Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pptp VPN als Gateway - kein Internet Traffic - CentOS 6

Mitglied: Clero92

Clero92 (Level 1) - Jetzt verbinden

09.12.2013 um 17:39 Uhr, 2657 Aufrufe, 6 Kommentare

Hallo,

ich weiß nicht mehr weiter und hoffe, hier die Lösung finden zu können ^^

"Gegoogelt" hab ich schon zu genüge.

Hier mein Problem: Ich habe einen Root-Server mit statischer IP-Adresse mit OS CentOS 6 von Strato. Ich möchte einen pptp VPN Gateway einrichten (ich weiß, es ist unsicher, aber das ist erstmal nebensächlich). Die Verbindung zw. Client und Server steht, aber es kommt kein Internet Traffic durch.

Server öffentlich: 85.214.106.121
Server virtuell: 10.0.0.1
Client virtuell: 10.0.0.2

Server <---> Client

Connect via pptp ---> ok
Ping Client vom Server über virtuelle Adresse ---> ok
Ping Server vom Client über virtuelle Adresse ---> ok
Ping Server vom Client über öffentliche IP Adresse ---> ok
Ping google.de (oder auch die google.de IP) vom Client ---> fehlerhaft

Die Verbindung steht und ich kann Pakete zw. Client und Server austauschen, aber der Server leitet keinen Traffic zum "Internet" weiter bzw. funktioniert nicht als Gateway.

In der sysctl.conf: net.ipv4.ip_forward = 1

Hier die Routen vom Server:

[root@h2226054 ~]# route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
85.214.64.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 ppp0
169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth0
0.0.0.0 85.214.64.1 0.0.0.0 UG 0 0 0 eth0

Hier die Firewall vom Server:
  1. Generated by iptables-save v1.4.7 on Sun Dec 8 13:17:33 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fail2ban-SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8880 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 106 -j DROP
-A INPUT -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -p tcp -m tcp --dport 5432 -j DROP
-A INPUT -p tcp -m tcp --dport 9008 -j DROP
-A INPUT -p tcp -m tcp --dport 9080 -j DROP
-A INPUT -p udp -m udp --dport 137 -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p tcp -m tcp --dport 139 -j DROP
-A INPUT -p tcp -m tcp --dport 445 -j DROP
-A INPUT -p udp -m udp --dport 1194 -j DROP
-A INPUT -p udp -m udp --dport 53 -j DROP
-A INPUT -p tcp -m tcp --dport 53 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
-A INPUT -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j ACCEPT
-A fail2ban-SSH -s 61.142.106.34/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 177.19.191.2/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 64.251.15.167/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 211.236.246.12/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 61.147.113.165/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 125.140.114.215/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 117.79.91.16/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 58.215.133.51/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 91.232.208.38/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 114.80.226.69/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.189.239.72/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
COMMIT
  1. Completed on Sun Dec 8 13:17:33 2013
  2. Generated by iptables-save v1.4.7 on Sun Dec 8 13:17:33 2013
*mangle
:PREROUTING ACCEPT [44678:7059917]
:INPUT ACCEPT [43543:7000922]
:FORWARD ACCEPT [837:43553]
:OUTPUT ACCEPT [11629857:5734272764]
:POSTROUTING ACCEPT [11629833:5734268141]
COMMIT
  1. Completed on Sun Dec 8 13:17:33 2013
  2. Generated by iptables-save v1.4.7 on Sun Dec 8 13:17:33 2013
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [2:120]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
  1. Completed on Sun Dec 8 13:17:33 2013

Weiß einer weiter?

MfG
Mitglied: aqui
09.12.2013, aktualisiert um 18:00 Uhr
Das generelle PPTP Tutorial (Client Sektion) dazu hast du gelesen ? https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Auffällig ist auch in deinen FW Einstellungen das die Ports für das PPTP Protokoll fehlen:
  • TCP 1723
  • GRE Protokoll mit der IP Nummer 47 (Achtung kein TCP oder UDP 47, GRE ist ein eigenständiges IP Protokoll)
Desweiteren wäre ein Log Auszug des Syslogs oder pptpd Logs sehr sinnvoll und hilfreich um hier weiterzukommen und ohne im freien Fall raten zu müssen.
Bitte warten ..
Mitglied: Clero92
09.12.2013 um 18:12 Uhr
Moin,

den TCP 1723 Port habe ich eig. mit: -A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT geöffnet?!

