49110
Jan 23, 2009, updated at 10:01:42 (UTC)
5380
5
0
PPTP Server auf Linux Rootserver Defaulroute Probleme
PPTPD läuft, Anmeldung per MS-Chap V2 128 bit funktioniert ebenfalls, Clients können Server pingen, Server kann Clients pingen...Jedoch können die Clients sich nicht untereinander pingen / erreichen, auch das surfen über den PPTP Tunnel ist nicht möglich wenn Standardgateway verwendet wird über den VPN Tunnel.
Beispielhaftes Szenario mit einem Rootserver, einer öffentlichen IP wo die Defaultoute nicht funktioniert:
Bei meinem Rootserver habe ich ein eth interface mit einer festen öffentlichen IP Adresse, diese ist auch extern aus dem internet von überall aus auf der Welt erreichbar und kann deswegen nicht für die Konfiguration des PPTP Servers verwendet werden, hier ein Beispiel. Ihr habt die externe IP Adress 95.95.95.95 unter dieser ist euer Rootserver erreichbar, diese könnt ihr ja schlecht für den PPTP Server verwenden, also verwende ich hier nun z.B. die IP 192.168.0.1 (IP Adresse des PPTP Servers) und den Bereich für die Clients die connecten (192.168.0.2-166). Wie oben beschrieben wählen sich nun zwei Windows XP Cleints ein und bekommen die IP Adressen 192.168.0.2 und 192.168.0.3, beide können den Server 192.168.0.1 pingen, der Server kann auch beide Clients pingen aber untereinander finden sich die zwei Kollegen innerhalb des Tunnels nicht, meine Vermutung, das routing stimmt nicht weil er nicht aus dem 192.168.0.0 netz einfach mal das Gateway für das 95.95.95.1 setzen kann
Beispielhaftes Szenario mit einem Heimnetz, wo die Defaulroute richtig gesetzt wird:
Ihr habt z.B. eine DynDNS Adresse schiessmichtot.dyndns.biz diese zeigt auf euren Router, dort habt ihr GRE und den PPTP Port auf eure Heimische Linuxkiste geforwarded, Diese befindet sich im Netz 192.168.0.0 und hat die IP 192.168.0.2, der Gateway hier ist die 192.168.0.1 also wird im PPTP Server lokale Server IP 192.168.0.2 genommen und die Clients dürfen im bereich 192.168.0.3-166 eine IP belegen. So, nun wählen sich 2 Clients ein, bekommen die 192.168.0.3 und die 192.168.0.4. Beide können den Server pingen, der Server kann die Clients pingen und untereinander können sich die Clients ebenfalls pingen! Hier wird die Defaultroute richtig gesetzt, ich kann auch surfen über den VPN Tunnel wenn ich den Standardgateway des Tunnels nutze.
Meine Frage ist nun, wie kann ich dies auf meinem Rootserver umsetzen? Mit einer Bridge!? Mit iptables und NAT? Ich steh etwas auf dem schlauch wo ich anfangen soll und wie. Ich kann ja nicht einfach auf dem root den Gateway in dem Netzwerk verwenden und irgendeine 95.95.95.0 IP weil diese direkt öffentlich geschaltet ist!
Bei meinem Rootserver habe ich ein eth interface mit einer festen öffentlichen IP Adresse, diese ist auch extern aus dem internet von überall aus auf der Welt erreichbar und kann deswegen nicht für die Konfiguration des PPTP Servers verwendet werden, hier ein Beispiel. Ihr habt die externe IP Adress 95.95.95.95 unter dieser ist euer Rootserver erreichbar, diese könnt ihr ja schlecht für den PPTP Server verwenden, also verwende ich hier nun z.B. die IP 192.168.0.1 (IP Adresse des PPTP Servers) und den Bereich für die Clients die connecten (192.168.0.2-166). Wie oben beschrieben wählen sich nun zwei Windows XP Cleints ein und bekommen die IP Adressen 192.168.0.2 und 192.168.0.3, beide können den Server 192.168.0.1 pingen, der Server kann auch beide Clients pingen aber untereinander finden sich die zwei Kollegen innerhalb des Tunnels nicht, meine Vermutung, das routing stimmt nicht weil er nicht aus dem 192.168.0.0 netz einfach mal das Gateway für das 95.95.95.1 setzen kann
Beispielhaftes Szenario mit einem Heimnetz, wo die Defaulroute richtig gesetzt wird:
Ihr habt z.B. eine DynDNS Adresse schiessmichtot.dyndns.biz diese zeigt auf euren Router, dort habt ihr GRE und den PPTP Port auf eure Heimische Linuxkiste geforwarded, Diese befindet sich im Netz 192.168.0.0 und hat die IP 192.168.0.2, der Gateway hier ist die 192.168.0.1 also wird im PPTP Server lokale Server IP 192.168.0.2 genommen und die Clients dürfen im bereich 192.168.0.3-166 eine IP belegen. So, nun wählen sich 2 Clients ein, bekommen die 192.168.0.3 und die 192.168.0.4. Beide können den Server pingen, der Server kann die Clients pingen und untereinander können sich die Clients ebenfalls pingen! Hier wird die Defaultroute richtig gesetzt, ich kann auch surfen über den VPN Tunnel wenn ich den Standardgateway des Tunnels nutze.
Meine Frage ist nun, wie kann ich dies auf meinem Rootserver umsetzen? Mit einer Bridge!? Mit iptables und NAT? Ich steh etwas auf dem schlauch wo ich anfangen soll und wie. Ich kann ja nicht einfach auf dem root den Gateway in dem Netzwerk verwenden und irgendeine 95.95.95.0 IP weil diese direkt öffentlich geschaltet ist!
Please also mark the comments that contributed to the solution of the article
Content-Key: 106920
Url: https://administrator.de/contentid/106920
Printed on: April 23, 2024 at 14:04 o'clock
5 Comments
Latest comment
Du machst einen Denkfehler beim Thema PPTP Server !! Natürlich muss dein PPTP Server über die 95.95.95.95 erreichbar sein, denn sonst könntest du niemals von überallher einen VPN Tunnel auf bauen...logisch ! Wie du ja sicher selber weisst ist das IP Netz 192.168.0.0 /24 ein RFC 1918 IP Netz was im Internet gar nicht geroutet wird bzw. nicht vorhanden ist !!!
Intern vergibt der VPN Server dann 192.168.0.0 /24 als internes LAN. Vermutlich über eine Loopback Adresse bei dir im Server ???
Dazu eine wichtige Anmerkung zum Thema VPN: Es zeugt nicht gerade von Intelligenz und Nachdenken bei der Planung bei der Einrichtung von VPN als internes Netzwerk die 192.168.0.0 /24 zu wählen !!! Sorry...
Grund: Jeder dumme DSL Router vom Blödmarkt vom Grabbeltisch, jedes Hotelnetz und jeder der sich NICHT mit IP Adressen auskennt nimmt als Default dieses Netzwerk.
Bei mindestens jedem 2ten VPN Zugriff stürzt dich das dann in große Probleme, denn wenn du lokal 192.168.0.0 /24 als Netzwerk hast und dann in deinem VPN nochmal das gleiche IP Netz bekommst ist dir auch klar, das damit keine saubere VPN Verbindung funktioniert, da du nun 2mal das gleiche IP Netz am Client hast und kein Client damit umgehen kann
Es wäre also weitaus intelligenter bei einem VPN Netz serverseitig etwas exotischeres als IP Netz aus dem RFC 1918 Pool:
http://de.wikipedia.org/wiki/Private_IP-Adresse
zu verwenden, damit es nicht zu lokalen IP Konflikten im Client Netz kommt !!!
Also solltest du besser sowas verwenden wie 172.28.7.0 /24 mit einer 24 Bit Maske 255.255.255.0 um dem sicher vorzubeugen !!
Vermutlich ist das auch die Ursache deines Problems...doppelte IP Netzemit der 192.168.0.0 !!??
Wenn nicht, dann ist es die Firewall der Clients, die nur IPs aus dem lokalen Netz zulässt, niemals aber IPs aus dem VPN Netz !!
Du musst also die lokale Firewall entsprechend customizen und öffnen für das VPN IP Netz, dann wirds auch was mit der Client zu Client Verbindung !!
Ein route print oder tracert zeigt dir immer die Wege im Netz an !!
Intern vergibt der VPN Server dann 192.168.0.0 /24 als internes LAN. Vermutlich über eine Loopback Adresse bei dir im Server ???
Dazu eine wichtige Anmerkung zum Thema VPN: Es zeugt nicht gerade von Intelligenz und Nachdenken bei der Planung bei der Einrichtung von VPN als internes Netzwerk die 192.168.0.0 /24 zu wählen !!! Sorry...
Grund: Jeder dumme DSL Router vom Blödmarkt vom Grabbeltisch, jedes Hotelnetz und jeder der sich NICHT mit IP Adressen auskennt nimmt als Default dieses Netzwerk.
Bei mindestens jedem 2ten VPN Zugriff stürzt dich das dann in große Probleme, denn wenn du lokal 192.168.0.0 /24 als Netzwerk hast und dann in deinem VPN nochmal das gleiche IP Netz bekommst ist dir auch klar, das damit keine saubere VPN Verbindung funktioniert, da du nun 2mal das gleiche IP Netz am Client hast und kein Client damit umgehen kann
Es wäre also weitaus intelligenter bei einem VPN Netz serverseitig etwas exotischeres als IP Netz aus dem RFC 1918 Pool:
http://de.wikipedia.org/wiki/Private_IP-Adresse
zu verwenden, damit es nicht zu lokalen IP Konflikten im Client Netz kommt !!!
Also solltest du besser sowas verwenden wie 172.28.7.0 /24 mit einer 24 Bit Maske 255.255.255.0 um dem sicher vorzubeugen !!
