Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pptp VPN als Gateway - kein Internet Traffic - CentOS 6

Mitglied: Clero92

Clero92 (Level 1) - Jetzt verbinden

09.12.2013 um 17:39 Uhr, 2597 Aufrufe, 6 Kommentare

Hallo,

ich weiß nicht mehr weiter und hoffe, hier die Lösung finden zu können ^^

"Gegoogelt" hab ich schon zu genüge.

Hier mein Problem: Ich habe einen Root-Server mit statischer IP-Adresse mit OS CentOS 6 von Strato. Ich möchte einen pptp VPN Gateway einrichten (ich weiß, es ist unsicher, aber das ist erstmal nebensächlich). Die Verbindung zw. Client und Server steht, aber es kommt kein Internet Traffic durch.

Server öffentlich: 85.214.106.121
Server virtuell: 10.0.0.1
Client virtuell: 10.0.0.2

Server <---> Client

Connect via pptp ---> ok
Ping Client vom Server über virtuelle Adresse ---> ok
Ping Server vom Client über virtuelle Adresse ---> ok
Ping Server vom Client über öffentliche IP Adresse ---> ok
Ping google.de (oder auch die google.de IP) vom Client ---> fehlerhaft

Die Verbindung steht und ich kann Pakete zw. Client und Server austauschen, aber der Server leitet keinen Traffic zum "Internet" weiter bzw. funktioniert nicht als Gateway.

In der sysctl.conf: net.ipv4.ip_forward = 1

Hier die Routen vom Server:

[root@h2226054 ~]# route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
85.214.64.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 ppp0
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth0
0.0.0.0 85.214.64.1 0.0.0.0 UG 0 0 0 eth0

Hier die Firewall vom Server:
  1. Generated by iptables-save v1.4.7 on Sun Dec 8 13:17:33 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8880 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 106 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 5432 -j DROP
-A INPUT -p tcp -m tcp --dport 9008 -j DROP
-A INPUT -p tcp -m tcp --dport 9080 -j DROP
-A INPUT -p udp -m udp --dport 137 -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p tcp -m tcp --dport 139 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p udp -m udp --dport 1194 -j DROP
-A INPUT -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 53 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
-A INPUT -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j ACCEPT
-A fail2ban-SSH -s 61.142.106.34/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 177.19.191.2/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 64.251.15.167/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 211.236.246.12/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 61.147.113.165/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 125.140.114.215/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 117.79.91.16/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 58.215.133.51/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 91.232.208.38/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 114.80.226.69/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.189.239.72/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
COMMIT
  1. Completed on Sun Dec 8 13:17:33 2013
  2. Generated by iptables-save v1.4.7 on Sun Dec 8 13:17:33 2013
*mangle
:PREROUTING ACCEPT [44678:7059917]
:INPUT ACCEPT [43543:7000922]
:FORWARD ACCEPT [837:43553]
:OUTPUT ACCEPT [11629857:5734272764]
:POSTROUTING ACCEPT [11629833:5734268141]
COMMIT
  1. Completed on Sun Dec 8 13:17:33 2013
  2. Generated by iptables-save v1.4.7 on Sun Dec 8 13:17:33 2013
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [2:120]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
  1. Completed on Sun Dec 8 13:17:33 2013

Weiß einer weiter?

MfG
Mitglied: aqui
09.12.2013, aktualisiert um 18:00 Uhr
Das generelle PPTP Tutorial (Client Sektion) dazu hast du gelesen ? https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Auffällig ist auch in deinen FW Einstellungen das die Ports für das PPTP Protokoll fehlen:
  • TCP 1723
  • GRE Protokoll mit der IP Nummer 47 (Achtung kein TCP oder UDP 47, GRE ist ein eigenständiges IP Protokoll)
Desweiteren wäre ein Log Auszug des Syslogs oder pptpd Logs sehr sinnvoll und hilfreich um hier weiterzukommen und ohne im freien Fall raten zu müssen.
Bitte warten ..
Mitglied: Clero92
09.12.2013 um 18:12 Uhr
Moin,

den TCP 1723 Port habe ich eig. mit: -A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT geöffnet?!

Habe gerade noch: -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT hinzugefügt, gespeichert und restartet aber noch kein Erfolg.

GRE Protokoll mit der IP Nummer 47: Wie definier ich das genau mit IP-Tables? Dachte das -A INPUT -i eth0 -p gre -j ACCEPT ausreichen?

Hier der Log:

