PPTP Server auf Linux Rootserver Defaulroute Probleme

Mitglied: 49110

49110 (Level 1)

23.01.2009, aktualisiert 11:01 Uhr, 5062 Aufrufe, 5 Kommentare

PPTPD läuft, Anmeldung per MS-Chap V2 128 bit funktioniert ebenfalls, Clients können Server pingen, Server kann Clients pingen...Jedoch können die Clients sich nicht untereinander pingen / erreichen, auch das surfen über den PPTP Tunnel ist nicht möglich wenn Standardgateway verwendet wird über den VPN Tunnel.

Beispielhaftes Szenario mit einem Rootserver, einer öffentlichen IP wo die Defaultoute nicht funktioniert:

Bei meinem Rootserver habe ich ein eth interface mit einer festen öffentlichen IP Adresse, diese ist auch extern aus dem internet von überall aus auf der Welt erreichbar und kann deswegen nicht für die Konfiguration des PPTP Servers verwendet werden, hier ein Beispiel. Ihr habt die externe IP Adress 95.95.95.95 unter dieser ist euer Rootserver erreichbar, diese könnt ihr ja schlecht für den PPTP Server verwenden, also verwende ich hier nun z.B. die IP 192.168.0.1 (IP Adresse des PPTP Servers) und den Bereich für die Clients die connecten (192.168.0.2-166). Wie oben beschrieben wählen sich nun zwei Windows XP Cleints ein und bekommen die IP Adressen 192.168.0.2 und 192.168.0.3, beide können den Server 192.168.0.1 pingen, der Server kann auch beide Clients pingen aber untereinander finden sich die zwei Kollegen innerhalb des Tunnels nicht, meine Vermutung, das routing stimmt nicht weil er nicht aus dem 192.168.0.0 netz einfach mal das Gateway für das 95.95.95.1 setzen kann

Beispielhaftes Szenario mit einem Heimnetz, wo die Defaulroute richtig gesetzt wird:

Ihr habt z.B. eine DynDNS Adresse schiessmichtot.dyndns.biz diese zeigt auf euren Router, dort habt ihr GRE und den PPTP Port auf eure Heimische Linuxkiste geforwarded, Diese befindet sich im Netz 192.168.0.0 und hat die IP 192.168.0.2, der Gateway hier ist die 192.168.0.1 also wird im PPTP Server lokale Server IP 192.168.0.2 genommen und die Clients dürfen im bereich 192.168.0.3-166 eine IP belegen. So, nun wählen sich 2 Clients ein, bekommen die 192.168.0.3 und die 192.168.0.4. Beide können den Server pingen, der Server kann die Clients pingen und untereinander können sich die Clients ebenfalls pingen! Hier wird die Defaultroute richtig gesetzt, ich kann auch surfen über den VPN Tunnel wenn ich den Standardgateway des Tunnels nutze.

Meine Frage ist nun, wie kann ich dies auf meinem Rootserver umsetzen? Mit einer Bridge!? Mit iptables und NAT? Ich steh etwas auf dem schlauch wo ich anfangen soll und wie. Ich kann ja nicht einfach auf dem root den Gateway in dem Netzwerk verwenden und irgendeine 95.95.95.0 IP weil diese direkt öffentlich geschaltet ist!
Mitglied: aqui
23.01.2009 um 11:26 Uhr
Du machst einen Denkfehler beim Thema PPTP Server !! Natürlich muss dein PPTP Server über die 95.95.95.95 erreichbar sein, denn sonst könntest du niemals von überallher einen VPN Tunnel auf bauen...logisch ! Wie du ja sicher selber weisst ist das IP Netz 192.168.0.0 /24 ein RFC 1918 IP Netz was im Internet gar nicht geroutet wird bzw. nicht vorhanden ist !!!
Intern vergibt der VPN Server dann 192.168.0.0 /24 als internes LAN. Vermutlich über eine Loopback Adresse bei dir im Server ???

Dazu eine wichtige Anmerkung zum Thema VPN: Es zeugt nicht gerade von Intelligenz und Nachdenken bei der Planung bei der Einrichtung von VPN als internes Netzwerk die 192.168.0.0 /24 zu wählen !!! Sorry...
Grund: Jeder dumme DSL Router vom Blödmarkt vom Grabbeltisch, jedes Hotelnetz und jeder der sich NICHT mit IP Adressen auskennt nimmt als Default dieses Netzwerk.
Bei mindestens jedem 2ten VPN Zugriff stürzt dich das dann in große Probleme, denn wenn du lokal 192.168.0.0 /24 als Netzwerk hast und dann in deinem VPN nochmal das gleiche IP Netz bekommst ist dir auch klar, das damit keine saubere VPN Verbindung funktioniert, da du nun 2mal das gleiche IP Netz am Client hast und kein Client damit umgehen kann

Es wäre also weitaus intelligenter bei einem VPN Netz serverseitig etwas exotischeres als IP Netz aus dem RFC 1918 Pool:
http://de.wikipedia.org/wiki/Private_IP-Adresse
zu verwenden, damit es nicht zu lokalen IP Konflikten im Client Netz kommt !!!
Also solltest du besser sowas verwenden wie 172.28.7.0 /24 mit einer 24 Bit Maske 255.255.255.0 um dem sicher vorzubeugen !!

Vermutlich ist das auch die Ursache deines Problems...doppelte IP Netzemit der 192.168.0.0 !!??
Wenn nicht, dann ist es die Firewall der Clients, die nur IPs aus dem lokalen Netz zulässt, niemals aber IPs aus dem VPN Netz !!
Du musst also die lokale Firewall entsprechend customizen und öffnen für das VPN IP Netz, dann wirds auch was mit der Client zu Client Verbindung !!
Ein route print oder tracert zeigt dir immer die Wege im Netz an !!
Bitte warten ..
Mitglied: 49110
23.01.2009 um 12:04 Uhr
Danke für deine Antwort aqui klar habe ich einen denkfehler sonst würde es ja auch funktionieren, eins vorweg, klar setze ich für das VPN netz nicht die 192.168.0.0 oder 192.168.1.0 ein das war nur ein Beistpiel für eine IP Adresse um mal schnell zu erklären um was es hier überhaupt geht!

RFC 1918 IP Netz hin oder her, folgendes:

Auf dem Rootserver hat das eth0 Interface eine IP die direkt ohne Router oder Firewall im WAN / GAN hängt, sinngemäß ohne Hardware Firewall oder Router, man ist bei einem Rootserver selbst verantwortlich eine Firewall zu betreiben, Grundsätlich steht die Linuxkiste also direkt im Netz, so wie wenn du deinen Linux PC direkt ohne Router per PPOE einwählst. Das ist das Grundprinzip eines Rootservers ;) klar du musst ja auch alles selbst machen können. Noch einen schritt weiter...es gibt ein riesiges Routingproblem wenn ich mich also z.B. mit dem PPTP ins das 95.95.95.0 klinken würde. Weil z.B. auf 95.95.95.2 dein rootserver liegt und sich mein Win XP client jetzt die IP Adresse innerhalb des Tunnels reserviert also könnte ich deinen Root nicht mehr erreichen ;)

Nun zu einem Heimischen Linuxrechner,der hat das eth0 Interface, eben eine IP in einem LAN hinter einem Router und hängt nicht direkt im Internet, also ein Himmelweiter unterschied. Der Router bringt dich mittels Gateway erst ins WAN / GAN. In diesem Sinne hast du beim Rootserver kein LAN sondern hängst direkt im WAN, verstehst du was ich meine?

Ich bin in der Materia schon etwas fitter, traceroute, route unter linux oder auch tracert und route print unter Windows sind mir durchaus gängige Begriffe. Auf den Clients sind alle Firewalls deaktiviert damit eben mittels traceroute und ping getestet werden kann.

Nun, es geht also nach wie vor um die Defaultroute auf dem Rootserver. Ich bin mir sicher dass es hier jemand gibt der mir gleich sagen wird dass dies mittels IPTables machbar ist, oder einer virtuell Konfigurierten eth1 und oder eine bridge...In die Richtung geht das, bin ich mir fast sicher, hab ich aber noch nie gemacht ausser bei VMWare / VBox, so schwierig kanns nicht sein!
Bitte warten ..
Mitglied: aqui
23.01.2009 um 12:20 Uhr
Scheinbar ist dir die Funktion von PPTP nicht wirklich bekannt.
Der Tunnel hat niemals eine Verbindung ins 959595.0er Netz und stellt auch niemals so eine her...da bleibt es bei deinem Denkfehler !! Der auch klar wird, liest man mal dieses:
http://technet.microsoft.com/en-us/library/cc768084.aspx

Die 95.95.95.2 stellt lediglich den Tunnelendpunkt her, hat aber mit dem eigentlichen VPN nichts zu tun. Innerhalb dieses Tunnels vergibt dein Linux Server dann ein RFC 1918 IP Netz, welches auch immer du intelligent auswählst.....
Dein Client bekommt auch eine Interface IP Adresse aus diesem RFC 1918 Bereich, was du auch ganz klar mit ipconfig am Client sehen kannst wenn der Tunnel steht.
Das VPN Netz verhält sich also routingtechnisch wie eine direkte Kabelverbindung zwischen Client und Server ! Logischerweise muss der Server dafür ein Loopback Interface in diesem VPN Netzwerk haben !

Das 95er Netz ist dabei völlig irrelevant und spielt für den Client keine Rolle, denn dahin geht er ja über die normale öffentliche Verbindung sei es DSL oder was auch immer....niemals aber über die VPN Verbindung !!!
Deinen Server kannst du also über die öffentliche verbindung und 95er Adresse erreichen oder über den VPN Tunnel über die Loopback Adresse ! Die Loopback ist ja ein weitere virtueller Adapter.

