15187
18.12.2006, aktualisiert am 05.01.2007
6969
11
0
Einfache Frage: Wie route ich GRE bei aktiver SuSE 10.1 Firewall2 über NAT?
Auf einem mit SuSE 10.1 betriebenen Router soll von wlan0/EXT nach eth0/INT ein VPN-Forward eingerichtet werden. Neben TCP 1723, was schon erfolgreich mit Firewall2 reingeroutet wird, soll dies nun auch mit GRE passieren.
Nachdem ich mit iptables nichts dahingehendes zum Laufen gebracht habe, habe ich es mit diversen, im Internet gefundenen Scripts (auf meine IPs usw. angepasst) probiert, jedoch führte nichts zum Erfolg.
Daher stelle ich eine einfache Frage:
Wie route ich, solange die FW aktiv ist, GRE per NAT weiter?
Bin gespannt, ob es mehr als eine Antwort / Möglichkeit gibt...
Gruß,
tc
Nachdem ich mit iptables nichts dahingehendes zum Laufen gebracht habe, habe ich es mit diversen, im Internet gefundenen Scripts (auf meine IPs usw. angepasst) probiert, jedoch führte nichts zum Erfolg.
Daher stelle ich eine einfache Frage:
Wie route ich, solange die FW aktiv ist, GRE per NAT weiter?
Bin gespannt, ob es mehr als eine Antwort / Möglichkeit gibt...
Gruß,
tc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 47020
Url: https://administrator.de/contentid/47020
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo
GRE ( 47 ) ist ein Port, Du brauchst ihn nur zu zulassen lassen, da wo er hin soll.
Habe das bei mir so eingerichtet
Quellhost = default
Quellport = none
Zielhost = ( ip wo er hin soll )
Zielport = none
Protokoll = GRE ( 47 )
gruß Mario
GRE ( 47 ) ist ein Port, Du brauchst ihn nur zu zulassen lassen, da wo er hin soll.
Habe das bei mir so eingerichtet
Quellhost = default
Quellport = none
Zielhost = ( ip wo er hin soll )
Zielport = none
Protokoll = GRE ( 47 )
gruß Mario
Und das geht?
Hast Du zufällig ne genaue Syntax?
Ich erhalte seit 2 Tagen nichts anderes als Fehlermeldungen bei der Eingabe mit iptables.
Für sowas kompliziertes bin ich scheinbar zu alt...
tc
ok. Anders gefragt: Wer kommt aus dem Saarland, beherrscht das Thema und wäre bereit, mir das Verfahren mit iptables persönlich bei zu bringen? Mit Lesen und Probieren komm ich nicht mehr weiter. Entweder hat mein System nen Schaden, oder... keine Ahnung. Alle Eintragsversuche scheitern kläglich, obwohl sie so bei anderen funktionieren. Ich hab ehrlich gesagt keinen Nerv mehr und brauch dringend Hilfe.
Wer sich das zutraut, bitte per PN melden.
Vielen Dank!
Hast Du zufällig ne genaue Syntax?
Ich erhalte seit 2 Tagen nichts anderes als Fehlermeldungen bei der Eingabe mit iptables.
Für sowas kompliziertes bin ich scheinbar zu alt...
tc
ok. Anders gefragt: Wer kommt aus dem Saarland, beherrscht das Thema und wäre bereit, mir das Verfahren mit iptables persönlich bei zu bringen? Mit Lesen und Probieren komm ich nicht mehr weiter. Entweder hat mein System nen Schaden, oder... keine Ahnung. Alle Eintragsversuche scheitern kläglich, obwohl sie so bei anderen funktionieren. Ich hab ehrlich gesagt keinen Nerv mehr und brauch dringend Hilfe.
Wer sich das zutraut, bitte per PN melden.
Vielen Dank!
ich meine eigentlich, jetzt die richtigen Zeilen drin zu haben.
Anmerkung: 192.168.100.2 ist mein IPCOP, der wiederum alles ankommende auf Port 1723 und gre zum VPN-Server (192.168.0.2) leitet.
Der IPCOP arbeitet korrekt. Anmeldung auf seiner roten IP führen zum vollständigen Verbindungsaufbau zum VPN-Server.
Es kann also nur an den Regeln auf der ersten Firewall liegen. Und diese sind jetzt wie folgt eingetragen.
iptables -I input_int -p gre -j ACCEPT
iptables -I input_ext -p gre -j ACCEPT
iptables -I forward_int -p gre -d 192.168.100.2 -j ACCEPT
iptables -I forward_int -p gre -s 192.168.100.2 -j ACCEPT
iptables -I forward_ext -p gre -d 192.168.100.2 -j ACCEPT
iptables -I forward_ext -p gre -s 192.168.100.2 -j ACCEPT
stimmt das?
