Hallo Stefan,
* Stefan Schilling schrieb [22-03-05 11:07]:
>
> Scheint, als w�ren ein paar wichtige Informationen verloren
> gegangen...
Scheint, als ob du nicht verstanden hast, was ich geschrieben habe.
> Am Dienstag, 22. M�rz 2005 um 01:46 schrieb Udo Mueller:
>
> >> was nicht klappt ist (vom Client1 aus):
> >> - ping 192.168.100.2
>
> > Ist klar. Der Server hat keinen Routingeintrag f�r das Netz des
> > Uni-Rechners. Da der Ping wahrscheinlich mit der Uni-IP abgesetzt
> > wird, kann der Server das nicht zur�ck routen.
>
> aber er hat einen Routingeintrag f�r 172.16.1.x. Ausserdem: die Uni
> routet keine Pakete an 192.168.100.x und selbst wenn sie es t�te
> hielte ich es doch f�r einen �berraschenden Zufall, dass die Pakete an
> 192.168.100.x auch tats�chlich meinen Rechner -durch dessen Firewall,
> die ja eigentlich fast alles blockt- �bers Internet erreichen.
Ich rede ja auch nicht von der Uni, sondern von deinem Server. Der
soll wissen, welches Netz, bzw. hier nur welche IP hinter dem VPN
existiert.
> >> - smbclient -L 192.168.100.2
>
> > Dito.
>
> dann d�rfte es aber nach Abschaltung der Firewall auch nicht klappen.
> Es sei denn, die pings k�men tats�chlich von ausserhalb des Tunnels.
> Aber das d�rfte ja eigentlich nun gleich gar nicht funktionieren
> (s.o.)
Doch, kann sehr wohl klappen, weil dein Server jetzt die
Antwortpakete vom XP-Client �ber das �ffentliche Internet zur�ck an
den Client1 sendet.
> >> ----vom WinXP hinter dem server (192.168.100.2):
> >> - ping 172.16.1.6, w�hrend ping 172.16.1.1 widerum klappt
>
> > Und welcher Rechner hat die .1.6? Der Server bei dir hat die .1.5
> > und der Rechner in der Uni die .1.2
>
> Server: 172.16.1.1
> Client1: 172.16.1.2
> XP hat nur 192.168.100.2, kein tun0, da er ja eh hinter dem Server
> sitzt
Aha. Und wer hat die 172.16.1.6? Und die 172.16.1.5 aus der
Routingtabelle von Client1?
> >> lasse ich nun die Hosen runter (d.h. ich deaktivier die Firewall) klappt
> >> alles.
>
> > Dann gehen die Anwortpakete wohl �ber das �ffentliche Netz, also
> > nicht �ber VPN zur�ck.
>
> wie das? ich pinge ja nicht an die �ffentliche Adresse des Servers.
> Somit m�sste er ja die Absenderadresse "richtig" interpretieren
Wenn du die VPN Adresse pings ist das richtig. Pingst du von Client1
aus eine LAN Adresse bei dir, sieht es so aus:
Client1: Wohin soll ich ping an 192.168.100.2 schicken? -> tun0
Server: Wohin soll ich ping an 192.168.100.2 schicken= -> eth0
WindowsXP: Ich bin 192.168.100.2 -> Antwort zur�ck an
entweder:
172.16.1.2: also erst Default GW Server
oder:
141.13.x.x: also ebenfalls Default GW Server
Server: Pingantwort von WindowsXP an
entweder:
172.16.1.2: Weiterleitung �ber VPN Tunnel
oder:
141.13.x.x: Weiterleitung �ber Default GW -> ppp0
D.h. in deinem Fall: Client1 benutzt seine echte eth0 Adresse zum
Absenden des pings, weil klar ist, da� der Ping _nicht_ auf ein VPN
Interface geht und er somit _nicht_ die VPN IP als Absender nimmt.
Hier blockt nun deine Firewall die Antwortpakete.
H�ttest du eine Route auf die Uni-IP von Client1 auf deinem Server,
w�rden die Antworten korrekt an Client1 zur�ck geliefert.
> k�nnen. D.h. er m�sste in der Lage sein, ein �ber den Tunnel
> ankommendes Paket von 172.16.1.2 so zu interpretieren, dass es zur�ck
> an 141.13.x.x geht. Das halte ich f�r unwahrscheinlich. Oder ist das
> tats�chlich m�glich?
Genau so ist es. Nur das nichts interpretiert wird, sondern im
Anfrage-Ping-Paket von Client1 die Absenderadresse eingetragen ist.
> >> - der server hat folgende Routingtabelle:
> >>
> >> debian:/etc/firehol# route -n
> >> Kernel IP Routentabelle
> >> Ziel Router Genmask Flags Metric Ref Use
> >> Iface
> >> xx.xx.xx.xx 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
> >> 10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0
> >> ippp0
> >> 172.16.1.2 0.0.0.0 255.255.255.255 UH 0 0 0
> >> tun0
> >> 192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0
> >> eth0
> >> 172.16.1.0 172.16.1.2 255.255.255.0 UG 0 0 0
> >> tun0
> >> 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0
> >> eth1
> >> 0.0.0.0 xx.xx.xx.xx 0.0.0.0 UG 0 0 0 ppp0
> >> debian:/etc/firehol#
>
> > Routeneintrag f�r das Netz des Uni-Rechners w�rde ich noch angeben.
route add 141.13.x.y gw 172.16.1.2 tun0
ist das glaub ich.
Mit freundlichen Gr��en
Udo M�ller
--
ComputerService Udo M�ller Tel.: 0441-36167578
B�versweg 7 Fax.: 0441-36167579
26131 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
