x00 TTL=63 ID=9343 DF PROTO=UDP SPT=32990 DPT=53 LEN=40 Jetzt hoffe ich daß das auch wirklich aussagt, daß das Packet gblockt Ja. Das VPN terminitert auf der einen Seite am Client? Kannst Du mir die frage etwas genauer erläutern? Ich verstehe leider nicht ganz was der Begriff terminieren hier bedeutet. Ein VPN ist sowas wie eine Röhre, durch die die Daten gehen. Währe die Röhre aus Glas, könnte man von außen nur verschl. Zeugs sehen. Nettes Tool dafür ist tcpdump. Nun, jede Röhre hat 2 Enden. Dort terminiert das VPN. Die Enden können Clients oder Netze sein. Die Röhre selbst kann SSH sein oder IPSec oder was es da noch so gibt. ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Meinst Du sowas? $IPTABLES -A FORWARD -j LOG Ja. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
Ein VPN ist sowas wie eine Röhre, durch die die Daten gehen. Währe die Röhre aus Glas, könnte man von außen nur verschl. Zeugs sehen. Nettes Tool dafür ist tcpdump. Nun, jede Röhre hat 2 Enden. Dort terminiert das VPN. Die Enden können Clients oder Netze sein. Die Röhre selbst kann SSH sein oder IPSec oder was es da noch so gibt. Ok verstanden: Nein das VPN terminiert nicht am Client, der ist mittels route add -network so angelegt daß das Netz dahinter erreichbar ist. So wie ich die Sache gerade sehe, habe ich alles richtig gemacht, nur daß das Packete von der Firewall geblockt werden. Ich weiß nur nicht was ich für das Forwarden eingeben sollte. Wie gesagt ich hatte sowas wie unten probiert. Ich dachte das würde alles was von ppp0 kommt auf $INTIF durchlassen. Entsprechende Regel für die Gegenrichtung und die Sache ist geritzt. Soweit zumindest meine Theorie. Stimmt das? Und wenn ja wo ist dann der Fehler in meiner Iptables-Regel. Wenn die stimmt, dann muß ja doch am Routing liegen. Muß wohl noch nen bischen Zeit reinstecken ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Meinst Du sowas? $IPTABLES -A FORWARD -j LOG Ja. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN SSH und die Firewall
Hallo, ich will nen kleines VPN aufbauen mit SSH und PPPD. Das tut auch alles so weit, nur wenn ich von einem Netzt ins andere pinge spuckt mir iptables ne Warnung aus und läßt nichts durch. Ich habe ewig im Netzt gesucht, aber keine weiteren Infos gefunden, vielleicht kann hier ja jemand nen kleinen Blick auf die Firewall werfen: Mein VPN läuft über PPP0 und ich verbinde ein 192.168.1.0 mit 192.168.0.0. Meine Firewall läuft auf 192.168.1.254 im VPN: 192.168.0.100 der Client auf 192.168.0.9 im VPN: 192.168.0.101 Von der Firewall und vom Client kann ich beide Netze pingen. Aus den Netzen, dann aber nur die Firewall bzw. den Client (beide IPs die sie jeweils haben) VPN Device: PPP0 Danke für jeden Hinweis Thomas Firewall script- EXTIF=eth1 INTIF=eth0 #Clearing any previous configuration # # Unless specified, the defaults for INPUT and OUTPUT is ACCEPT #The default for FORWARD is DROP # echoclearing any existing rules and setting default policy.. $IPTABLES -P INPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -t nat -F echoFWD: Allow all connections OUT and only existing and related ones IN $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT echoEnabling SNAT (MASQUERADE) functionality on $EXTIF $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo -e \nrc.firewall-2.4 v$FWVER done.\n -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
am Tue, dem 09.03.2004, um 17:11:50 +0100 mailte Thomas Sommer folgendes: Hallo, ich will nen kleines VPN aufbauen mit SSH und PPPD. Das tut auch alles so weit, nur wenn ich von einem Netzt ins andere pinge spuckt mir iptables ne Warnung aus und läßt nichts durch. Ich habe ewig im Netzt gesucht, aber Nett, daß Du uns diese Meldung nicht sagst. Ist ja klar, wir sind hier die Prüflinge, und Du stellst die Fragen. keine weiteren Infos gefunden, vielleicht kann hier ja jemand nen kleinen Blick auf die Firewall werfen: Mein VPN läuft über PPP0 und ich verbinde ein 192.168.1.0 mit 192.168.0.0. Welche Rolle spielt SSH dabei? Meine Firewall läuft auf 192.168.1.254 im VPN: 192.168.0.100 der Client auf 192.168.0.9im VPN: 192.168.0.101 Das VPN terminitert auf der einen Seite am Client? Von der Firewall und vom Client kann ich beide Netze pingen. Aus den Netzen, dann aber nur die Firewall bzw. den Client (beide IPs die sie jeweils haben) IP_Forward im Kernel aktiviert? echoclearing any existing rules and setting default policy.. $IPTABLES -P INPUT ACCEPT Warum ACCEPT? ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
Nett, daß Du uns diese Meldung nicht sagst. Ist ja klar, wir sind hier die Prüflinge, und Du stellst die Fragen. Hab ich im Eifer des Gefechts vergesse: IN=eth0 OUT=ppp0 SRC=192.168.1.3 DST=192.168.0.254 LEN=60 TOX=0x00 PREC=0x00 TTL=63 ID=9343 DF PROTO=UDP SPT=32990 DPT=53 LEN=40 Jetzt hoffe ich daß das auch wirklich aussagt, daß das Packet gblockt wird. Jedenfalls sind SRC und DST beide keine VPN-Gateways. Welche Rolle spielt SSH dabei? Das VPN ist die Billigversion über pppd mit ssh Tunnel und weiterem Aufruf von pppd auf dem anderen Rechner Meine Firewall läuft auf 192.168.1.254 im VPN: 192.168.0.100 der Client auf 192.168.0.9 im VPN: 192.168.0.101 Das VPN terminitert auf der einen Seite am Client? Kannst Du mir die frage etwas genauer erläutern? Ich verstehe leider nicht ganz was der Begriff terminieren hier bedeutet. Von der Firewall und vom Client kann ich beide Netze pingen. Aus den Netzen, dann aber nur die Firewall bzw. den Client (beide IPs die sie jeweils haben) IP_Forward im Kernel aktiviert? Ja in beiden, habe ich extra nachgeschaut echoclearing any existing rules and setting default policy.. $IPTABLES -P INPUT ACCEPT Warum ACCEPT? Weil es so in der Datei stand die ich in (glaube) einer Howto gefunden habe. ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Meinst Du sowas? $IPTABLES -A FORWARD -j LOG -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)