Habe gerade noch: -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT hinzugefügt, gespeichert und restartet aber noch kein Erfolg.

GRE Protokoll mit der IP Nummer 47: Wie definier ich das genau mit IP-Tables? Dachte das -A INPUT -i eth0 -p gre -j ACCEPT ausreichen?

Hier der Log:

Dec 9 18:07:00 h2226054 pptpd[14765]: MGR: Maximum of 100 connections reduced to 1, not enough IP addresses given
Dec 9 18:07:00 h2226054 pptpd[14766]: MGR: Manager process started
Dec 9 18:07:00 h2226054 pptpd[14766]: MGR: Maximum of 1 connections available
Dec 9 18:07:02 h2226054 pptpd[14786]: MGR: Maximum of 100 connections reduced to 1, not enough IP addresses given
Dec 9 18:07:02 h2226054 pptpd[14787]: MGR: Manager process started
Dec 9 18:07:02 h2226054 pptpd[14787]: MGR: Maximum of 1 connections available
Dec 9 18:07:08 h2226054 pptpd[14789]: CTRL: Client 77.47.120.36 control connection started
Dec 9 18:07:08 h2226054 pptpd[14789]: CTRL: Starting call (launching pppd, opening GRE)
Dec 9 18:07:08 h2226054 pppd[14790]: Plugin /usr/lib64/pptpd/pptpd-logwtmp.so loaded.
Dec 9 18:07:08 h2226054 pppd[14790]: pptpd-logwtmp: $Version$
Dec 9 18:07:08 h2226054 pppd[14790]: pppd 2.4.5 started by root, uid 0
Dec 9 18:07:08 h2226054 pppd[14790]: Using interface ppp0
Dec 9 18:07:08 h2226054 pppd[14790]: Connect: ppp0 <--> /dev/pts/4
Dec 9 18:07:08 h2226054 pptpd[14789]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Dec 9 18:07:10 h2226054 pppd[14790]: Unsupported protocol 'IPv6 Control Protocol' (0x8057) received
Dec 9 18:07:10 h2226054 pppd[14790]: MPPE 128-bit stateless compression enabled
Dec 9 18:07:12 h2226054 pppd[14790]: Cannot determine ethernet address for proxy ARP
Dec 9 18:07:12 h2226054 pppd[14790]: local IP address 10.0.0.1
Dec 9 18:07:12 h2226054 pppd[14790]: remote IP address 10.0.0.2
Dec 9 18:07:12 h2226054 pppd[14790]: pptpd-logwtmp.so ip-up ppp0 clero 77.47.120.36
Dec 9 18:07:14 h2226054 ntpd[3685]: Listen normally on 20 ppp0 10.0.0.1 UDP 123
Dec 9 18:07:14 h2226054 ntpd[3685]: peers refreshed
Dec 9 18:07:45 h2226054 pppd[14790]: LCP terminated by peer (9al<^@<M-Mt^@^@^@^@)
Dec 9 18:07:45 h2226054 pppd[14790]: pptpd-logwtmp.so ip-down ppp0
Dec 9 18:07:45 h2226054 pppd[14790]: Connect time 0.6 minutes.
Dec 9 18:07:45 h2226054 pppd[14790]: Sent 240 bytes, received 14131 bytes.
Dec 9 18:07:45 h2226054 pppd[14790]: Modem hangup
Dec 9 18:07:45 h2226054 pppd[14790]: Connection terminated.
Dec 9 18:07:45 h2226054 pppd[14790]: Exit.
Dec 9 18:07:45 h2226054 pptpd[14789]: CTRL: Client 77.47.120.36 control connection finished
Bitte warten ..
Mitglied: aqui
09.12.2013, aktualisiert um 19:08 Uhr
GRE (Generic Route Encapsulation) ist ein eigenständiges IP Protokoll mit der Nummer 47. Das ist der Tunnel in dem die PPTP Produktivdaten übertragen werden. Bei iptables sieht das dann so aus:
iptables -A INPUT -p gre -j ACCEPT

