IPFire hinter einem VPN Tunnel nicht erreichbar

T

toffer84

Neuling
Thread Starter
Mitglied seit
21.11.2009
Beiträge
13
Hallo,

ich habe folgendes Problem mit meinem IPFire:

Netzconfig:

FritzBox 1 (192.168.10.1) -> IPFire (red0: 192.168.10.254 / green0: 192.168.1.254) -> LAN1 (192.168.1.0/24)

|

ist per FritzBox VPN mit folgendem verbunden

|

FritzBox 2 (192.168.2.1) -> LAN2 (192.168.2.0/24)

Nun habe ich die VPN-Verbindung laufen zwischen beiden Boxen und kann normal pingen und gegenseitig die Web-GUI aufrufen, alles wunderbar.
Nur komme ich leider leider nicht von einem Client aus LAN2 (192.168.2.0/24) auf die Geräte, die hinter dem IPFire im LAN1 (192.168.1.0/24) hängen (NAS, Drucker etc.).

Nach Recherche in diesem Forum und auch in dem IPFire Forum habe ich folgendes probiert:

In die /etc/sysconfig/firewall.local folgendes eingetragen in der "start-sektion":

Code: 
/sbin/iptables -A CUSTOMINPUT -i red0 -s 192.168.10.0/24 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A CUSTOMFORWARD -i red0 -s 192.168.10.0/24 -d 192.168.1.0/24 -j ACCEPT

Leider ohne gewünschten Erfolg, die Geräte im LAN1 bleiben unerreichbar für die Clients aus LAN2.

Danach folgendes probiert, was ich hier im Forum gefunden habe (wiederum in der /etc/sysconfig/firewall.local)

Code: 
/sbin/iptables -A CUSTOMFORWARD -i green0 -o green0 -j ACCEPT
/sbin/iptables -I NEWNOTSYN -i green0 -o green0 -j ACCEPT

Leider auch wieder ohne die gewünschten Resultate.

Hat jemand noch nen Denkanstoß für mich?

Grüße,
Fabian
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hat die Fritzbox 1 eine Route zu 192.168.1/24 via 192.168.10.254?
 
Hallo,

ja, hat sie. Aber auch mit/ohne geht es nicht.

Habe jetzt nochmal die Firewall-Logs durch und folgendes gesehen:

Uhrzeit Verknüpfung Iface Proto Quelle Quell-Port Ziel Ziel-Port
09:07:51 DROP_INPUT red0 TCP 192.168.2.1 80 192.168.10.254 49472
Zum Vergrößern anklicken....

Habe danach mal die Zeile in der /etc/sysconfig/firewall.local danach geändert:

/sbin/iptables -A CUSTOMINPUT -i red0 -s 192.168.2.0/24 -d 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A CUSTOMFORWARD -i red0 -s 192.168.2.0/24 -d 192.168.10.0/24 -j ACCEPT
Zum Vergrößern anklicken....

Aber auch das brachte keine Hilfe, ausser das jetzt nicht mehr in der Log nicht mehr die obrige Zeile drin steht...

Grüße,
Fabian
 
Zuletzt bearbeitet:
Hallo,

Man sollte noch erwähnen, dass IPFire die aktuellste ist. Core 75!

Grüße
Fabian
 
Tja, was man halt so macht. tcpdump auf allen beteiligten Interfaces, alle blockenden Regeln loggen lassen und ab gehts. Dann siehste, wie weit das Paket kommt und wo es hängenbleibt.
 
Hallo,

Sorry aber dass hab ich jetzt überhaupt nicht verstanden...
 
Mach tcpdump -tttni red0 und das gleiche für green0. Schau, wie man logging für iptables einschaltet und versuche dann, Traffic zwischen den Netzen zu senden. Irgendwo muss es ja hängenbleiben.
 
Hallo,

also tcpdump hab ich installiert, wenn ich das für red0 und green0 ausführe läuft mein Laptop extrem heiß (putty Verbindung zum IPFire) ;)

Mit dem IPTables logging komme ich überhaupt nicht weiter...

Grüße,
Fabian

- - - Updated - - -

Hallo,

wenn ich das tcdump für red0 mache und dann von einem Client aus dem 192.168.2.0 Netz zum 192.168.1.0 Netz pingen will kommt dass, wovon ich überhaupt keinen Plan habe:

1390230990.750229 IP 192.168.2.1.80 > 192.168.10.254.51026: Flags [.], seq 6871:8245, ack 433, win 4435, length 1374
1390230990.953490 IP 192.168.10.254.51026 > 192.168.2.1.80: Flags [.], ack 8245, win 257, length 0
1390230991.390873 IP 192.168.2.1.80 > 192.168.10.254.51026: Flags [.], seq 9619:10993, ack 433, win 4435, length 1374
1390230991.393205 IP 192.168.10.254.51026 > 192.168.2.1.80: Flags [.], ack 8245, win 257, options [nop,nop,sack 1 {9619:10993}], length 0
1390230993.030818 bc:05:43:ab:f0:64 > 00:b0:52:00:00:01, ethertype Unknown (0x88e1), length 60:
0x0000: 0114 0000 0000 0000 0000 0000 0000 0000 ................
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
1390230995.354887 IP 192.168.2.1.80 > 192.168.10.254.51026: Flags [.], seq 8245:9619, ack 433, win 4435, length 1374
1390230995.554831 IP 192.168.10.254.51026 > 192.168.2.1.80: Flags [.], ack 10993, win 257, length 0
^C
26 packets captured
26 packets received by filter
0 packets dropped by kernel
Zum Vergrößern anklicken....

