15187
Dec 11, 2006, updated at Dec 15, 2006 (UTC)
5658
4
0
VPN wird nicht vollständig aufgebaut. Umfangreiche Konfiguration
inet-> router 1 (suse10.1) -> router 2 -> vpn-server
Hallo zusammen,
zunächst die Konfiguration, ganz grob:
"Vom Internet" in Richtung VPN-Server:
Router 1: läuft mit Suse 10.1, hat eine externe (195.x.x.x) und eine interne IP (192.168.100.1) (beide Fest, da ich Standleitung per Richtfunk habe).
Von da aus gehts zum
Router 2: IPCOP, welchen ich primär wegen des einfachen Proxy-Servers und der schönen grafischen Bildschen für den Datenverkehr nutze. Auch hier eine externe IP (red; 192.168.100.2) und eine interne IP (green; 192.168.0.1)
Von hier geht es weiter zum
VPN-Server: hier läuft windows mit IP 192.168.0.2. Und vpn funktioniert bereits.
In Router 1 wird Port 1723 geforwarded an IP 192.168.100.2, also an Router 2.
Dieser hat eine Regel, die den Port weiterleitet an die 192.168.0.2
D.h. meine PPTP-Anfragen kommen eigentlich bis zum Server. Aber beim Versuch, Benutzername und Kennwort zu prüfen, schlägt der weitere Vorgang fehl.
Meines Wissens muss doch nur 1 Port geforwarded werden, und das ist 1723. VPN intern funktioniert, und extern funktionierte das auch, bis mein Accesspoint(dlink dwl2000) und Router (linksyswrt54gc) durch den PC "Router 1) ersetzt wurde. Das heißt, IPCOP und VPN-Server kann ich ausschließen.
Bleibt also noch Suse10.1. Dort ist die Firewall eingeschaltet, aber Port 1723 offen, da weitergeleitet. Meiner Theorie nach funktioniert das auch...
Hat jemand ne Idee, woran das genau liegen kann? Gibts dazu irgendwas über Suse10.1, was ich nicht weiß? Nach alledem, was ich bis jetzt gefunden hab, soll das so funktionieren.
Bin also für jeden Tipp dankbar.
Gruß,
tc
zunächst die Konfiguration, ganz grob:
"Vom Internet" in Richtung VPN-Server:
Router 1: läuft mit Suse 10.1, hat eine externe (195.x.x.x) und eine interne IP (192.168.100.1) (beide Fest, da ich Standleitung per Richtfunk habe).
Von da aus gehts zum
Router 2: IPCOP, welchen ich primär wegen des einfachen Proxy-Servers und der schönen grafischen Bildschen für den Datenverkehr nutze. Auch hier eine externe IP (red; 192.168.100.2) und eine interne IP (green; 192.168.0.1)
Von hier geht es weiter zum
VPN-Server: hier läuft windows mit IP 192.168.0.2. Und vpn funktioniert bereits.
In Router 1 wird Port 1723 geforwarded an IP 192.168.100.2, also an Router 2.
Dieser hat eine Regel, die den Port weiterleitet an die 192.168.0.2
D.h. meine PPTP-Anfragen kommen eigentlich bis zum Server. Aber beim Versuch, Benutzername und Kennwort zu prüfen, schlägt der weitere Vorgang fehl.
Meines Wissens muss doch nur 1 Port geforwarded werden, und das ist 1723. VPN intern funktioniert, und extern funktionierte das auch, bis mein Accesspoint(dlink dwl2000) und Router (linksyswrt54gc) durch den PC "Router 1) ersetzt wurde. Das heißt, IPCOP und VPN-Server kann ich ausschließen.
Bleibt also noch Suse10.1. Dort ist die Firewall eingeschaltet, aber Port 1723 offen, da weitergeleitet. Meiner Theorie nach funktioniert das auch...
Hat jemand ne Idee, woran das genau liegen kann? Gibts dazu irgendwas über Suse10.1, was ich nicht weiß? Nach alledem, was ich bis jetzt gefunden hab, soll das so funktionieren.
Bin also für jeden Tipp dankbar.
Gruß,
tc
Please also mark the comments that contributed to the solution of the article
Content-Key: 46518
Url: https://administrator.de/contentid/46518
Printed on: April 20, 2024 at 01:04 o'clock
4 Comments
Latest comment
Nein, nicht ganz ! PPTP besteht aus einer Kombination von TCP Port 1723 für die Authentisierung UND dem GRE Protokoll ! Die Wirkdaten gehen nach erfolgter Authentisierung dann über einen GRE Tunnel (Generic Route Encapsulation). Würdest du das intern mal mit einem Sniffer wie wireshark.org nachprüfen siehst du es sofort.
GRE hat die Protokollnummer 47 (Achtung nicht TCP Port 47, GRE ist ein eigenes Protokoll !)
PPTP erfordert also zwingend IMMER auch eine Öffnung fürs GRE Protokoll !
Viele Consumer Router supporten das mit der sog. "VPN Passthrough" Funktion, die aber nur ein Marketing Name ist bei einer Aktivierung von TCP 1723 öffnen sie dann gleichzeitig meist nicht sichtbar automatisch GRE gleich mit. Würde man das Otto NormalVPNuser auch noch zumuten würden die Threads hier um ein vielfaches steigen. Bei SuSE oder IPCop kann es also erforderlich sein, das du dediziert die FW für GRE öffnen musst. "Richtige" Router wie Cisco, Juniper etc. verhalten sich ebenfalls so.
GRE hat die Protokollnummer 47 (Achtung nicht TCP Port 47, GRE ist ein eigenes Protokoll !)
PPTP erfordert also zwingend IMMER auch eine Öffnung fürs GRE Protokoll !
Viele Consumer Router supporten das mit der sog. "VPN Passthrough" Funktion, die aber nur ein Marketing Name ist bei einer Aktivierung von TCP 1723 öffnen sie dann gleichzeitig meist nicht sichtbar automatisch GRE gleich mit. Würde man das Otto NormalVPNuser auch noch zumuten würden die Threads hier um ein vielfaches steigen. Bei SuSE oder IPCop kann es also erforderlich sein, das du dediziert die FW für GRE öffnen musst. "Richtige" Router wie Cisco, Juniper etc. verhalten sich ebenfalls so.