Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Linux Web Server per VPN und Samba ins LAN integrieren

Frage Linux Samba

Mitglied: Helmchen

Helmchen (Level 1) - Jetzt verbinden

29.09.2011, aktualisiert 18.10.2012, 6093 Aufrufe, 6 Kommentare, 1 Danke

Hallo

Ich habe mich entschlossen meinen Hostingserver von einem managed Server auf einen Root Server umzustellen. Bisher habe ich den Zugriff auf den Server mittels ExpanDrive gelöst. Jetzt möchte ich den Zugriff per VPN direkt über den Router einrichten. Leider fehlen mir Kenntnisse und Erfahrung was VPN und Linux Netzwerke angeht.

Ich habe einen Root Server bei 1und1 mit CentOS 5.5, Plesk 10.3 und möchte diesen per IPsec VPN über eine Zyxel ZyWall 2 Plus in mein LAN einbinden. Mein LAN hat einen SBS2008 und geht über die ZyWall ins Netz. Mein Heimnetzwerk habe ich bereits per VPN von einer Fritzbox im LAN.

Ich hatte kurzzeitig die von Plesk angebotene VPN Lösung am laufen. Das geht jedoch nur per OpenVPN vom SBS aus. Das finde ich zum einen nicht besonders elegant und zum anderen habe ich das Routing ins Netzwerk nicht hinbekommen. Allerdings hatte ich vom SBS Zugriff auf die Samba Freigaben.

Auf dem Root Server habe ich bereits Openswan installiert und ICMP redirects disabled, so dass ich davon ausgehe, dass es grundsätzlich gehen sollte.
[root@sXYZ /]# ipsec verify 
Checking your system to see if IPsec got installed and started correctly: 
Version check and ipsec on-path                                 [OK] 
Linux Openswan U2.6.21/K2.6.18-194.26.1.el5 (netkey) 
Checking for IPsec support in kernel                            [OK] 
NETKEY detected, testing for disabled ICMP send_redirects       [OK] 
NETKEY detected, testing for disabled ICMP accept_redirects     [OK] 
Checking for RSA private key (/etc/ipsec.secrets)               [OK] 
Checking that pluto is running                                  [OK] 
Two or more interfaces found, checking IP forwarding            [FAILED] 
Checking for 'ip' command                                       [OK] 
Checking for 'iptables' command                                 [OK] 
 
Opportunistic Encryption DNS checks: 
   Looking for TXT in forward dns zone: sXYZ.onlinehome-server.info        [MISSING] 
   Does the machine have at least one non-private address?      [OK] 
   Looking for TXT in reverse dns zone: 123.123.123.123.in-addr.arpa.     [MISSING]
Jetzt habe ich ein paar Verständnisprobleme:
1. Ich bräuchte ja theoretisch eine Host-to-LAN Konfiguration, finde jedoch nur Host-to-Host oder LAN-to-LAN Informationen. Ist mein Vorhaben so überhaupt möglich?
2. Zu dem Two or more interfaces found, checking IP forwarding [FAILED] habe ich keine klaren Informationen gefunden, da ich aber nichts routen will denke ich das ist ok so?
3. Ich vermute ich bräuchte eine private IP auf dem Root Server, die sich vermutlich über das tap0 device realisieren lässt, welches vermutlich vom Plesk VPN Modul erstellt wurde oder wird das von Openswan durch dessen Konfiguration geregelt oder ...