Stellst du nun den VPN Client so ein das bei aktivem Tunnel das VPN Gateway (sprich der Server) dann sein default Gateway ist schickt der PPTP Client ALLES was nicht für sein lokales Netz am LAN ist in den Tunnel.

Das macht man ja normalerweise nicht, nur wenn man den Internetzugang wirklich komplett über den Tunnel abwickeln will, was ja auch geht...keine Frage.

Logischerweise muss nun natürlich der Server mit IP Tables NAT machen auf sein 95.95.95.2er Interface, damit der Traffic aus dem VPN Tunnel ins Internet kann.
DAS musst du also customizen am Server !! Mit Routen hat das nix zu tun, das das VPN Interface ja direkt am Server hängt und er es folglich also kennt und dafür nicht routen muss !!
Bitte warten ..
Mitglied: 49110
23.01.2009 um 15:39 Uhr
Okey, danke für die infos. Demnach ein NAT mit source 192.168.0.0/24 auf destination 95.95.95.0/24 !?

Meinst es reicht als Beispiel ein:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j DNAT --to-destination 95.95.95.0/24
Bitte warten ..
Mitglied: 49110
29.01.2009 um 11:33 Uhr
Also ich komm kein stück weiter mit den "iptables" hab jetzt 3 tage mit googeln verbracht und irgendwie komm ich nicht zurecht, die tcpdumps aufm root hauen mir kilometerlange logs um die ohren, ich hab ungefähr 10x den Server neu starten müssen (hab zusätzlich noch versucht ne VMWare mit bridge/host/nat zum laufen zu bringen, vergeblich, aber das ist ne andere geschichte)...dabei sind das bestimmt 2 zeilen die reichen würden das es funktioniert....zumindest hab ich es niemals hinbekommen dass sich die PPTP Clients untereinander finden (egal ob ping oder sonst was 2x windows xp OHNE FIREWALL), da scheint mir ebenfalls ein iptables eintrag zu fehlen, wenn ich meine iptables basierende firewall abschalte können sich die pptp clients untereinander auch nicht pingen, die defaultroute funktioniert ebenfalls immer noch nicht ;) also könnte ich innerhalb des tunnels (wenn man den standardgateway des tunnels verwendet) kein google.de oder sonstiges auflösen weil das RFC 1918 IP Netz nicht richtig genattet wird. Hier mal meine IPTables Firewall...: klar fehlen ein paar einträge diese wurden absichtlich entfernt und die IP's sind andere (Zeile 91 bis 98)....:

Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing26 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke23 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Apache Server
Wer installiert mir Jitsi-meet mit Stun- Turn-Server und wartet dies?
gelöst default-userFrageApache Server20 Kommentare

Nachdem ich mit der Audio- und Videoqualität der meisten angebotenen Videokonferenz-Lösungen nicht zufrieden bin, möchte ich einen eigenen Jitsi-meet-Server ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
gelöst StefanKittelFrageSicherheit19 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Ähnliche Inhalte
Ubuntu
Linux Home recovern Permission Problem
gelöst H41mSh1C0RFrageUbuntu9 Kommentare

Aloa in die Runde, zum Thema Backup, darf ich mich jetzt selber an die Nase fassen. Hab das seid ...

Ubuntu

Linux Skript Problem bei automatischer Ausführung

gelöst receiverboxFrageUbuntu17 Kommentare

Hallo, ich habe vermutlich Tomaten auf den Augen. Ein Skript soll Bilder von Überwachungskameras aussoriteren nach Hoch/Querformat. Das Skript ...

Linux

Siemens 840d sl Linux LN Netzlaufwerk Problem

gelöst LordXearoFrageLinux5 Kommentare

Hallo Zusammen, ich habe vielleicht ein schweres Problem verursacht und wollte mir für die weitere Vorgehensweise hier Rat holen. ...

Router & Routing

Kein Netzwerkzugriff über PPTP-Tunnel

Atti58FrageRouter & Routing11 Kommentare

Hallo an das Forum! Ich habe folgendes Szenario: Mein Heimnetzwerk 192.168.0.0 Das Firmennetzwerk 192.168.101.0 - dort stellt eine "Digitalisierungsbox ...

Linux Tools

Arch Linux (PXE) Sound Problem - keine Soundkarte gefunden

gelöst kaalaxFrageLinux Tools7 Kommentare

Hallo Adminz, vor ein paar Tagen habe ich mir einen Arch-Linux PXE-Server gebastelt. Dort habe ich ein weiteres Arch-Linux ...

Linux Desktop

Linux Mint 19.3 Nvidia Treiber Problem bei Warmstart

gelöst CodehunterFrageLinux Desktop6 Kommentare

Hallo! Ich habe einen brandneuen Rechner mit einer Nvidia GT1030 Graka und Nouveau Treiber. An der Graka hängen zwei ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud