Re: openvpn + firehol

To: debian-user-german@lists.debian.org
Subject: Re: openvpn + firehol
From: Udo Mueller <info@cs-ol.de>
Date: Wed, 23 Mar 2005 01:06:54 +0100
Message-id: <[🔎] 20050323000654.GE8340@cs-ol.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 73132205080.20050322110742@gmx.de>
References: <[🔎] 5963669682.20050321160527@gmx.de> <[🔎] 20050322004640.GA7958@cs-ol.de> <[🔎] 73132205080.20050322110742@gmx.de>

Hallo Stefan,

* Stefan Schilling schrieb [22-03-05 11:07]:
> 
> Scheint, als wären ein paar wichtige Informationen verloren
> gegangen...

Scheint, als ob du nicht verstanden hast, was ich geschrieben habe.

> Am Dienstag, 22. März 2005 um 01:46 schrieb Udo Mueller:
> 
> >> was nicht klappt ist (vom Client1 aus):
> >> - ping 192.168.100.2
> 
> > Ist klar. Der Server hat keinen Routingeintrag für das Netz des
> > Uni-Rechners. Da der Ping wahrscheinlich mit der Uni-IP abgesetzt
> > wird, kann der Server das nicht zurück routen.
> 
> aber er hat einen Routingeintrag für 172.16.1.x. Ausserdem: die Uni
> routet keine Pakete an 192.168.100.x und selbst wenn sie es täte
> hielte ich es doch für einen überraschenden Zufall, dass die Pakete an
> 192.168.100.x auch tatsächlich meinen Rechner -durch dessen Firewall,
> die ja eigentlich fast alles blockt- übers Internet erreichen.

Ich rede ja auch nicht von der Uni, sondern von deinem Server. Der
soll wissen, welches Netz, bzw. hier nur welche IP hinter dem VPN
existiert.

> >> - smbclient -L 192.168.100.2
> 
> > Dito.
> 
> dann dürfte es aber nach Abschaltung der Firewall auch nicht klappen.
> Es sei denn, die pings kämen tatsächlich von ausserhalb des Tunnels.
> Aber das dürfte ja eigentlich nun gleich gar nicht funktionieren
> (s.o.)

Doch, kann sehr wohl klappen, weil dein Server jetzt die
Antwortpakete vom XP-Client über das öffentliche Internet zurück an
den Client1 sendet.

> >> ----vom WinXP hinter dem server (192.168.100.2):
> >> - ping 172.16.1.6, während ping 172.16.1.1 widerum klappt
> 
> > Und welcher Rechner hat die .1.6? Der Server bei dir hat die .1.5
> > und der Rechner in der Uni die .1.2
> 
> Server: 172.16.1.1
> Client1: 172.16.1.2
> XP hat nur 192.168.100.2, kein tun0, da er ja eh hinter dem Server
> sitzt

Aha. Und wer hat die 172.16.1.6? Und die 172.16.1.5 aus der
Routingtabelle von Client1?

> >> lasse ich nun die Hosen runter (d.h. ich deaktivier die Firewall) klappt alles.
> 
> > Dann gehen die Anwortpakete wohl über das öffentliche Netz, also
> > nicht über VPN zurück.
> 
> wie das? ich pinge ja nicht an die öffentliche Adresse des Servers.
> Somit müsste er ja die Absenderadresse "richtig" interpretieren

Wenn du die VPN Adresse pings ist das richtig. Pingst du von Client1
aus eine LAN Adresse bei dir, sieht es so aus:

Client1: Wohin soll ich ping an 192.168.100.2 schicken? -> tun0
Server: Wohin soll ich ping an 192.168.100.2 schicken= -> eth0
WindowsXP: Ich bin 192.168.100.2 -> Antwort zurück an
     entweder:
         172.16.1.2: also erst Default GW Server
     oder:
         141.13.x.x: also ebenfalls Default GW Server
Server: Pingantwort von WindowsXP an
     entweder:
         172.16.1.2: Weiterleitung über VPN Tunnel
     oder:
         141.13.x.x: Weiterleitung über Default GW -> ppp0

D.h. in deinem Fall: Client1 benutzt seine echte eth0 Adresse zum
Absenden des pings, weil klar ist, daß der Ping _nicht_ auf ein VPN
Interface geht und er somit _nicht_ die VPN IP als Absender nimmt.

Hier blockt nun deine Firewall die Antwortpakete.

Hättest du eine Route auf die Uni-IP von Client1 auf deinem Server,
würden die Antworten korrekt an Client1 zurück geliefert.

> können. D.h. er müsste in der Lage sein, ein über den Tunnel
> ankommendes Paket von 172.16.1.2 so zu interpretieren, dass es zurück
> an 141.13.x.x geht. Das halte ich für unwahrscheinlich. Oder ist das
> tatsächlich möglich?

Genau so ist es. Nur das nichts interpretiert wird, sondern im
Anfrage-Ping-Paket von Client1 die Absenderadresse eingetragen ist.

> >> - der server hat folgende Routingtabelle:
> >> 
> >> debian:/etc/firehol# route -n
> >> Kernel IP Routentabelle
> >> Ziel            Router          Genmask         Flags Metric Ref    Use Iface
> >> xx.xx.xx.xx    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
> >> 10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 ippp0
> >> 172.16.1.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
> >> 192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
> >> 172.16.1.0      172.16.1.2      255.255.255.0   UG    0      0        0 tun0
> >> 192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
> >> 0.0.0.0         xx.xx.xx.xx    0.0.0.0         UG    0      0        0 ppp0
> >> debian:/etc/firehol#
> 
> > Routeneintrag für das Netz des Uni-Rechners würde ich noch angeben.

route add 141.13.x.y gw 172.16.1.2 tun0

ist das glaub ich.

Mit freundlichen Grüßen

Udo Müller

-- 
ComputerService Udo Müller			Tel.: 0441-36167578
Böversweg 7					Fax.: 0441-36167579
26131 Oldenburg		  info@cs-ol.de		Mobil: 0162-4365411

Reply to:

References:
- openvpn + firehol
  - From: Stefan Schilling <mail.suse@gmx.de>
- Re: openvpn + firehol
  - From: Udo Mueller <info@cs-ol.de>
- Re: openvpn + firehol
  - From: Stefan Schilling <mail.suse@gmx.de>

Prev by Date: Re: [OT]: DVD-RAM miserable Schreibgeschwindigkeit; Kernel BUG???
Next by Date: Re: GNOME vs. KDE: Wer braucht weniger Resourcen?
Previous by thread: Re: openvpn + firehol
Next by thread: Re: openvpn + firehol
Index(es):
- Date
- Thread