Dec 9 18:07:00 h2226054 pptpd[14765]: MGR: Maximum of 100 connections reduced to 1, not enough IP addresses given
Dec 9 18:07:00 h2226054 pptpd[14766]: MGR: Manager process started
Dec 9 18:07:00 h2226054 pptpd[14766]: MGR: Maximum of 1 connections available
Dec 9 18:07:02 h2226054 pptpd[14786]: MGR: Maximum of 100 connections reduced to 1, not enough IP addresses given
Dec 9 18:07:02 h2226054 pptpd[14787]: MGR: Manager process started
Dec 9 18:07:02 h2226054 pptpd[14787]: MGR: Maximum of 1 connections available
Dec 9 18:07:08 h2226054 pptpd[14789]: CTRL: Client 77.47.120.36 control connection started
Dec 9 18:07:08 h2226054 pptpd[14789]: CTRL: Starting call (launching pppd, opening GRE)
Dec 9 18:07:08 h2226054 pppd[14790]: Plugin /usr/lib64/pptpd/pptpd-logwtmp.so loaded.
Dec 9 18:07:08 h2226054 pppd[14790]: pptpd-logwtmp: $Version$
Dec 9 18:07:08 h2226054 pppd[14790]: pppd 2.4.5 started by root, uid 0
Dec 9 18:07:08 h2226054 pppd[14790]: Using interface ppp0
Dec 9 18:07:08 h2226054 pppd[14790]: Connect: ppp0 <--> /dev/pts/4
Dec 9 18:07:08 h2226054 pptpd[14789]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Dec 9 18:07:10 h2226054 pppd[14790]: Unsupported protocol 'IPv6 Control Protocol' (0x8057) received
Dec 9 18:07:10 h2226054 pppd[14790]: MPPE 128-bit stateless compression enabled
Dec 9 18:07:12 h2226054 pppd[14790]: Cannot determine ethernet address for proxy ARP
Dec 9 18:07:12 h2226054 pppd[14790]: local IP address 10.0.0.1
Dec 9 18:07:12 h2226054 pppd[14790]: remote IP address 10.0.0.2
Dec 9 18:07:12 h2226054 pppd[14790]: pptpd-logwtmp.so ip-up ppp0 clero 77.47.120.36
Dec 9 18:07:14 h2226054 ntpd[3685]: Listen normally on 20 ppp0 10.0.0.1 UDP 123
Dec 9 18:07:14 h2226054 ntpd[3685]: peers refreshed
Dec 9 18:07:45 h2226054 pppd[14790]: LCP terminated by peer (9al<^@<M-Mt^@^@^@^@)
Dec 9 18:07:45 h2226054 pppd[14790]: pptpd-logwtmp.so ip-down ppp0
Dec 9 18:07:45 h2226054 pppd[14790]: Connect time 0.6 minutes.
Dec 9 18:07:45 h2226054 pppd[14790]: Sent 240 bytes, received 14131 bytes.
Dec 9 18:07:45 h2226054 pppd[14790]: Modem hangup
Dec 9 18:07:45 h2226054 pppd[14790]: Connection terminated.
Dec 9 18:07:45 h2226054 pppd[14790]: Exit.
Dec 9 18:07:45 h2226054 pptpd[14789]: CTRL: Client 77.47.120.36 control connection finished
Bitte warten ..
Mitglied: aqui
09.12.2013, aktualisiert um 19:08 Uhr
GRE (Generic Route Encapsulation) ist ein eigenständiges IP Protokoll mit der Nummer 47. Das ist der Tunnel in dem die PPTP Produktivdaten übertragen werden. Bei iptables sieht das dann so aus:
iptables -A INPUT -p gre -j ACCEPT

So mal als globales Kommando. Musst du auf deine Anforderungen anpassen.
Wenn du Dr. Google nach GRE und iptables befragst findest du Tausende von Einträgen dazu ala:
http://nixcraft.com/showthread.php/16840-Linux-IPTables-rules-to-allow- ...
usw. usw.
Bitte warten ..
Mitglied: Clero92
09.12.2013 um 20:56 Uhr
Hab ich ja schon mit: -A INPUT -i eth0 -p gre -j ACCEPT :/
Bitte warten ..
Mitglied: Clero92
16.12.2013 um 10:17 Uhr
Habs raus bekommen

Der Fehler lag an der Reihenfolge der Befehle in IPTABLES:

Falscher Code:

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable

Richitger Code

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -j REJECT --reject-with icmp-port-unreachable

Der Drop Befehl kam zu früh, deswegen hat er kein Traffic weitergeleitet.
Bitte warten ..
Mitglied: AndiEoh
20.12.2013 um 22:26 Uhr
Hallo,

der DROP ist immer noch zu früh oder du kannst dir das folgende REJECT sparen. Beides sind finale targets d.h. nach dem Drop oder Reject wird in dieser chain bzw. mit diesem Packet nichts mehr ausgeführt.

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
Server
Internet traffic
gelöst Frage von xani123Server6 Kommentare

Hallo Leute Ich möchte den Internet Datenverkehr analysieren. Gibt es eine Möglichkeit dies auf dem Server oder AD zu ...

Router & Routing

PPTP VPN . 2 Netzwerke via Internet verbinden

Frage von sunnyatRouter & Routing5 Kommentare

Ich bitte um Hilfe! Folgende Konstellation: ModemRouter IP 192.168.1.141 und dahinter einige Rechner und Router. Als VPN Server ist ...

Hyper-V

CentOS 6 Linux auf HyperV - Festplatten Größe erweitern

Anleitung von rzlbrnftHyper-V1 Kommentar

Folgende Problemstellung musste ich lösen: Unsere CentOS 6 Installation die für Nagios/Nagvis/Centreon gedacht war, wurde auf einer 10 GB ...

Router & Routing

VPN Traffic auf VPN Server analysieren

gelöst Frage von AndroxinRouter & Routing2 Kommentare

Moin, ich habe einen VPN Tunnel zwischen Windows Endgeräten und einem Windows Server 2012. Der Windows Server dient dabei ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 17 StundenWindows 106 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 1 TagSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 4 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 4 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware21 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Windows Server
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Frage von killtecWindows Server17 Kommentare

Hallo, ich möchte gerne folgendes Realisieren: Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...

Microsoft Office
Videodateien auf Windows Server 2008 R2 öffnen schlägt fehl
Frage von SchroediMicrosoft Office14 Kommentare

Hallo zusammen, wir haben das Problem das embedded Videos in PowerPoint (O365) auf unserer Citrix Farm (6.5) nicht abgespielt ...