Irgendwie fehlt mir die entscheidende Information um auf ein weieres Vorgehen zu kommen, ich bin für jeden Tipp dankbar. Ich denke detailierte Informationen über meine Konfigurationen sind derzeit nicht nötig, da es eher um grundsätzliches geht, wenn doch, liefere ich die natürlich gerne nach

Schöne Grüße
Holger
Mitglied: aqui
29.09.2011, aktualisiert 18.10.2012
Das ist in der tat nicht ganz einfach denn mit OpenSWAN nutzt du IPsec als VPN Protokoll. Für einen Anfänger oft nicht ganz einfach. Ferner benötigst du dafür einen IPsec Router im lokalen LAN der dir einen permaneten VPN Tunnel zum Server schaltet so das du ihn auch permanent aus dem lokalen LAN im Zugriff hast.
Ggf. ist es einfacher im ersten Schritt PPTP als VPN Protokoll zu verwenden, das etwas einfacher zu handhaben ist.
Du musst dann lediglich den PPTP Server Daemon aktivieren und in der Firewall eingehende TCP 1723 und GRE Pakete (GRE ist IP Protokoll Nummer 47) zulassen, damit PPTP passieren kann.
Mit einem DD-WRT Router z.B. kannst du dann kinderleicht den Server einbinden:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
http://www.administrator.de/wissen/vpn-einrichtung-%28pptp%29-mit-dsl-r ...
http://www.administrator.de/wissen/vpns-mit-dd-wrt%2c-m0n0wall-oder-pfs ...
Letztlich klappt das auch mit IPsec (OpenSwan) und einem entsprechenden IPsec Router (FritzBox, Draytek, NetGear, Linksys, pfSense, Monowall). Die Hürden sind aber etwas höher.
Hier müsstest du z.B. UDP 500, UDP 4500 und ESP (Prot. Nr. 50) passieren lassen.
http://www.administrator.de/wissen/ipsec-vpn-auf-m0n0wall-oder-pfsense- ...
Noch einfacher wäre eine OpenVPN Lösung auf deinem Server und ein Router der einen OpenVPN Client an Bord hat:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da OpenVPN SSL basierend ist benötigst du nur einen Port fürs Port Forwarding.
Mit IPsec hast du dir die schwerste Nuss ausgesucht....machbar ist das aber natürlich problemlos damit !
Was die 2 Interfaces anbetrifft hat dein Server vermutlich 2 NICs. An einem ist deine Internet Verbindung dran und die andere wird der Hoster vermutlich zum Management nutzen und IPsec weiss nicht welches es benutzen soll (Konfig)...das ist aber jetzt erstmal geraten, da du diese Info nicht lieferst...
Bitte warten ..
Mitglied: Helmchen
29.09.2011 um 17:54 Uhr
Danke für die schnelle Antwort.

Ich habe deshalb IPsec gewählt, da meine Zyxel Zywall 2 Plus nur IPsec kann und ich bereits von einer FritzBox ein VPN betreibe, was ohne Probleme funktioniert. Alle anderen VPNs könnten nur über den SBS laufen, was wie beschrieben für OpenVPN vom SBS auch schon funktioniert hat allerdings ohne routing ins LAN.

Die [FAILED] Meldung habe ich zwischenzeitlich wegbekommen, dazu musste nur ip forwarding eingeschaltet werden.

Das zweite Interface ist tap0 und wurde vermutlich vom Plesk VPN Modul installiert (OpenVPN).

LANseitig ist soweit alles konfiguriert, im Prinzip geht es "nur" noch um die Konfiguration des Webservers. Da der Server momentan nur testweise läuft, kann die Firewallkonfiguration erstmal vernachlässigt werden, die mache ich einfach aus, bis es läuft.

Damit hätte ich zwei Geräte mit öffentlichen und festen IPs, was das angeht eigentlich ideale Vorraussetzungen für IPsec.

Ich bin auch nicht wirklich Anfänger, die Grundlagen verstehe ich soweit, nur die Umsetzung unter Linux fällt mir schwer, da ich oft nicht weiß wo ich nachschauen muss und mir das Vokabular auch nicht wirklich geläufig ist.
Bitte warten ..
Mitglied: Helmchen
29.09.2011 um 20:49 Uhr
Habe jetzt einen stehenden Tunnel

Ich habe eine LAN-to-LAN Verbindung von 192.168.0.0/24 zu 192.168.1.0/24(Webserver). Allerdings jetzt das Problem, dass der Server ja keine IP-Adresse in diesem Netz hat, sondern nur die öffentliche IP.

Mein Gedanke wäre jetzt dieses tap0 device entsprechend zu konfigurieren, liege ich da richtig?
Bitte warten ..
Mitglied: aqui
30.09.2011 um 09:10 Uhr
Ja, richtig...sollte eigentlich dynamisch passieren. OK mit der Zywall bist du dann auf IPsec verhaftet. Ist aber natürlich kein Hinderungsgrund.
Bitte warten ..
Mitglied: Helmchen
30.09.2011 um 16:08 Uhr
Ein wichtiges Ziel habe ich jetzt erreicht, ich habe aus dem LAN Zugriff auf den WebServer und das VPN zu einem LAN2HOST VPN geändert. Es kann ja nur dynamisch passieren wenn "nur" eine IP benutzt wird (das war der Hinweis ). Was da jetzt auf dem Server genau abläuft würde mich auch interessieren, da ich nicht in erfahrung bringen kann wie die IP gehandhabt wird, tap0 scheint es nicht zu sein.
Leider habe ich von Zuhause keinen Zugriff auf den WebServer. Habe schon etliches probiert, aber das routing klappt nicht und ich kann es auch nicht wirklich überprüfen.

In der FritzBox habe ich dem VPN das ZielNetz(192.168.1.0/24) zur accesslist hinzugefügt und eine Route (192.168.1.0 255.255.255.0 Gateway 192.168.0.1) hinzugefügt. Leider weiß ich nicht wie ich prüfen soll ob das funktioniert - Ich gehe mal davon aus, da es eine Anleitung von AVM war.

In der ZyWall weiß ich allerdings nicht was ich tun kann, damit die Pakete aus dem ZuhauseVPN ins WebserverVPN geroutet werden. ich habe es mit statischen Routen probiert, aber nichts hat funktioniert und ich kann es auch nicht testen.

Bin gerade etwas Ratlos und könnte ein wenig Input brauchen
Bitte warten ..
Mitglied: aqui
30.09.2011, aktualisiert 18.10.2012
OK, das ist schonmal gut mit der Connectivity. Der Webserver Zugriff ist ein Firewall Problem auf dem Server, da kannst du vermutlich von ausgehen. Also da mal die FW Logs kontrollieren.
Das Routing sollte problemlos funktionieren. Bedenke das du aber mit 192.168.x.x Banalnetzen da Schiffbruch erleiden kannst wenn die IP Adressierung nicht eindeutig ist. Das also vorab als erstes prüfen:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
Zentraler VPN Knoten der zwischen beiden VPNs routet wäre dann die Zywall die einmal den VPN Tunnel zum Server bedient und einmal den Tunnel zur FB. Generell Standard und kein Problem sofern die IP Adressierung eindeutig ist also dediziertes IP Netz für VPN Tunnel 1 und dediziertes Netz für Tunnel 2, lokales LAN und Heim LAN an der FB.
Der Server benötigt dann 3 statische Routen:
  • Lokales LAN Zywall via next Hop Tunnelinterface Tunnel 1
  • Tunnel 2 IP Netz via next Hop Tunnelinterface Tunnel 1
  • Heimnetz via next Hop Tunnelinterface Tunnel 1
Die Zywall "kennt ja alle IP Netze da alle bis auf das Heimnetz alle direkt an ihr angeschlossen sind. Das Heimnetz kennt sie ebenso durch den funktionierenden VPN Tnnel mit der FB.
Die FB benötigt 2 zusätzliche IP Netze bzw. statische Routen, denn sie kennt derzeit nur das lokale Zywall LAN via Tunnelinterface 2- Also müssen
  • Tunnel 1 IP Netz via next Hop Tunnelinterface Tunnel 2
  • Lokales Server LAN via next Hop Tunnelinterface Tunnel 2
noch dazu.
Hier sind wie immer Traceroute und Pathping deine Freunde. Dort wo es klemmt und nicht weitergeht ist auch das Routing Problem.
Generell ist das ein simples Szenario und sollte problemlos zum Fliegen kommen.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...