Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Linux Web Server per VPN und Samba ins LAN integrieren

Frage Linux Samba

Mitglied: Helmchen

Helmchen (Level 1) - Jetzt verbinden

29.09.2011, aktualisiert 18.10.2012, 6328 Aufrufe, 6 Kommentare, 1 Danke

Hallo

Ich habe mich entschlossen meinen Hostingserver von einem managed Server auf einen Root Server umzustellen. Bisher habe ich den Zugriff auf den Server mittels ExpanDrive gelöst. Jetzt möchte ich den Zugriff per VPN direkt über den Router einrichten. Leider fehlen mir Kenntnisse und Erfahrung was VPN und Linux Netzwerke angeht.

Ich habe einen Root Server bei 1und1 mit CentOS 5.5, Plesk 10.3 und möchte diesen per IPsec VPN über eine Zyxel ZyWall 2 Plus in mein LAN einbinden. Mein LAN hat einen SBS2008 und geht über die ZyWall ins Netz. Mein Heimnetzwerk habe ich bereits per VPN von einer Fritzbox im LAN.

Ich hatte kurzzeitig die von Plesk angebotene VPN Lösung am laufen. Das geht jedoch nur per OpenVPN vom SBS aus. Das finde ich zum einen nicht besonders elegant und zum anderen habe ich das Routing ins Netzwerk nicht hinbekommen. Allerdings hatte ich vom SBS Zugriff auf die Samba Freigaben.

Auf dem Root Server habe ich bereits Openswan installiert und ICMP redirects disabled, so dass ich davon ausgehe, dass es grundsätzlich gehen sollte.
[root@sXYZ /]# ipsec verify 
Checking your system to see if IPsec got installed and started correctly: 
Version check and ipsec on-path                                 [OK] 
Linux Openswan U2.6.21/K2.6.18-194.26.1.el5 (netkey) 
Checking for IPsec support in kernel                            [OK] 
NETKEY detected, testing for disabled ICMP send_redirects       [OK] 
NETKEY detected, testing for disabled ICMP accept_redirects     [OK] 
Checking for RSA private key (/etc/ipsec.secrets)               [OK] 
Checking that pluto is running                                  [OK] 
Two or more interfaces found, checking IP forwarding            [FAILED] 
Checking for 'ip' command                                       [OK] 
Checking for 'iptables' command                                 [OK] 
 
Opportunistic Encryption DNS checks: 
   Looking for TXT in forward dns zone: sXYZ.onlinehome-server.info        [MISSING] 
   Does the machine have at least one non-private address?      [OK] 
   Looking for TXT in reverse dns zone: 123.123.123.123.in-addr.arpa.     [MISSING]
Jetzt habe ich ein paar Verständnisprobleme:
1. Ich bräuchte ja theoretisch eine Host-to-LAN Konfiguration, finde jedoch nur Host-to-Host oder LAN-to-LAN Informationen. Ist mein Vorhaben so überhaupt möglich?
2. Zu dem Two or more interfaces found, checking IP forwarding [FAILED] habe ich keine klaren Informationen gefunden, da ich aber nichts routen will denke ich das ist ok so?
3. Ich vermute ich bräuchte eine private IP auf dem Root Server, die sich vermutlich über das tap0 device realisieren lässt, welches vermutlich vom Plesk VPN Modul erstellt wurde oder wird das von Openswan durch dessen Konfiguration geregelt oder ...

Irgendwie fehlt mir die entscheidende Information um auf ein weieres Vorgehen zu kommen, ich bin für jeden Tipp dankbar. Ich denke detailierte Informationen über meine Konfigurationen sind derzeit nicht nötig, da es eher um grundsätzliches geht, wenn doch, liefere ich die natürlich gerne nach

Schöne Grüße
Holger
Mitglied: aqui
29.09.2011, aktualisiert 18.10.2012
Das ist in der tat nicht ganz einfach denn mit OpenSWAN nutzt du IPsec als VPN Protokoll. Für einen Anfänger oft nicht ganz einfach. Ferner benötigst du dafür einen IPsec Router im lokalen LAN der dir einen permaneten VPN Tunnel zum Server schaltet so das du ihn auch permanent aus dem lokalen LAN im Zugriff hast.
Ggf. ist es einfacher im ersten Schritt PPTP als VPN Protokoll zu verwenden, das etwas einfacher zu handhaben ist.
Du musst dann lediglich den PPTP Server Daemon aktivieren und in der Firewall eingehende TCP 1723 und GRE Pakete (GRE ist IP Protokoll Nummer 47) zulassen, damit PPTP passieren kann.
Mit einem DD-WRT Router z.B. kannst du dann kinderleicht den Server einbinden:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
http://www.administrator.de/wissen/vpn-einrichtung-%28pptp%29-mit-dsl-r ...
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
Letztlich klappt das auch mit IPsec (OpenSwan) und einem entsprechenden IPsec Router (FritzBox, Draytek, NetGear, Linksys, pfSense, Monowall). Die Hürden sind aber etwas höher.
Hier müsstest du z.B. UDP 500, UDP 4500 und ESP (Prot. Nr. 50) passieren lassen.
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Noch einfacher wäre eine OpenVPN Lösung auf deinem Server und ein Router der einen OpenVPN Client an Bord hat:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da OpenVPN SSL basierend ist benötigst du nur einen Port fürs Port Forwarding.
Mit IPsec hast du dir die schwerste Nuss ausgesucht....machbar ist das aber natürlich problemlos damit !
Was die 2 Interfaces anbetrifft hat dein Server vermutlich 2 NICs. An einem ist deine Internet Verbindung dran und die andere wird der Hoster vermutlich zum Management nutzen und IPsec weiss nicht welches es benutzen soll (Konfig)...das ist aber jetzt erstmal geraten, da du diese Info nicht lieferst...
Bitte warten ..
Mitglied: Helmchen
29.09.2011 um 17:54 Uhr
Danke für die schnelle Antwort.

Ich habe deshalb IPsec gewählt, da meine Zyxel Zywall 2 Plus nur IPsec kann und ich bereits von einer FritzBox ein VPN betreibe, was ohne Probleme funktioniert. Alle anderen VPNs könnten nur über den SBS laufen, was wie beschrieben für OpenVPN vom SBS auch schon funktioniert hat allerdings ohne routing ins LAN.

Die [FAILED] Meldung habe ich zwischenzeitlich wegbekommen, dazu musste nur ip forwarding eingeschaltet werden.

Das zweite Interface ist tap0 und wurde vermutlich vom Plesk VPN Modul installiert (OpenVPN).

LANseitig ist soweit alles konfiguriert, im Prinzip geht es "nur" noch um die Konfiguration des Webservers. Da der Server momentan nur testweise läuft, kann die Firewallkonfiguration erstmal vernachlässigt werden, die mache ich einfach aus, bis es läuft.

Damit hätte ich zwei Geräte mit öffentlichen und festen IPs, was das angeht eigentlich ideale Vorraussetzungen für IPsec.

Ich bin auch nicht wirklich Anfänger, die Grundlagen verstehe ich soweit, nur die Umsetzung unter Linux fällt mir schwer, da ich oft nicht weiß wo ich nachschauen muss und mir das Vokabular auch nicht wirklich geläufig ist.
Bitte warten ..
Mitglied: Helmchen
29.09.2011 um 20:49 Uhr
Habe jetzt einen stehenden Tunnel

Ich habe eine LAN-to-LAN Verbindung von 192.168.0.0/24 zu 192.168.1.0/24(Webserver). Allerdings jetzt das Problem, dass der Server ja keine IP-Adresse in diesem Netz hat, sondern nur die öffentliche IP.

Mein Gedanke wäre jetzt dieses tap0 device entsprechend zu konfigurieren, liege ich da richtig?
Bitte warten ..
Mitglied: aqui
30.09.2011 um 09:10 Uhr
Ja, richtig...sollte eigentlich dynamisch passieren. OK mit der Zywall bist du dann auf IPsec verhaftet. Ist aber natürlich kein Hinderungsgrund.
Bitte warten ..
Mitglied: Helmchen
30.09.2011 um 16:08 Uhr
Ein wichtiges Ziel habe ich jetzt erreicht, ich habe aus dem LAN Zugriff auf den WebServer und das VPN zu einem LAN2HOST VPN geändert. Es kann ja nur dynamisch passieren wenn "nur" eine IP benutzt wird (das war der Hinweis ). Was da jetzt auf dem Server genau abläuft würde mich auch interessieren, da ich nicht in erfahrung bringen kann wie die IP gehandhabt wird, tap0 scheint es nicht zu sein.
Leider habe ich von Zuhause keinen Zugriff auf den WebServer. Habe schon etliches probiert, aber das routing klappt nicht und ich kann es auch nicht wirklich überprüfen.

In der FritzBox habe ich dem VPN das ZielNetz(192.168.1.0/24) zur accesslist hinzugefügt und eine Route (192.168.1.0 255.255.255.0 Gateway 192.168.0.1) hinzugefügt. Leider weiß ich nicht wie ich prüfen soll ob das funktioniert - Ich gehe mal davon aus, da es eine Anleitung von AVM war.

In der ZyWall weiß ich allerdings nicht was ich tun kann, damit die Pakete aus dem ZuhauseVPN ins WebserverVPN geroutet werden. ich habe es mit statischen Routen probiert, aber nichts hat funktioniert und ich kann es auch nicht testen.

Bin gerade etwas Ratlos und könnte ein wenig Input brauchen
Bitte warten ..
Mitglied: aqui
30.09.2011, aktualisiert 18.10.2012
OK, das ist schonmal gut mit der Connectivity. Der Webserver Zugriff ist ein Firewall Problem auf dem Server, da kannst du vermutlich von ausgehen. Also da mal die FW Logs kontrollieren.
Das Routing sollte problemlos funktionieren. Bedenke das du aber mit 192.168.x.x Banalnetzen da Schiffbruch erleiden kannst wenn die IP Adressierung nicht eindeutig ist. Das also vorab als erstes prüfen:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Zentraler VPN Knoten der zwischen beiden VPNs routet wäre dann die Zywall die einmal den VPN Tunnel zum Server bedient und einmal den Tunnel zur FB. Generell Standard und kein Problem sofern die IP Adressierung eindeutig ist also dediziertes IP Netz für VPN Tunnel 1 und dediziertes Netz für Tunnel 2, lokales LAN und Heim LAN an der FB.
Der Server benötigt dann 3 statische Routen:
  • Lokales LAN Zywall via next Hop Tunnelinterface Tunnel 1
  • Tunnel 2 IP Netz via next Hop Tunnelinterface Tunnel 1
  • Heimnetz via next Hop Tunnelinterface Tunnel 1
Die Zywall "kennt ja alle IP Netze da alle bis auf das Heimnetz alle direkt an ihr angeschlossen sind. Das Heimnetz kennt sie ebenso durch den funktionierenden VPN Tnnel mit der FB.
Die FB benötigt 2 zusätzliche IP Netze bzw. statische Routen, denn sie kennt derzeit nur das lokale Zywall LAN via Tunnelinterface 2- Also müssen
  • Tunnel 1 IP Netz via next Hop Tunnelinterface Tunnel 2
  • Lokales Server LAN via next Hop Tunnelinterface Tunnel 2
noch dazu.
Hier sind wie immer Traceroute und Pathping deine Freunde. Dort wo es klemmt und nicht weitergeht ist auch das Routing Problem.
Generell ist das ein simples Szenario und sollte problemlos zum Fliegen kommen.
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Ubuntu Server - Samba in Active Dirctory Integrieren
gelöst Frage von agnostikerUbuntu1 Kommentar

Hi, ein Ubuntu Server soll mittels Samba einige Shares an User bereit stellen, daher waere es sinnvoll wenn wir ...

Netzwerke
Samba-Share nicht im LAN aufrufbar
Frage von dr-mannyNetzwerke2 Kommentare

Servus, ich hab da ein Problem: Ich habe einen Server zuhause stehen (Debian Wheezy), auf dem ein Samba3-Server mit ...

Samba
Linux - Zugriff auf Samba-Server auf Localhost ohne Netzwerkverbindung
Frage von 94erBromSamba11 Kommentare

Hallo zusammen. Folgende Ausgangssituation: Ich habe hier einen HTPC mit Kodibuntu am laufen. Da ich meine Kodi-Mediendatenbank über mehrere ...

Windows Netzwerk
Linux Samba Freigaben können "angeblich" nicht gemoutet werden
Frage von Der-DudeWindows Netzwerk5 Kommentare

Es ist mir aufgefallen, dass irgendwie niemand eine Lösung oder Erklärung für ein Phänomen hat, welches ich seit einiger ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...