Ansonsten sind die iptables original SuSe 10.1 Firewall2-Standard (in welcher 1723 auch auf 192.168.100.2 geforwarded wird)
Anmerkung: 192.168.100.2 ist mein IPCOP, der wiederum alles ankommende auf Port 1723 und gre zum VPN-Server (192.168.0.2) leitet.
Der IPCOP arbeitet korrekt. Anmeldung auf seiner roten IP führen zum vollständigen Verbindungsaufbau zum VPN-Server.
Es kann also nur an den Regeln auf der ersten Firewall liegen. Und diese sind jetzt wie folgt eingetragen.
iptables -I input_int -p gre -j ACCEPT
iptables -I input_ext -p gre -j ACCEPT
iptables -I forward_int -p gre -d 192.168.100.2 -j ACCEPT
iptables -I forward_int -p gre -s 192.168.100.2 -j ACCEPT
iptables -I forward_ext -p gre -d 192.168.100.2 -j ACCEPT
iptables -I forward_ext -p gre -s 192.168.100.2 -j ACCEPT
stimmt das?
Ansonsten sind die iptables original SuSe 10.1 Firewall2-Standard (in welcher 1723 auch auf 192.168.100.2 geforwarded wird)
@mario: und wie, wenn nicht so wie in meinem kommentar?
Neue Erkenntnis:
Ethereal auf die wlan-Karte angesetzt erkennt keine Aktivität beim GRE-Protokoll.
Die PPTP-Anfrage kommt beim VPN-Server an, das geht aus allen Protokollen hervor.
Wenn die Anfrage also bis zu dem Punkt kommt, an dem das GRE-Protokoll seine Arbeit beginnen sollte, was kann das denn dann sein?
Lasst mich doch bitte nicht so allein mit dem Problem. Es kann doch unmöglich sein, dass das Problem unbekannt ist. Ich bin doch nicht der erste, der PPTP-Forwarding unter SUSE10.1 einrichtet, oder doch??
Frohe Weihnachten
tc
Ethereal auf die wlan-Karte angesetzt erkennt keine Aktivität beim GRE-Protokoll.
Die PPTP-Anfrage kommt beim VPN-Server an, das geht aus allen Protokollen hervor.
Wenn die Anfrage also bis zu dem Punkt kommt, an dem das GRE-Protokoll seine Arbeit beginnen sollte, was kann das denn dann sein?
Lasst mich doch bitte nicht so allein mit dem Problem. Es kann doch unmöglich sein, dass das Problem unbekannt ist. Ich bin doch nicht der erste, der PPTP-Forwarding unter SUSE10.1 einrichtet, oder doch??
Frohe Weihnachten
tc
Achtung GRE ist KEIN Port !! Der Tip von oben ist komplett falsch !!! GRE ist ein eigenes Protokoll mit der Prokollnummer 47 wie z.B. ICMP und andere auch.
Das ist kein TCP oder UDP Port.
Wenn das so entsprechend in den tables konfiguriert ist wird das ganz normal geforwardet !
So sieht z.B. ein tables Eintrag mit GRE aus:
iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to SERVER_IP
Das ist kein TCP oder UDP Port.
Wenn das so entsprechend in den tables konfiguriert ist wird das ganz normal geforwardet !
So sieht z.B. ein tables Eintrag mit GRE aus:
iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to SERVER_IP
Hallo aqui,
danke für die Zeile. Ich probier das aus. Diese Version hab ich noch nicht.
Kürzlich hab ich irgendwo aufgeschnappt, dass L2TP (welches ich gerade versuche, einzurichten, weil ich Protokoll 47 - GRE nicht geroutet bekommen hab) nicht per NAT geforwarded werden kann. Bevor ich daran weiter basteln tue... kannst Du mir vielleicht sagen, ob das so stimmt? Wenn dem so wäre, müßte ich einen VPN-Zugang direkt auf der suse einrichten. Dann müßte man noch gezielt durch die FW geroutet werden, um an die Dienste im internen Netz zu kommen (AD, Mail, usw...) . Also, ich weiß nicht... ob das so geht, wie ich mir das vorstelle?
Gruß,
tc
danke für die Zeile. Ich probier das aus. Diese Version hab ich noch nicht.
Kürzlich hab ich irgendwo aufgeschnappt, dass L2TP (welches ich gerade versuche, einzurichten, weil ich Protokoll 47 - GRE nicht geroutet bekommen hab) nicht per NAT geforwarded werden kann. Bevor ich daran weiter basteln tue... kannst Du mir vielleicht sagen, ob das so stimmt? Wenn dem so wäre, müßte ich einen VPN-Zugang direkt auf der suse einrichten. Dann müßte man noch gezielt durch die FW geroutet werden, um an die Dienste im internen Netz zu kommen (AD, Mail, usw...) . Also, ich weiß nicht... ob das so geht, wie ich mir das vorstelle?
Gruß,
tc
Hi aqui,
ich hab die iptables-Zeile eingetragen. Ich dachte, ich würde diese auch mit iptables -L sehen. Zum einen sehe ich sie aber nicht, zum anderen funktioniert's auch nicht.
Da ich aber von laptop aus probiere (kennst Du ja aus dem neuen Thread), könnte es wohl sein, dass das wie Port81 nicht funktioniert.
Mir würde es eigentlich auch ausreichen, wenn die Suse alles ohne FW weiterleiten würde. Aber schalte ich die FW ab, lege ich damit das komplette Netzwerk der suse lahm. Also ohne FW kein Routing mehr... oder mach ich da noch was falsch?
Gruß,
tc
ich hab die iptables-Zeile eingetragen. Ich dachte, ich würde diese auch mit iptables -L sehen. Zum einen sehe ich sie aber nicht, zum anderen funktioniert's auch nicht.
Da ich aber von laptop aus probiere (kennst Du ja aus dem neuen Thread), könnte es wohl sein, dass das wie Port81 nicht funktioniert.
Mir würde es eigentlich auch ausreichen, wenn die Suse alles ohne FW weiterleiten würde. Aber schalte ich die FW ab, lege ich damit das komplette Netzwerk der suse lahm. Also ohne FW kein Routing mehr... oder mach ich da noch was falsch?
Gruß,
tc
Das kann sein...Normalerweise ist bei Linux genau wie bei Windows 2k und XP das IP Forwarding (Routing zwischen den NICs) in den Systemsettings abgeschaltet. Wenn du die im Setup (/etc/sysconfig/, ist aber in den Distros unterschiedlich) mal ansiehst musst du den IP Forwarding Schalter auf ON legen, damit Packete geroutet werden. Bei aktiven iptables wird m.E. dieser Prameter automatisch aktiviert.
Routing ist doch aktiviert... Ich hab zwar jetzt gefunden, dass man über yast in System / Editor für sysconfig-Dateien einstellen kann, dass Routing auch bei deaktivierter Firewall funktioniert. Wie ich letztlich aber nur noch feststelle, funktioniert es bei Suse natürlich nicht. Mittlerweile ist das wohl nicht mehr neu.
Da hier wohl auch niemand eine Idee hat, woran es liegen kann, komme ich -zwar ungern- zu dem Schluss, dass GRE-Routing mit Suse-Linux (auch mit der SLES 10) schlichtweg unmöglich ist.
Ich hab ja keine Ahnung, aber ich werde einen Verdacht nicht los: Lief nicht einiges mit Suse-Linux besser, solange Novell ihre Griffel noch nicht im Spiel hatten?
Gruß,
tc
Da hier wohl auch niemand eine Idee hat, woran es liegen kann, komme ich -zwar ungern- zu dem Schluss, dass GRE-Routing mit Suse-Linux (auch mit der SLES 10) schlichtweg unmöglich ist.
Ich hab ja keine Ahnung, aber ich werde einen Verdacht nicht los: Lief nicht einiges mit Suse-Linux besser, solange Novell ihre Griffel noch nicht im Spiel hatten?
Gruß,
tc
Nein daran kann es eigentlich nicht liegen denn GRE folgt den gleichen Routes wie normales IPv4 auch ! Es sei denn irgendwo wird Protokoll 47 geblockt.
Hier steht nochwas dazu (Kap.5):
http://www.linuxguruz.com/iptables/howto/2.4routing-5.html
Würde GRE nicht routebar sein könnte keine einzige Windows PPTP Verbindung übertragen werden. Linux kann das mit Sicherheit....
Hier steht nochwas dazu (Kap.5):
http://www.linuxguruz.com/iptables/howto/2.4routing-5.html
Würde GRE nicht routebar sein könnte keine einzige Windows PPTP Verbindung übertragen werden. Linux kann das mit Sicherheit....
