Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Linux Web Server per VPN und Samba ins LAN integrieren

Mitglied: HolgerZ

HolgerZ (Level 1) - Jetzt verbinden

29.09.2011, aktualisiert 18.10.2012, 6497 Aufrufe, 6 Kommentare, 1 Danke

Hallo

Ich habe mich entschlossen meinen Hostingserver von einem managed Server auf einen Root Server umzustellen. Bisher habe ich den Zugriff auf den Server mittels ExpanDrive gelöst. Jetzt möchte ich den Zugriff per VPN direkt über den Router einrichten. Leider fehlen mir Kenntnisse und Erfahrung was VPN und Linux Netzwerke angeht.

Ich habe einen Root Server bei 1und1 mit CentOS 5.5, Plesk 10.3 und möchte diesen per IPsec VPN über eine Zyxel ZyWall 2 Plus in mein LAN einbinden. Mein LAN hat einen SBS2008 und geht über die ZyWall ins Netz. Mein Heimnetzwerk habe ich bereits per VPN von einer Fritzbox im LAN.

Ich hatte kurzzeitig die von Plesk angebotene VPN Lösung am laufen. Das geht jedoch nur per OpenVPN vom SBS aus. Das finde ich zum einen nicht besonders elegant und zum anderen habe ich das Routing ins Netzwerk nicht hinbekommen. Allerdings hatte ich vom SBS Zugriff auf die Samba Freigaben.

Auf dem Root Server habe ich bereits Openswan installiert und ICMP redirects disabled, so dass ich davon ausgehe, dass es grundsätzlich gehen sollte.
[root@sXYZ /]# ipsec verify 
Checking your system to see if IPsec got installed and started correctly: 
Version check and ipsec on-path                                 [OK] 
Linux Openswan U2.6.21/K2.6.18-194.26.1.el5 (netkey) 
Checking for IPsec support in kernel                            [OK] 
NETKEY detected, testing for disabled ICMP send_redirects       [OK] 
NETKEY detected, testing for disabled ICMP accept_redirects     [OK] 
Checking for RSA private key (/etc/ipsec.secrets)               [OK] 
Checking that pluto is running                                  [OK] 
Two or more interfaces found, checking IP forwarding            [FAILED] 
Checking for 'ip' command                                       [OK] 
Checking for 'iptables' command                                 [OK] 
 
Opportunistic Encryption DNS checks: 
   Looking for TXT in forward dns zone: sXYZ.onlinehome-server.info        [MISSING] 
   Does the machine have at least one non-private address?      [OK] 
   Looking for TXT in reverse dns zone: 123.123.123.123.in-addr.arpa.     [MISSING]
Jetzt habe ich ein paar Verständnisprobleme:
1. Ich bräuchte ja theoretisch eine Host-to-LAN Konfiguration, finde jedoch nur Host-to-Host oder LAN-to-LAN Informationen. Ist mein Vorhaben so überhaupt möglich?
2. Zu dem Two or more interfaces found, checking IP forwarding [FAILED] habe ich keine klaren Informationen gefunden, da ich aber nichts routen will denke ich das ist ok so?
3. Ich vermute ich bräuchte eine private IP auf dem Root Server, die sich vermutlich über das tap0 device realisieren lässt, welches vermutlich vom Plesk VPN Modul erstellt wurde oder wird das von Openswan durch dessen Konfiguration geregelt oder ...

Irgendwie fehlt mir die entscheidende Information um auf ein weieres Vorgehen zu kommen, ich bin für jeden Tipp dankbar. Ich denke detailierte Informationen über meine Konfigurationen sind derzeit nicht nötig, da es eher um grundsätzliches geht, wenn doch, liefere ich die natürlich gerne nach

Schöne Grüße
Holger
Mitglied: aqui
29.09.2011, aktualisiert 18.10.2012
Das ist in der tat nicht ganz einfach denn mit OpenSWAN nutzt du IPsec als VPN Protokoll. Für einen Anfänger oft nicht ganz einfach. Ferner benötigst du dafür einen IPsec Router im lokalen LAN der dir einen permaneten VPN Tunnel zum Server schaltet so das du ihn auch permanent aus dem lokalen LAN im Zugriff hast.
Ggf. ist es einfacher im ersten Schritt PPTP als VPN Protokoll zu verwenden, das etwas einfacher zu handhaben ist.
Du musst dann lediglich den PPTP Server Daemon aktivieren und in der Firewall eingehende TCP 1723 und GRE Pakete (GRE ist IP Protokoll Nummer 47) zulassen, damit PPTP passieren kann.
Mit einem DD-WRT Router z.B. kannst du dann kinderleicht den Server einbinden:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
https://www.administrator.de/wissen/vpn-einrichtung-%28pptp%29-mit-dsl-r ...
https://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
Letztlich klappt das auch mit IPsec (OpenSwan) und einem entsprechenden IPsec Router (FritzBox, Draytek, NetGear, Linksys, pfSense, Monowall). Die Hürden sind aber etwas höher.
Hier müsstest du z.B. UDP 500, UDP 4500 und ESP (Prot. Nr. 50) passieren lassen.
https://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Noch einfacher wäre eine OpenVPN Lösung auf deinem Server und ein Router der einen OpenVPN Client an Bord hat:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da OpenVPN SSL basierend ist benötigst du nur einen Port fürs Port Forwarding.
Mit IPsec hast du dir die schwerste Nuss ausgesucht....machbar ist das aber natürlich problemlos damit !
Was die 2 Interfaces anbetrifft hat dein Server vermutlich 2 NICs. An einem ist deine Internet Verbindung dran und die andere wird der Hoster vermutlich zum Management nutzen und IPsec weiss nicht welches es benutzen soll (Konfig)...das ist aber jetzt erstmal geraten, da du diese Info nicht lieferst...
Bitte warten ..
Mitglied: HolgerZ
29.09.2011 um 17:54 Uhr
Danke für die schnelle Antwort.

