[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: openvpn + firehol

Guten Tag Udo Mueller,

Hallo!

Scheint, als wären ein paar wichtige Informationen verloren
gegangen...

Am Dienstag, 22. März 2005 um 01:46 schrieb Udo Mueller:

> Hallo Stefan,

> * Stefan Schilling schrieb [21-03-05 16:05]:
>> 
>> Ich habe es inzwischen so weit gebracht, dass der Tunnel arbeitet, d.h.
>> ich kann von Client1 aus:
>> - ping 172.16.1.1
>> - ping 192.168.100.1
>> - smbclient -L 192.168.100.1
>> 
>> was nicht klappt ist (vom Client1 aus):
>> - ping 192.168.100.2

> Ist klar. Der Server hat keinen Routingeintrag für das Netz des
> Uni-Rechners. Da der Ping wahrscheinlich mit der Uni-IP abgesetzt
> wird, kann der Server das nicht zurück routen.

aber er hat einen Routingeintrag für 172.16.1.x. Ausserdem: die Uni
routet keine Pakete an 192.168.100.x und selbst wenn sie es täte
hielte ich es doch für einen überraschenden Zufall, dass die Pakete an
192.168.100.x auch tatsächlich meinen Rechner -durch dessen Firewall,
die ja eigentlich fast alles blockt- übers Internet erreichen.

>> - smbclient -L 192.168.100.2

> Dito.

dann dürfte es aber nach Abschaltung der Firewall auch nicht klappen.
Es sei denn, die pings kämen tatsächlich von ausserhalb des Tunnels.
Aber das dürfte ja eigentlich nun gleich gar nicht funktionieren
(s.o.)

>> ----vom WinXP hinter dem server (192.168.100.2):
>> - ping 172.16.1.6, während ping 172.16.1.1 widerum klappt

> Und welcher Rechner hat die .1.6? Der Server bei dir hat die .1.5
> und der Rechner in der Uni die .1.2

Server: 172.16.1.1
Client1: 172.16.1.2
XP hat nur 192.168.100.2, kein tun0, da er ja eh hinter dem Server
sitzt

>> lasse ich nun die Hosen runter (d.h. ich deaktivier die Firewall) klappt alles.

> Dann gehen die Anwortpakete wohl über das öffentliche Netz, also
> nicht über VPN zurück.

wie das? ich pinge ja nicht an die öffentliche Adresse des Servers.
Somit müsste er ja die Absenderadresse "richtig" interpretieren
können. D.h. er müsste in der Lage sein, ein über den Tunnel
ankommendes Paket von 172.16.1.2 so zu interpretieren, dass es zurück
an 141.13.x.x geht. Das halte ich für unwahrscheinlich. Oder ist das
tatsächlich möglich?

>> - der server hat folgende Routingtabelle:
>> 
>> debian:/etc/firehol# route -n
>> Kernel IP Routentabelle
>> Ziel            Router          Genmask         Flags Metric Ref    Use Iface
>> xx.xx.xx.xx    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
>> 10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 ippp0
>> 172.16.1.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
>> 192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
>> 172.16.1.0      172.16.1.2      255.255.255.0   UG    0      0        0 tun0
>> 192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
>> 0.0.0.0         xx.xx.xx.xx    0.0.0.0         UG    0      0        0 ppp0
>> debian:/etc/firehol#

> Routeneintrag für das Netz des Uni-Rechners würde ich noch angeben.

Hinweis: Rechnername von Client1 = Rechner im Uni Netz = test

stefan@test:~$ /sbin/route -n
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
172.16.1.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.100.0   172.16.1.5      255.255.255.0   UG    0      0        0 tun0
172.16.1.0      172.16.1.5      255.255.255.0   UG    0      0        0 tun0
141.13.xx.xx      0.0.0.0         255.255.254.0   U     0      0        0 eth0
0.0.0.0         141.13.xx.xx     0.0.0.0         UG    0      0        0 eth0

ciao!
Stefan


-- 
Mit freundlichen Grüssen
Stefan Schilling                            mailto:mail.suse@gmx.de
Reply to: