6
Linux Web Server per VPN und Samba ins LAN integrieren
Hallo
Ich habe mich entschlossen meinen Hostingserver von einem managed Server auf einen Root Server umzustellen. Bisher habe ich den Zugriff auf den Server mittels ExpanDrive gelöst. Jetzt möchte ich den Zugriff per VPN direkt über den Router einrichten. Leider fehlen mir Kenntnisse und Erfahrung was VPN und Linux Netzwerke angeht.
Ich habe einen Root Server bei 1und1 mit CentOS 5.5, Plesk 10.3 und möchte diesen per IPsec VPN über eine Zyxel ZyWall 2 Plus in mein LAN einbinden. Mein LAN hat einen SBS2008 und geht über die ZyWall ins Netz. Mein Heimnetzwerk habe ich bereits per VPN von einer Fritzbox im LAN.
Ich hatte kurzzeitig die von Plesk angebotene VPN Lösung am laufen. Das geht jedoch nur per OpenVPN vom SBS aus. Das finde ich zum einen nicht besonders elegant und zum anderen habe ich das Routing ins Netzwerk nicht hinbekommen. Allerdings hatte ich vom SBS Zugriff auf die Samba Freigaben.
Auf dem Root Server habe ich bereits Openswan installiert und ICMP redirects disabled, so dass ich davon ausgehe, dass es grundsätzlich gehen sollte.
Jetzt habe ich ein paar Verständnisprobleme:
1. Ich bräuchte ja theoretisch eine Host-to-LAN Konfiguration, finde jedoch nur Host-to-Host oder LAN-to-LAN Informationen. Ist mein Vorhaben so überhaupt möglich?
2. Zu dem Two or more interfaces found, checking IP forwarding [FAILED] habe ich keine klaren Informationen gefunden, da ich aber nichts routen will denke ich das ist ok so?
3. Ich vermute ich bräuchte eine private IP auf dem Root Server, die sich vermutlich über das tap0 device realisieren lässt, welches vermutlich vom Plesk VPN Modul erstellt wurde oder wird das von Openswan durch dessen Konfiguration geregelt oder ...
Irgendwie fehlt mir die entscheidende Information um auf ein weieres Vorgehen zu kommen, ich bin für jeden Tipp dankbar. Ich denke detailierte Informationen über meine Konfigurationen sind derzeit nicht nötig, da es eher um grundsätzliches geht, wenn doch, liefere ich die natürlich gerne nach
Schöne Grüße
Holger
Ich hatte kurzzeitig die von Plesk angebotene VPN Lösung am laufen. Das geht jedoch nur per OpenVPN vom SBS aus. Das finde ich zum einen nicht besonders elegant und zum anderen habe ich das Routing ins Netzwerk nicht hinbekommen. Allerdings hatte ich vom SBS Zugriff auf die Samba Freigaben.
Auf dem Root Server habe ich bereits Openswan installiert und ICMP redirects disabled, so dass ich davon ausgehe, dass es grundsätzlich gehen sollte.
[root@sXYZ /]# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.21/K2.6.18-194.26.1.el5 (netkey)
Checking for IPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [FAILED]
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: sXYZ.onlinehome-server.info [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 123.123.123.123.in-addr.arpa. [MISSING]
1. Ich bräuchte ja theoretisch eine Host-to-LAN Konfiguration, finde jedoch nur Host-to-Host oder LAN-to-LAN Informationen. Ist mein Vorhaben so überhaupt möglich?
2. Zu dem Two or more interfaces found, checking IP forwarding [FAILED] habe ich keine klaren Informationen gefunden, da ich aber nichts routen will denke ich das ist ok so?
3. Ich vermute ich bräuchte eine private IP auf dem Root Server, die sich vermutlich über das tap0 device realisieren lässt, welches vermutlich vom Plesk VPN Modul erstellt wurde oder wird das von Openswan durch dessen Konfiguration geregelt oder ...
Irgendwie fehlt mir die entscheidende Information um auf ein weieres Vorgehen zu kommen, ich bin für jeden Tipp dankbar. Ich denke detailierte Informationen über meine Konfigurationen sind derzeit nicht nötig, da es eher um grundsätzliches geht, wenn doch, liefere ich die natürlich gerne nach
Schöne Grüße
Holger
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 173912
Url: https://administrator.de/contentid/173912
Printed on: April 19, 2024 at 20:04 o'clock
6 Comments
Latest comment
Das ist in der tat nicht ganz einfach denn mit OpenSWAN nutzt du IPsec als VPN Protokoll. Für einen Anfänger oft nicht ganz einfach. Ferner benötigst du dafür einen IPsec Router im lokalen LAN der dir einen permaneten VPN Tunnel zum Server schaltet so das du ihn auch permanent aus dem lokalen LAN im Zugriff hast.
Ggf. ist es einfacher im ersten Schritt PPTP als VPN Protokoll zu verwenden, das etwas einfacher zu handhaben ist.
Du musst dann lediglich den PPTP Server Daemon aktivieren und in der Firewall eingehende TCP 1723 und GRE Pakete (GRE ist IP Protokoll Nummer 47) zulassen, damit PPTP passieren kann.
Mit einem DD-WRT Router z.B. kannst du dann kinderleicht den Server einbinden:
VPNs einrichten mit PPTP
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Letztlich klappt das auch mit IPsec (OpenSwan) und einem entsprechenden IPsec Router (FritzBox, Draytek, NetGear, Linksys, pfSense, Monowall). Die Hürden sind aber etwas höher.
Hier müsstest du z.B. UDP 500, UDP 4500 und ESP (Prot. Nr. 50) passieren lassen.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Noch einfacher wäre eine OpenVPN Lösung auf deinem Server und ein Router der einen OpenVPN Client an Bord hat:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da OpenVPN SSL basierend ist benötigst du nur einen Port fürs Port Forwarding.
Mit IPsec hast du dir die schwerste Nuss ausgesucht....machbar ist das aber natürlich problemlos damit !
Was die 2 Interfaces anbetrifft hat dein Server vermutlich 2 NICs. An einem ist deine Internet Verbindung dran und die andere wird der Hoster vermutlich zum Management nutzen und IPsec weiss nicht welches es benutzen soll (Konfig)...das ist aber jetzt erstmal geraten, da du diese Info nicht lieferst...
Ggf. ist es einfacher im ersten Schritt PPTP als VPN Protokoll zu verwenden, das etwas einfacher zu handhaben ist.
Du musst dann lediglich den PPTP Server Daemon aktivieren und in der Firewall eingehende TCP 1723 und GRE Pakete (GRE ist IP Protokoll Nummer 47) zulassen, damit PPTP passieren kann.
Mit einem DD-WRT Router z.B. kannst du dann kinderleicht den Server einbinden:
VPNs einrichten mit PPTP
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Letztlich klappt das auch mit IPsec (OpenSwan) und einem entsprechenden IPsec Router (FritzBox, Draytek, NetGear, Linksys, pfSense, Monowall). Die Hürden sind aber etwas höher.
Hier müsstest du z.B. UDP 500, UDP 4500 und ESP (Prot. Nr. 50) passieren lassen.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Noch einfacher wäre eine OpenVPN Lösung auf deinem Server und ein Router der einen OpenVPN Client an Bord hat:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da OpenVPN SSL basierend ist benötigst du nur einen Port fürs Port Forwarding.
Mit IPsec hast du dir die schwerste Nuss ausgesucht....machbar ist das aber natürlich problemlos damit !
Was die 2 Interfaces anbetrifft hat dein Server vermutlich 2 NICs. An einem ist deine Internet Verbindung dran und die andere wird der Hoster vermutlich zum Management nutzen und IPsec weiss nicht welches es benutzen soll (Konfig)...das ist aber jetzt erstmal geraten, da du diese Info nicht lieferst...
Danke für die schnelle Antwort.
Ich habe deshalb IPsec gewählt, da meine Zyxel Zywall 2 Plus nur IPsec kann und ich bereits von einer FritzBox ein VPN betreibe, was ohne Probleme funktioniert. Alle anderen VPNs könnten nur über den SBS laufen, was wie beschrieben für OpenVPN vom SBS auch schon funktioniert hat allerdings ohne routing ins LAN.
Die [FAILED] Meldung habe ich zwischenzeitlich wegbekommen, dazu musste nur ip forwarding eingeschaltet werden.
Das zweite Interface ist tap0 und wurde vermutlich vom Plesk VPN Modul installiert (OpenVPN).
LANseitig ist soweit alles konfiguriert, im Prinzip geht es "nur" noch um die Konfiguration des Webservers. Da der Server momentan nur testweise läuft, kann die Firewallkonfiguration erstmal vernachlässigt werden, die mache ich einfach aus, bis es läuft.
Damit hätte ich zwei Geräte mit öffentlichen und festen IPs, was das angeht eigentlich ideale Vorraussetzungen für IPsec.
Ich bin auch nicht wirklich Anfänger, die Grundlagen verstehe ich soweit, nur die Umsetzung unter Linux fällt mir schwer, da ich oft nicht weiß wo ich nachschauen muss und mir das Vokabular auch nicht wirklich geläufig ist.
Ich habe deshalb IPsec gewählt, da meine Zyxel Zywall 2 Plus nur IPsec kann und ich bereits von einer FritzBox ein VPN betreibe, was ohne Probleme funktioniert. Alle anderen VPNs könnten nur über den SBS laufen, was wie beschrieben für OpenVPN vom SBS auch schon funktioniert hat allerdings ohne routing ins LAN.
Die [FAILED] Meldung habe ich zwischenzeitlich wegbekommen, dazu musste nur ip forwarding eingeschaltet werden.
Das zweite Interface ist tap0 und wurde vermutlich vom Plesk VPN Modul installiert (OpenVPN).
LANseitig ist soweit alles konfiguriert, im Prinzip geht es "nur" noch um die Konfiguration des Webservers. Da der Server momentan nur testweise läuft, kann die Firewallkonfiguration erstmal vernachlässigt werden, die mache ich einfach aus, bis es läuft.
Damit hätte ich zwei Geräte mit öffentlichen und festen IPs, was das angeht eigentlich ideale Vorraussetzungen für IPsec.
Ich bin auch nicht wirklich Anfänger, die Grundlagen verstehe ich soweit, nur die Umsetzung unter Linux fällt mir schwer, da ich oft nicht weiß wo ich nachschauen muss und mir das Vokabular auch nicht wirklich geläufig ist.
Habe jetzt einen stehenden Tunnel
Ich habe eine LAN-to-LAN Verbindung von 192.168.0.0/24 zu 192.168.1.0/24(Webserver). Allerdings jetzt das Problem, dass der Server ja keine IP-Adresse in diesem Netz hat, sondern nur die öffentliche IP.
Mein Gedanke wäre jetzt dieses tap0 device entsprechend zu konfigurieren, liege ich da richtig?
Ich habe eine LAN-to-LAN Verbindung von 192.168.0.0/24 zu 192.168.1.0/24(Webserver). Allerdings jetzt das Problem, dass der Server ja keine IP-Adresse in diesem Netz hat, sondern nur die öffentliche IP.
Mein Gedanke wäre jetzt dieses tap0 device entsprechend zu konfigurieren, liege ich da richtig?
Ja, richtig...sollte eigentlich dynamisch passieren. OK mit der Zywall bist du dann auf IPsec verhaftet. Ist aber natürlich kein Hinderungsgrund.
Ein wichtiges Ziel habe ich jetzt erreicht, ich habe aus dem LAN Zugriff auf den WebServer und das VPN zu einem LAN2HOST VPN geändert. Es kann ja nur dynamisch passieren wenn "nur" eine IP benutzt wird (das war der Hinweis
). Was da jetzt auf dem Server genau abläuft würde mich auch interessieren, da ich nicht in erfahrung bringen kann wie die IP gehandhabt wird, tap0 scheint es nicht zu sein.
Leider habe ich von Zuhause keinen Zugriff auf den WebServer. Habe schon etliches probiert, aber das routing klappt nicht und ich kann es auch nicht wirklich überprüfen.
In der FritzBox habe ich dem VPN das ZielNetz(192.168.1.0/24) zur accesslist hinzugefügt und eine Route (192.168.1.0 255.255.255.0 Gateway 192.168.0.1) hinzugefügt. Leider weiß ich nicht wie ich prüfen soll ob das funktioniert - Ich gehe mal davon aus, da es eine Anleitung von AVM war.