So mal als globales Kommando. Musst du auf deine Anforderungen anpassen.
Wenn du Dr. Google nach GRE und iptables befragst findest du Tausende von Einträgen dazu ala:
http://nixcraft.com/showthread.php/16840-Linux-IPTables-rules-to-allow- ...
usw. usw.
Bitte warten ..
Mitglied: Clero92
09.12.2013 um 20:56 Uhr
Hab ich ja schon mit: -A INPUT -i eth0 -p gre -j ACCEPT :/
Bitte warten ..
Mitglied: Clero92
16.12.2013 um 10:17 Uhr
Habs raus bekommen

Der Fehler lag an der Reihenfolge der Befehle in IPTABLES:

Falscher Code:

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable

Richitger Code

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j REJECT --reject-with tcp-reset
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp+ -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -j REJECT --reject-with icmp-port-unreachable

Der Drop Befehl kam zu früh, deswegen hat er kein Traffic weitergeleitet.
Bitte warten ..
Mitglied: AndiEoh
20.12.2013 um 22:26 Uhr
Hallo,

der DROP ist immer noch zu früh oder du kannst dir das folgende REJECT sparen. Beides sind finale targets d.h. nach dem Drop oder Reject wird in dieser chain bzw. mit diesem Packet nichts mehr ausgeführt.

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
Server
Internet traffic
gelöst Frage von xani123Server6 Kommentare

Hallo Leute Ich möchte den Internet Datenverkehr analysieren. Gibt es eine Möglichkeit dies auf dem Server oder AD zu ...

Router & Routing

Internet-Traffic soll nicht durch den VPN sondern lokal bleiben

gelöst Frage von ikorblnRouter & Routing5 Kommentare

Hallo Leute, Ich habe auf einem Vigor 2820 VPN aktiviert und die Einrichtung gemäß der Anleitung von Draytek hinbekommen. ...

Router & Routing

VPN mit alternativem Gateway

Frage von niLuxxRouter & Routing5 Kommentare

Hallo zusammen, Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den ...

Router & Routing

VPN - kompletter Traffic! - nur Intern?

Frage von ububehRouter & Routing4 Kommentare

Hallo Gemeinde nach paar Tagen Google-Recherche, weiß ich nicht mehr, nach was ich suchen soll. Ich hoffe, hier bin ...

Neue Wissensbeiträge
Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 15 StundenInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 1 TagAdministrator.de Feedback4 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 1 TagHumor (lol)2 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Sicherheit
Diverse Sicherheitsprobleme aus dem Hause Intel
Tipp von DerWoWusste vor 3 TagenSicherheit

Unter anderem muss man mal wieder die Treiber für Intel HD Graphics updaten

Heiß diskutierte Inhalte
Netzwerkmanagement
Werde dauernd aus dem WLAN geworfen (RouterOS)
gelöst Frage von amdkeksNetzwerkmanagement22 Kommentare

Hallo Zusammen, ich habe gestern ein update meiner Mikrotikgeräte gemacht und habe nun überall Version 6.45.5 drauf. Mikrotik Routerboard, ...

Festplatten, SSD, Raid
Größe der Partition lässt sich nicht ändern mit gparted
Frage von achkleinFestplatten, SSD, Raid17 Kommentare

Hallo, ich habe eine 480GB auf eine 1TB-SSD geklont. Jetzt möchte ich den freien Speicherplatz per gparted an die ...

Windows Installation
Installation und Admin-Rechte
Frage von UserUWWindows Installation16 Kommentare

Annahme: UAC ist aktiv, der User ist "normaler" Benutzer. Eine Installation via setup.exe kann man in der Regel auf ...

Sicherheit
Wie Kann Man eine IT-Notfallhandbuch erstellen für petasan
Frage von 142658Sicherheit14 Kommentare

Hallo Leute ich muss bald meine abschlussprojekt schreiben und brauch dringend hilfe wie man ein IT-Notfallhandbuch erstellen für Petasan(eine ...