Ich habe deshalb IPsec gewählt, da meine Zyxel Zywall 2 Plus nur IPsec kann und ich bereits von einer FritzBox ein VPN betreibe, was ohne Probleme funktioniert. Alle anderen VPNs könnten nur über den SBS laufen, was wie beschrieben für OpenVPN vom SBS auch schon funktioniert hat allerdings ohne routing ins LAN.

Die [FAILED] Meldung habe ich zwischenzeitlich wegbekommen, dazu musste nur ip forwarding eingeschaltet werden.

Das zweite Interface ist tap0 und wurde vermutlich vom Plesk VPN Modul installiert (OpenVPN).

LANseitig ist soweit alles konfiguriert, im Prinzip geht es "nur" noch um die Konfiguration des Webservers. Da der Server momentan nur testweise läuft, kann die Firewallkonfiguration erstmal vernachlässigt werden, die mache ich einfach aus, bis es läuft.

Damit hätte ich zwei Geräte mit öffentlichen und festen IPs, was das angeht eigentlich ideale Vorraussetzungen für IPsec.

Ich bin auch nicht wirklich Anfänger, die Grundlagen verstehe ich soweit, nur die Umsetzung unter Linux fällt mir schwer, da ich oft nicht weiß wo ich nachschauen muss und mir das Vokabular auch nicht wirklich geläufig ist.
Bitte warten ..
Mitglied: HolgerZ
29.09.2011 um 20:49 Uhr
Habe jetzt einen stehenden Tunnel

Ich habe eine LAN-to-LAN Verbindung von 192.168.0.0/24 zu 192.168.1.0/24(Webserver). Allerdings jetzt das Problem, dass der Server ja keine IP-Adresse in diesem Netz hat, sondern nur die öffentliche IP.

Mein Gedanke wäre jetzt dieses tap0 device entsprechend zu konfigurieren, liege ich da richtig?
Bitte warten ..
Mitglied: aqui
30.09.2011 um 09:10 Uhr
Ja, richtig...sollte eigentlich dynamisch passieren. OK mit der Zywall bist du dann auf IPsec verhaftet. Ist aber natürlich kein Hinderungsgrund.
Bitte warten ..
Mitglied: HolgerZ
30.09.2011 um 16:08 Uhr
Ein wichtiges Ziel habe ich jetzt erreicht, ich habe aus dem LAN Zugriff auf den WebServer und das VPN zu einem LAN2HOST VPN geändert. Es kann ja nur dynamisch passieren wenn "nur" eine IP benutzt wird (das war der Hinweis ). Was da jetzt auf dem Server genau abläuft würde mich auch interessieren, da ich nicht in erfahrung bringen kann wie die IP gehandhabt wird, tap0 scheint es nicht zu sein.
Leider habe ich von Zuhause keinen Zugriff auf den WebServer. Habe schon etliches probiert, aber das routing klappt nicht und ich kann es auch nicht wirklich überprüfen.

In der FritzBox habe ich dem VPN das ZielNetz(192.168.1.0/24) zur accesslist hinzugefügt und eine Route (192.168.1.0 255.255.255.0 Gateway 192.168.0.1) hinzugefügt. Leider weiß ich nicht wie ich prüfen soll ob das funktioniert - Ich gehe mal davon aus, da es eine Anleitung von AVM war.

In der ZyWall weiß ich allerdings nicht was ich tun kann, damit die Pakete aus dem ZuhauseVPN ins WebserverVPN geroutet werden. ich habe es mit statischen Routen probiert, aber nichts hat funktioniert und ich kann es auch nicht testen.

Bin gerade etwas Ratlos und könnte ein wenig Input brauchen
Bitte warten ..
Mitglied: aqui
30.09.2011, aktualisiert 18.10.2012
OK, das ist schonmal gut mit der Connectivity. Der Webserver Zugriff ist ein Firewall Problem auf dem Server, da kannst du vermutlich von ausgehen. Also da mal die FW Logs kontrollieren.
Das Routing sollte problemlos funktionieren. Bedenke das du aber mit 192.168.x.x Banalnetzen da Schiffbruch erleiden kannst wenn die IP Adressierung nicht eindeutig ist. Das also vorab als erstes prüfen:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Zentraler VPN Knoten der zwischen beiden VPNs routet wäre dann die Zywall die einmal den VPN Tunnel zum Server bedient und einmal den Tunnel zur FB. Generell Standard und kein Problem sofern die IP Adressierung eindeutig ist also dediziertes IP Netz für VPN Tunnel 1 und dediziertes Netz für Tunnel 2, lokales LAN und Heim LAN an der FB.
Der Server benötigt dann 3 statische Routen:
  • Lokales LAN Zywall via next Hop Tunnelinterface Tunnel 1
  • Tunnel 2 IP Netz via next Hop Tunnelinterface Tunnel 1
  • Heimnetz via next Hop Tunnelinterface Tunnel 1
Die Zywall "kennt ja alle IP Netze da alle bis auf das Heimnetz alle direkt an ihr angeschlossen sind. Das Heimnetz kennt sie ebenso durch den funktionierenden VPN Tnnel mit der FB.
Die FB benötigt 2 zusätzliche IP Netze bzw. statische Routen, denn sie kennt derzeit nur das lokale Zywall LAN via Tunnelinterface 2- Also müssen
  • Tunnel 1 IP Netz via next Hop Tunnelinterface Tunnel 2
  • Lokales Server LAN via next Hop Tunnelinterface Tunnel 2
noch dazu.
Hier sind wie immer Traceroute und Pathping deine Freunde. Dort wo es klemmt und nicht weitergeht ist auch das Routing Problem.
Generell ist das ein simples Szenario und sollte problemlos zum Fliegen kommen.
Bitte warten ..
Ähnliche Inhalte
Apache Server
Web server unter linux
Frage von moboneApache Server16 Kommentare

Hallo ! Ich brauche mal eure Hilfe ! Und zwar habe ich vor einen kleinen Eigenen Webserver aufzusetzten. Sinn ...

Ubuntu

Ubuntu Server - Samba in Active Dirctory Integrieren

gelöst Frage von agnostikerUbuntu1 Kommentar

Hi, ein Ubuntu Server soll mittels Samba einige Shares an User bereit stellen, daher waere es sinnvoll wenn wir ...

Netzwerke

Samba-Share nicht im LAN aufrufbar

Frage von dr-mannyNetzwerke2 Kommentare

Servus, ich hab da ein Problem: Ich habe einen Server zuhause stehen (Debian Wheezy), auf dem ein Samba3-Server mit ...

Samba

Linux - Zugriff auf Samba-Server auf Localhost ohne Netzwerkverbindung

Frage von 94erBromSamba11 Kommentare

Hallo zusammen. Folgende Ausgangssituation: Ich habe hier einen HTPC mit Kodibuntu am laufen. Da ich meine Kodi-Mediendatenbank über mehrere ...

Neue Wissensbeiträge
Windows 10

Kumuative Updates für .NET Framework kommen für Windows 10 V1809

Information von kgborn vor 2 StundenWindows 10

Microsoft hat das Ganze im Beitrag Announcing Cumulative Updates for .NET Framework for Windows 10 October 2018 Update vorgestellt. ...

Sicherheit
Neue IT-Administrator Ausgabe - Endpoint Security
Information von Frank vor 3 StundenSicherheit

Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch ...

Windows Tools

Windows 10 BitLocker Laufwerkverschlüsselung ohne TPM-Chip

Anleitung von Frank vor 3 StundenWindows Tools3 Kommentare

Diese Anleitung zeigt, wie man die Windows BitLocker Laufwerkverschlüsselung ohne TPM-Chip Schritt für Schritt aktiviert. Zwar haben viele Laptops ...

Sicherheit

Interessante Methode für Leute, die in einer Windowsdomäne starke Kennwörter erzwingen wollen

Information von DerWoWusste vor 7 StundenSicherheit3 Kommentare

Dieser Artikel beschreibt, wie man auch ohne 3rd-party-tools die Kennwortsicherheit in Windows-Domänen erhöhen kann. Der Grundgedanke lautet: wir prüfen ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

Windows Server
Kann DNS-Einträge nicht finden
gelöst Frage von BPeterWindows Server19 Kommentare

Hallo, wenn ich folgenden Befehl absetze, bekomme ich eine Liste zurück mit allen Einträgen der DNS-Zone. Wenn ich aber ...

Firewall
Externer Zugriff auf Webserver
Frage von KingLouieFirewall12 Kommentare

Hallo zusammen, ich habe folgendes Problem: Ein Kollege muss gelegentlich auf einen Webserver zugreiffen, sowohl von intern als auch ...

Voice over IP
Umstellung Anlagenanschluss ISDN auf IP - Welcher Router?
Frage von ToniSchmidtVoice over IP12 Kommentare

Hallo zusammen, zum Ende des Jahres werden unsere geliebten ISDN Anlagenanschlüsse zwangsweise auf IP Anschlüsse umgestellt. Wir betreiben die ...