In der /var/log/messages steht nichts von den IP das da was gedropped wird... Ich werd noch irre...

Grüße,
Fabian
 
Naja, das ist kein Ping, das ist TCP zum Webinterface der Fritzbox 2.

Rufst du vom IPfire aus das Webinterface der Fritzbox 2 auf oder machst du NAT und das ist in Wirklichkeit ein Client in 192.168.1/24? Das sieht schon mal danach aus, dass prinzipiell zumindest der IPfire die 2. Fritzbox erreicht.

Bzgl. iptables müssen mal andere ran. Ich mache nur PF auf OpenBSD zur Zeit.
 
Zuletzt bearbeitet:
Hallo,

also alle Zugriffe von 192.168.1.0/24 auf das Netz 192.168.2.0/24 funktionieren auch.

Andersrum ist ja das Problem, weil ich von dem 192.168.2.0/24 die Clients im 1er-Netz erreichen muss, NAS, Drucker etc.

Grüße,
Fabian
 
Nochmal die Frage, kam der Zugriff auf die Fritzbox 2 von der IPfire-Kiste direkt oder von 192.168.1/24? Letzteres würde evtl. heißen, dass der IPfire NAT macht, was zumindest auszuschalten wäre.
 
Hallo,

der Zugriff auf den die FritzBox 2 kam von einem Client aus dem 192.168.1/24 (mein Laptop).

Versteht mich nicht falsch, aber ich habe nur noch bis Freitag Zeit das Problem zu lösen, da ich dann kein Zugriff mehr auf den IPFire habe. Und das kann doch auch nicht so schwer sein für nen Fast-laien, wenn ich 2 Feste Netze habe oder? Das ist jetzt nicht böse gemeint ;)
Grüße,
Fabian
 
Ja, der IPfire macht zumindest schon mal NAT, was du irgendwie ausschalten solltest. Da ich mit iptables nix am Hut hab, muss hier aber jmd anders helfen.
 
Hallo,

warum und wie sollte ich das ausschalten?

Grüße,
Fabian
 
Ausschalten, weil es sein kann, dass IPfire bei aktivem NAT eingehende Verbindungen blockt. Das muss nicht so sein, wäre aber der gängigste Fall in 99% aller Fälle, wenn IPfire direkt am Internet hängt, weswegen die Macher von IPfire es wahrscheinlich so eingestellt haben.

Wie das geht -> iptables richtig einstellen oder behelfsweise mal komplett deaktivieren, oder musst du die Netze unbedingt voneinander abschotten?
 
Hallo,

Der IpFire bezieht sein Internet ja von der FB!
Wenn ich das abstelle, öffne ich doch von aussen alle Tore oder?

Grüße
Fabian
 
Zuletzt bearbeitet:
NAT macht die FB schon und den passenden Filter dazu höchstwahrscheinlich auch. Netztechnisch ist dein IPfire komplett im LAN und braucht kein NAT bzw. es schadet sogar, wie du siehst. Wenn du das erste Netz hinter dem IPfire vor dem zweiten Netz sichern musst/willst, dann brauchst du den Filter (ohne NAT), ansonsten kannst du den Filter auch komplett ausschalten, wenn du ihn nicht für andere Zwecke brauchst (Internetzugriff von bestimmten Clients filtern, etc.) So oder so ist das NAT dort unnütz.
 
Hallo,

Hauptzweck des IPFire soll sein, bzw ist es dass ein Rechner bestimmte Seiten (Porn etc.) gesperrt wird. Sprich mein Neffe soll nicht auf solche Seiten surfen können. Daher hab ich den IPFire auch hinzugefügt, vorher hatte ich alles nur durch die beiden FritzBoxen gelöst und da war es kein Problem gegenseitig auf allen Clients in den Netzen zuzugreifen.

Filtern will ich nur den Zugriff aufs Internet im LAN1 hinter dem IPFire (192.168.1.0/24). Das Netz 192.168.2.0/24 an der Fritzbox2 wird eh nur durch mich benutzt und da brauch halt Zugriff auf alles was im LAN1 ist.

Sorry, ich merke schon dass das wohl nicht mit ein paar Zeilen in Linux Config Files gelöst werden kann, was ich eigentlich hoffte. Wahrscheinlich geht das auch so einfach, aber bisher kann mir halt keiner helfen. Auch in anderen Foren nicht.

EDIT:

Und wie ich grad gelesen habe, ist es nicht möglich beim IPFire NAT zu deaktivieren :(

http://forum.ipfire.org/index.php?topic=7742.msg51838#msg51838
Grüße,
Fabian
 
Zuletzt bearbeitet:
toffer84 schrieb:
Und wie ich grad gelesen habe, ist es nicht möglich beim IPFire NAT zu deaktivieren :(
Zum Vergrößern anklicken....

Also das ist ja mal richtig schwach, kann ich mir gar nicht vorstellen - und sowas bei einer OpenSource Firewall, die damit wirbt: "It offers corporate-level network protection". Da kann ja manche Plastekiste aus China mehr.

Dann kannst du nur Ports weiterleiten und musst aus dem zweiten Netz dann halt 192.168.10.254 ansprechen.
 
Oder die seiten einfach mit ner Software blocken. Aber beides kann und wird umgangen werden....
 
Hallo,

Das jeder Schutz umgangen werden kann ist mir klar und irgendwann muss es eh ohne gehen.solange wollte ich das aber noch mit dem IPFire lösen, aber schein wird das nix auf die einfache Art.

Grüße
Fabian
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh