Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Server (Netgear) hinter Linux-Firewall

Frage Netzwerke Router & Routing

Mitglied: TheLight

TheLight (Level 1) - Jetzt verbinden

30.10.2008, aktualisiert 15:25 Uhr, 6842 Aufrufe, 5 Kommentare

Hallo,

ich habe ein für wohl mich zu kompliziertes Problem und bräuchte dringend Hilfe.

Es geht darum eine VPN-Verbindung von einem Kollegen auf einen Server in meinem Netzwerk aufzubauen.

Ich habe an meinem Kabelmodem einen Linuxserver, der als Firewall fungiert und noch diverse andere Dienste abbildet. Dieser ist mit eth0 mit dem Modem und mit eth1 mit dem Netzwerk verbunden. Diese Konfiguration ist aus verschiedenen Gründen nicht änderbar.

Nun habe ich einen Netgear Router (FVS114) mit beiden Ports ebenfalls am Switch angeschlossen und ein entsprechendes VPN-Profil erstellt. Die LAN-Konfiguration sieht wie folgt aus:

Linux:
eth1.0 - 192.168.63.4 (Adresse im lokalen Netzwerk)
eth1.1 - 192.168.64.11 (Adresse für Labor-Netzwerks - nur DHCP) - dies ist für das VPN unwichtig
eth1.2 - 192.168.70.1 (Adresse für den WAN-Port des Routers)
In der Firewall sind die VPN-Ports entsprechend als Forward auf die WAN-IP-Adresse des Routers eingestellt

Netgear-Router:
WAN-Port - 192.168.70.2 (Adresse für den Linuxserver - Gateway: 192.168.70.1)
LAN-Port - 192.168.3.11 (Adresse für das VPN ins lokale Netzwerk)

Server auf den zugegriffen werden soll:
IP1 - 192.168.63.3 (Adresse im lokalen Netzwerk - Gateway: 192.168.63.4)
IP2 - 192.168.3.1 (Adresse für das VPN - Gateway: 192.168.3.11)
Beide IP-Adressen sind auf der gleichen Netzwerkkarte eingerichtet

Auf der Gegenseite ist ebenfalls ein Netgear Router (FVG318) vorhanden, an dem zwei Rechner hängen:
Netgear-Router:
WAN-Port - dynamisch vom DSL-Modem
LAN-Port - 192.168.0.1

Rechner:
PC1 - 192.168.0.10
PC2 - 192.168.0.11

Die Einrichtung der IKE-Profile sehen wie folgt aus:
- Direction/Type: Both
- Exchange Mode: Main
- Local Identifier: Local WAN IP (setzt sich am Standort des Servers auf die 192.168.70.2 - seine WAN-Adresse und am entfernten Standort auf die Provider-IP)
- Remote Identifier: Remote WAN IP (bleibt lokal auf 0.0.0.0, am entfernten Standort setzt es sich auf die DynDNS-Adresse des lokalen Standorts)
- Verschlüsselung: 3DES
- Authentifizierung: SHA-1
- Pre-shared Key
- DH: Group 2
- SA Life Time: 28800 sec

Die VPN-Profile sind wie folgt:
- Remote VPN Endpoint: FQDN - DynDNS-Adresse des entgegengesetzten Standorts
- SA Life Time: 28800 sec - 100000 KB
- IPSec PFS: Group 2
- NetBIOS: Enabled
- Local IP: Subnet address: 192.168.3.0/255.255.255.0 (lokal), 192.168.0.0/255.255.255.0 (entfernt)
- Remote IP: Subnet address: 192.168.0.0/255.255.255.0 (lokal), 192.168.3.0/255.255.255.0 (entfernt)
- ESP Config: Encryption (3DES), Authentification (SHA-1)

Soweit zum Aufbau. Ich kann nun einen VPN-Tunnel aufbauen, allerdings kann keinerlei Daten übertragen. Ich kann weder von einem Rechner den Server anpingen, noch umgekehrt. Auch der Test über die Diagnose des Routers einfach den anderen Router anzupingen schlägt fehl. Ich habe nun schon alles versucht und komme einfach nicht weiter.

Wo kann mein Problem liegen? Hat jemand eine Idee ... bin schon total verzweifelt.

Danke und Grüße Carsten
Mitglied: aqui
30.10.2008 um 09:03 Uhr
Anhand deiner Beschreibung lässt sich erraten, das die NetGear Maschinen vermutlich IPsec im ESP Modus für die VPN Verbindung als Tunnelprotokoll nutzen.

Vermutlich macht dein Linux Server der zwischen Kabelmodem und internem LAN steht NAT (Adress Translation) Richtung Internet und dein Netzwerk sieht vermutlich so aus:

c3ca5046523aab0da9533ba61cb0d5d0-linvpn - Klicke auf das Bild, um es zu vergrößern

Richtig ???

Um die NAT Firewall zu überwinden mit IPsec musst du aber ein Port Forwarding in die IPTABLES konfigurieren auf die lokale IP Adresse der NetGear Box und zwar für folgende Ports:

UDP 500 (IKE)
UDP 4500 (NAT -T)
ESP Protokoll (ESP hat die IP Protokoll Nummer 50, Achtung nicht TCP oder UDP 50 !!)

Damit sollte es dann klappen !

(Nebenbei: Warum du dir diese umständliche Frickelei mit den netGear Boxen antust wo doch Linux schon alles für ein VPN mit an Bord hat bleibt bei der ganzen Sache vollkommen unverständlich ??!!)
Bitte warten ..
Mitglied: TheLight
30.10.2008 um 12:06 Uhr
Hallo Aqui,

genauso sieht es bei mir aus. Die Port Forwards waren auch schon soweit eingestellt, ausser dem 4500, aber den habe ich jetzt auch mit drin. Leider funktioniert das Ganze trotzdem nicht. Der Tunnel kommt zustande, aber keine Datenübertragung.

Warum ich das mache? Gute Frage, ich kenne mich mit Linux überhaupt nicht aus, der Server wird von einem Freund gewartet und der kennt sich mit VPN in Verbindung mit den Netgear-Kisten nicht aus (er hatte es geschafft, dass eine Netgear-Box einen Tunnel aufmacht, aber auch da kamen keine Pakete durch). Aus diesem Grund haben wir uns gedacht, dass dies der einfachste Weg ist. Wäre halt schön, wenn es einfach klappt.

Danke und Gruß Carsten
Bitte warten ..
Mitglied: aqui
30.10.2008 um 15:00 Uhr
Dann kann der Fehler nur in der NetGear Konfiguration liegen !
Leider ist NetGear nicht gerade für Kompetenz im VPN Bereich bekannt, da gibt es andere Hersteller die das besser können..

Vielleicht solltest du dir das Leben auch nicht so schwer machen und den NetGear VOR den Linux Server hängen, dann hast du die Problematiken mit dem Port Forwarding nicht.

So oder so, kannst du denn wenigstens wenn der VPN Tunnel steht die beiden NetGears untereinander anpingen ?? Das wäre ja erstmal der Minimaltest um festzustellen ob der VPN Tunnel wirklich funktioniert !
Was sagt ein traceroute oder pathping auf das jeweilige Zielsystem ??

Ansonsten wenn alle Stricke reissen einen Paket Sniffer wie den Wireshark einmal vor dem Server und einmal nach dem Server einschleifen und nachsehen ob beim VPN Verbindungsaufbau doch irgendwas an der FW hängenbleibt.
So ein Sniffertrace zeigt dir meisten sofort wo das Problem liegt !!
Bitte warten ..
Mitglied: TheLight
30.10.2008 um 15:16 Uhr
Das mit dem davor hängen hatten wir auch schon versucht nur leider funktionieren dann so verschiedene Applikationen des Linux nicht mehr richtig.
Ein Ping funktioniert nicht mal zwischen den beiden Routern.

Ich mach da jetzt aber auch vorerst ein Ei drauf, ich habe einen Linux-Spezi gefunden, der will am Samstag den Linux als VPN-Server einrichten, dass die externe Netgear-Kiste direkt draufkommt, war eigentlich auch meine erste Idee und ich hoffe, dass das funktioniert. Wenn nicht, dann meld ich mich hier wieder.

Ich danke Dir auf jeden Fall für Deine Mühe ... Schöne Grüße Carsten
Bitte warten ..
Mitglied: aqui
30.10.2008 um 15:25 Uhr
Das ist in jedem Fall der richtige Weg, denn dein Design müsste so nicht sein den mit dem Linux Server hast du ja schon einen VPN Server im Netz !

Der VPN Tunnel zw. den NetGears kommt also gar nicht erst zustande...da kannst du dann auch probieren bis du schwarz wirst !
Vermutlich liegt es sicherlich daran das die FW noch immer was filtert aber das kannst du wie gesagt nur mit einem Sniffertrace richtig sehen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(4)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Router & Routing
OpenWRT als Open VPN Server im Heimnetz verwenden? (36)

Frage von Mr.Heisenberg zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...