Vermutlich ist das auch die Ursache deines Problems...doppelte IP Netzemit der 192.168.0.0 !!??
Wenn nicht, dann ist es die Firewall der Clients, die nur IPs aus dem lokalen Netz zulässt, niemals aber IPs aus dem VPN Netz !!
Du musst also die lokale Firewall entsprechend customizen und öffnen für das VPN IP Netz, dann wirds auch was mit der Client zu Client Verbindung !!
Ein route print oder tracert zeigt dir immer die Wege im Netz an !!
Scheinbar ist dir die Funktion von PPTP nicht wirklich bekannt.
Der Tunnel hat niemals eine Verbindung ins 959595.0er Netz und stellt auch niemals so eine her...da bleibt es bei deinem Denkfehler !! Der auch klar wird, liest man mal dieses:
http://technet.microsoft.com/en-us/library/cc768084.aspx
Die 95.95.95.2 stellt lediglich den Tunnelendpunkt her, hat aber mit dem eigentlichen VPN nichts zu tun. Innerhalb dieses Tunnels vergibt dein Linux Server dann ein RFC 1918 IP Netz, welches auch immer du intelligent auswählst.....
Dein Client bekommt auch eine Interface IP Adresse aus diesem RFC 1918 Bereich, was du auch ganz klar mit ipconfig am Client sehen kannst wenn der Tunnel steht.
Das VPN Netz verhält sich also routingtechnisch wie eine direkte Kabelverbindung zwischen Client und Server ! Logischerweise muss der Server dafür ein Loopback Interface in diesem VPN Netzwerk haben !
Das 95er Netz ist dabei völlig irrelevant und spielt für den Client keine Rolle, denn dahin geht er ja über die normale öffentliche Verbindung sei es DSL oder was auch immer....niemals aber über die VPN Verbindung !!!
Deinen Server kannst du also über die öffentliche verbindung und 95er Adresse erreichen oder über den VPN Tunnel über die Loopback Adresse ! Die Loopback ist ja ein weitere virtueller Adapter.
Stellst du nun den VPN Client so ein das bei aktivem Tunnel das VPN Gateway (sprich der Server) dann sein default Gateway ist schickt der PPTP Client ALLES was nicht für sein lokales Netz am LAN ist in den Tunnel.
Das macht man ja normalerweise nicht, nur wenn man den Internetzugang wirklich komplett über den Tunnel abwickeln will, was ja auch geht...keine Frage.
Logischerweise muss nun natürlich der Server mit IP Tables NAT machen auf sein 95.95.95.2er Interface, damit der Traffic aus dem VPN Tunnel ins Internet kann.
DAS musst du also customizen am Server !! Mit Routen hat das nix zu tun, das das VPN Interface ja direkt am Server hängt und er es folglich also kennt und dafür nicht routen muss !!
Der Tunnel hat niemals eine Verbindung ins 959595.0er Netz und stellt auch niemals so eine her...da bleibt es bei deinem Denkfehler !! Der auch klar wird, liest man mal dieses:
http://technet.microsoft.com/en-us/library/cc768084.aspx
Die 95.95.95.2 stellt lediglich den Tunnelendpunkt her, hat aber mit dem eigentlichen VPN nichts zu tun. Innerhalb dieses Tunnels vergibt dein Linux Server dann ein RFC 1918 IP Netz, welches auch immer du intelligent auswählst.....
Dein Client bekommt auch eine Interface IP Adresse aus diesem RFC 1918 Bereich, was du auch ganz klar mit ipconfig am Client sehen kannst wenn der Tunnel steht.
Das VPN Netz verhält sich also routingtechnisch wie eine direkte Kabelverbindung zwischen Client und Server ! Logischerweise muss der Server dafür ein Loopback Interface in diesem VPN Netzwerk haben !
Das 95er Netz ist dabei völlig irrelevant und spielt für den Client keine Rolle, denn dahin geht er ja über die normale öffentliche Verbindung sei es DSL oder was auch immer....niemals aber über die VPN Verbindung !!!
Deinen Server kannst du also über die öffentliche verbindung und 95er Adresse erreichen oder über den VPN Tunnel über die Loopback Adresse ! Die Loopback ist ja ein weitere virtueller Adapter.
Stellst du nun den VPN Client so ein das bei aktivem Tunnel das VPN Gateway (sprich der Server) dann sein default Gateway ist schickt der PPTP Client ALLES was nicht für sein lokales Netz am LAN ist in den Tunnel.
Das macht man ja normalerweise nicht, nur wenn man den Internetzugang wirklich komplett über den Tunnel abwickeln will, was ja auch geht...keine Frage.
Logischerweise muss nun natürlich der Server mit IP Tables NAT machen auf sein 95.95.95.2er Interface, damit der Traffic aus dem VPN Tunnel ins Internet kann.
DAS musst du also customizen am Server !! Mit Routen hat das nix zu tun, das das VPN Interface ja direkt am Server hängt und er es folglich also kennt und dafür nicht routen muss !!