SUSE 9.0 als VPN Router wie GRE Weiterleiten

#0
12.06.2007, 10:58
...neu hier

Beiträge: 8
#1 Hallo ich bin Hotte1 und neu und verzweifelt!
Ich versuche seit geraumer Zeit einen WIN2003 VPN Server hinter einem Linuxrechner der als Router (SUSE 9.0) konfiguriert ist zu erreichen.
Bis zur Abfrage von Benutzername und Kennwort lässt Suse 9.0 mich durch doch dann kommt Fehler 729 "der Remotecomputer antwortet nicht", wenn ich versuche das Protokoll GRE weiterzuleiten sagt Linux mir das er selbiges nicht kennt.
Kann mir jemand helfen????
Ich habe schon sehr viel HowTo´s und Anleitungen ausprobiert jedoch immer mit dem selben Ergebnis.
Wenn ich einen Netgear Router anstelle von Suse 9.0 nehme klappt die Verbindung sofort.
Seitenanfang Seitenende
12.06.2007, 11:02
Member
Avatar Xeper

Beiträge: 5291
#2 Wie sieht deine Netfilter Konfiguration aus, du musst doch nur die entsprechenden Ports weiterleiten, oder?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
12.06.2007, 11:24
Member

Beiträge: 647
#3 Japp, das liegt daran das die Ports nicht entsprechend geforwarded sind.

Das das mit dem Netgear klappt liegt am UPnP, das schaltet und konfiguriert dann automatisch das Port-Forwarding, allerdings ist das ein Dienst der bekanntermassen eine Menge Sicherheitsrisiken birgt und den ich höchstens in einer DMZ einsetzen würde.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
12.06.2007, 18:15
...neu hier

Themenstarter

Beiträge: 8
#4 Ersteinmal vielen Dank für die schnellen Antworten, das ging ja wirklich wie am Telefon!
Das mit den Ports weiterleiten ist schon richtig aber eien PPTP-VPN benötigt auch noch das Protokoll GRE und wenn ich das weiterleiten will sagt mir SUSE 9.0 das er das Protokoll GRE nicht kennt, die Weiterleitung per iptables kann nicht erstellt werden.
Mit der weiterleitung von tcp und udp gibt es keine Probleme, da ich von Linux nur ansatzweise Ahnung habe weiß ich nicht ob der Kernel von SUSE 9.0 das Protokoll schon kennt oder ob da noch etwas installiert werden muß.
Im Netgear ist das UPnP deaktiviert und ich habe die Ports und Protokolle in die Firewall eingetragen.
Seitenanfang Seitenende
12.06.2007, 18:49
Member
Avatar Xeper

Beiträge: 5291
#5

Zitat

Das mit den Ports weiterleiten ist schon richtig aber eien PPTP-VPN benötigt auch noch das Protokoll GRE und wenn ich das weiterleiten will sagt mir SUSE 9.0 das er das Protokoll GRE nicht kennt, die Weiterleitung per iptables kann nicht erstellt werden.
Das ist quasi das selbe in Grün das geht auch übern Netfilter und das Protokoll hat eventuell eine Nummer.
man iptables hilft.

Zitat

Mit der weiterleitung von tcp und udp gibt es keine Probleme, da ich von Linux nur ansatzweise Ahnung habe weiß ich nicht ob der Kernel von SUSE 9.0 das Protokoll schon kennt oder ob da noch etwas installiert werden muß.
Da muss nix installiert werden das geht schon seit Jahren immer nach dem selben Prinzip.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
13.06.2007, 13:00
Member

Beiträge: 647
#6 Läuft auf dem Suse Router die Suse Firewall?