In der ZyWall weiß ich allerdings nicht was ich tun kann, damit die Pakete aus dem ZuhauseVPN ins WebserverVPN geroutet werden. ich habe es mit statischen Routen probiert, aber nichts hat funktioniert und ich kann es auch nicht testen.
Bin gerade etwas Ratlos und könnte ein wenig Input brauchen
). Was da jetzt auf dem Server genau abläuft würde mich auch interessieren, da ich nicht in erfahrung bringen kann wie die IP gehandhabt wird, tap0 scheint es nicht zu sein.Leider habe ich von Zuhause keinen Zugriff auf den WebServer. Habe schon etliches probiert, aber das routing klappt nicht und ich kann es auch nicht wirklich überprüfen.
In der FritzBox habe ich dem VPN das ZielNetz(192.168.1.0/24) zur accesslist hinzugefügt und eine Route (192.168.1.0 255.255.255.0 Gateway 192.168.0.1) hinzugefügt. Leider weiß ich nicht wie ich prüfen soll ob das funktioniert - Ich gehe mal davon aus, da es eine Anleitung von AVM war.
In der ZyWall weiß ich allerdings nicht was ich tun kann, damit die Pakete aus dem ZuhauseVPN ins WebserverVPN geroutet werden. ich habe es mit statischen Routen probiert, aber nichts hat funktioniert und ich kann es auch nicht testen.
Bin gerade etwas Ratlos und könnte ein wenig Input brauchen
OK, das ist schonmal gut mit der Connectivity. Der Webserver Zugriff ist ein Firewall Problem auf dem Server, da kannst du vermutlich von ausgehen. Also da mal die FW Logs kontrollieren.
Das Routing sollte problemlos funktionieren. Bedenke das du aber mit 192.168.x.x Banalnetzen da Schiffbruch erleiden kannst wenn die IP Adressierung nicht eindeutig ist. Das also vorab als erstes prüfen:
VPNs einrichten mit PPTP
Zentraler VPN Knoten der zwischen beiden VPNs routet wäre dann die Zywall die einmal den VPN Tunnel zum Server bedient und einmal den Tunnel zur FB. Generell Standard und kein Problem sofern die IP Adressierung eindeutig ist also dediziertes IP Netz für VPN Tunnel 1 und dediziertes Netz für Tunnel 2, lokales LAN und Heim LAN an der FB.
Der Server benötigt dann 3 statische Routen:
Die FB benötigt 2 zusätzliche IP Netze bzw. statische Routen, denn sie kennt derzeit nur das lokale Zywall LAN via Tunnelinterface 2- Also müssen
Hier sind wie immer Traceroute und Pathping deine Freunde. Dort wo es klemmt und nicht weitergeht ist auch das Routing Problem.
Generell ist das ein simples Szenario und sollte problemlos zum Fliegen kommen.
Das Routing sollte problemlos funktionieren. Bedenke das du aber mit 192.168.x.x Banalnetzen da Schiffbruch erleiden kannst wenn die IP Adressierung nicht eindeutig ist. Das also vorab als erstes prüfen:
VPNs einrichten mit PPTP
Zentraler VPN Knoten der zwischen beiden VPNs routet wäre dann die Zywall die einmal den VPN Tunnel zum Server bedient und einmal den Tunnel zur FB. Generell Standard und kein Problem sofern die IP Adressierung eindeutig ist also dediziertes IP Netz für VPN Tunnel 1 und dediziertes Netz für Tunnel 2, lokales LAN und Heim LAN an der FB.
Der Server benötigt dann 3 statische Routen:
- Lokales LAN Zywall via next Hop Tunnelinterface Tunnel 1
- Tunnel 2 IP Netz via next Hop Tunnelinterface Tunnel 1
- Heimnetz via next Hop Tunnelinterface Tunnel 1
Die FB benötigt 2 zusätzliche IP Netze bzw. statische Routen, denn sie kennt derzeit nur das lokale Zywall LAN via Tunnelinterface 2- Also müssen
- Tunnel 1 IP Netz via next Hop Tunnelinterface Tunnel 2
- Lokales Server LAN via next Hop Tunnelinterface Tunnel 2
Hier sind wie immer Traceroute und Pathping deine Freunde. Dort wo es klemmt und nicht weitergeht ist auch das Routing Problem.
Generell ist das ein simples Szenario und sollte problemlos zum Fliegen kommen.