Eventuell fehlt da ein Eintrag der wie folgt gesetzt werden müsste:

# For IP protocols (like GRE for PPTP, or OSPF for routing) you need to set
# FW_SERVICES_*_IP with the protocol name or number (see /etc/protocols)
#
# Format: space separated list of ports, port ranges or well known
# service names (see /etc/services)

Das gleiche dürfte bei Netfilter der Fall sein, falls du das nutzt. Es wäre natürlich auch möglich das Suse 9.0 das Protokoll nicht kennt, kannst du ja unter /etc/protocols nachschauen. Obiger Auszug stammt übrigens von einer SuSe 9.3, da scheints dann also definitiv zu gehen bzw. das Protokoll implementiert zu sein.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
17.06.2007, 10:46
...neu hier

Themenstarter

Beiträge: 8
#7 Sorry das ich mich jetzt erst wieder melde aber die Arbeit frisst einfach die Zeit.
Ich glaube der Lösungsansatz von heptamer666 ist schon nicht schlecht, bei der betreffenden SUSE 9.0 install fehlt jedoch das Verz. etc/protocols deshalb befürchte ich fast das die Versuche reine Zeitverschwendung sind.
Hat vieleicht noch jemand eine Idee???
Schon mal vielen Dank
Seitenanfang Seitenende
17.06.2007, 11:41
Member

Beiträge: 93
#8 Du musst für PPTP doch nur Port 1723 forwarden.
GRE benutzt man (meines Wissens) um bestimmte protokolle darin zu kapseln, die ein device von sich aus nicht weiterleiten kann.
Mit PPTP dürfte es da (meiner Vermutung nach) keine Probleme geben.

Wobei es fraglich ist, ob man PPTP verwenden sollte...

Hol Dir doch nen billigen Netgear VPN Router, kostet ca. 90Eu und macht IPSEC mit AES Verschlüsselung.

Suse9.0 ist auch schon ne Weile her und nicht das, was ich als sicher bezeichen würde und als Internet router verwenden würde....
Das Netgear Teil wird auch weniger Strom fressen als Dein Linux Router, so dass sich die 90€ schnell bezahlt machen. DoS Protection / Content Filter / SPI Firewall sind dann auch mit drin. Was will man mehr?

;-)
Seitenanfang Seitenende
17.06.2007, 13:17
...neu hier

Themenstarter

Beiträge: 8
#9 Hallo spacyfreak,
PPTP läuft defenitiv nicht ohne GRE
(oder ich habs bis jetzt nicht geschafft ;-) )
Einen Netgear Firewal Router habe ich schon, damit funktioniert die ganze Geschichte auch, jedoch können sich die Vertreter dann nicht mehr per FTP auf den Unix-Server verbinden um sich aktuelle Daten zu holen bzw. Aufträge zu übermitteln.
Mit WISE FTP kann ich zwar immer noch auf das Verzeichnis mit IE und FTP jedoch nicht, da sehe ich nur das Stammverzeichnis und keinerlei Daten oder Ordner.
Ich weiß langsam nicht mehr weiter, entweder geht das eine oder das andere aber nicht beides zusammen.

gruß
Hotte1
Seitenanfang Seitenende
17.06.2007, 13:22
Member
Avatar Xeper

Beiträge: 5291
#10

Zitat

GRE benutzt man (meines Wissens) um bestimmte protokolle darin zu kapseln, die ein device von sich aus nicht weiterleiten kann.
Mit PPTP dürfte es da (meiner Vermutung nach) keine Probleme geben.

Wobei es fraglich ist, ob man PPTP verwenden sollte...

Hol Dir doch nen billigen Netgear VPN Router, kostet ca. 90Eu und macht IPSEC mit AES Verschlüsselung
Oder OpenVPN hat doch eh die bessere Implementation.

Zitat

Mit WISE FTP kann ich zwar immer noch auf das Verzeichnis mit IE und FTP jedoch nicht, da sehe ich nur das Stammverzeichnis und keinerlei Daten oder Ordner.
Ich weiß langsam nicht mehr weiter, entweder geht das eine oder das andere aber nicht beides zusammen.
Das hat doch nix damit zu tun sondern damit das IE Schei... ist und das windows ftp (was ist das eigentlich?) ebenfalls.
Sag deinen Klienten mal die sollen sich ordentliche Programme besorgen sonst wird das doch eh nix, schon mal was von active/passive FTP gehört - noch nie oder?

Also ich wird mal sagen hier hat jemand sehr wenig bis keine Ahnung, da ist wohl nen personal HW Router viel besser angebracht als irgendne SuSi Kiste.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
17.06.2007, 13:45
...neu hier

Themenstarter

Beiträge: 8
#11 Schönen Dank Xeper!
Ach ja aktive/passiv FTP ist mir bekannt.

:-(
Seitenanfang Seitenende
17.06.2007, 13:52
Member

Beiträge: 93
#12 Mit dem FTP dürfts keine Probleme mit IE geben, wenn man den entsprechenden haken in den IE Optionen setzt.
Seitenanfang Seitenende
17.06.2007, 14:24
Member
Avatar Xeper

Beiträge: 5291
#13

Zitat

Hotte1 postete
Schönen Dank Xeper!
Ach ja aktive/passiv FTP ist mir bekannt.

:-(
Ja was soll ich sagen, du ziehst falsche Schlüsse weil eine Sache nicht funktioniert und benutzt deswgen PPTP/GRE?
Da fällt mir nichts mehr zu ein, außer das weitaus mehr dazu gehört ein Server administrieren.
Wenn du jetzt den Netgear hast und ein normales vernünftiges Programm funktioniert kannst du ja nicht sagen jetzt schmeiß ich alles über den Haufen und mach mit einer viel komplexeren Operation weiter weil IE da ein Problem hat.
Dann würd ich an deiner Stelle erstmal das Problem mit IE lösen was nichts mit dem anderen zu tuen hat.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
17.06.2007, 14:42
...neu hier

Themenstarter

Beiträge: 8
#14 Das Problem ist nicht der IE und auch kein "normales Programm" sondern ein Programm das bei Win in der DOS Box läuft, eine Datei auf dem FTP Server aufruft um sie dann dem Programm MochaSoft (Windows Client für die AS400)
mitzuteilen, welcher sich dann mir der AS400 verbindet und wie vor Ort die Daten bearbeitet bzw. eingesehen werden können.
Da das Programm von jemandem geschrieben wurde der nach seinen Aussagen von Linux nicht viel weiß, ich widerum den Programmablauf oder was auch immer nicht kenne bleibt mir nur die Möglichkeit die SUSE davonzuüberzeugen PPTP durchzulassen damit ich den WIN2003 Server erreiche (welcher der erste Teil einer neuen FIBU und WaWi ist).
Das ich den Linuxserver/Router nicht aufgesetzt habe und auch die laufenden Dienste nicht kenne und nur weiß das er als Sicherungsserver für die AS400 und noch einige andere Aufgaben (welche auch immer) läuft ist alles natürlich etwas kompliziert.
Normalerweise hätte ich ein Systemupdate gemacht, die Firewall konfiguriert und gut ist.
Der zuständige Mann für die jetzt noch laufende WaWi (Unixsystem auf AS400)
kann oder will mit aber nicht sagen welche Ports und Protokolle er braucht aus desem Grund wurde von Ihm bei Konfiguration von SUSE 9.0 die Firewall einfach deaktiviert.
Ich hoffe ich habe mein Prob ausreichend geschildert, aber eine Rechnung mit sovielen unbekannten ist nicht mein Ding. :-(((


Ach ja ich hatte noch nicht erwähnt das die ganze Sache mit Linux funktioniert nur eben VPN / PPTP nicht und gerade das wird wegen der neuen FiBu nun benötigt da sich die Gegenstelle sonst nicht einloggen kann.

schönen Sonntag noch
Dieser Beitrag wurde am 17.06.2007 um 14:53 Uhr von Hotte1 editiert.
Seitenanfang Seitenende
17.06.2007, 15:19
Moderator
Avatar hevtig

Beiträge: 2307
#15 Die Firewall wurde deaktiviert? Hmm..

Aber zu dem PPTP Problem. Was sagt denn der w2k3 Server im eventlog?
Teste doch einmal ob die VPN Verbindung zustande kommt, wenn du dich VOR den w2k3 Server packst, aber HINTER die LINUX- Kiste.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende