• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSeFirewall2 VPN Routing

cosmox

Newbie
Hallo Leute,

bräuchte ein wenig Rat bei folgender Problemstellung:
Auf meinem Router habe ich Suse9.0 mit aktivierter SuseFirewall2 laufen.
Der Rechner besitzt zwei Interfaces (extern-eth1 mit fester IP, intern eth0 192.168.0.0/24)
Bis hierher hat alles wunderbar geklappt, Firewall wurde eingerichtet, das interne Netz maskiert etc.
Nun soll auf der Firewall (jaja ich weiß nicht optimal geht aber nicht anderst)
ein pptpd Daemon laufen der es ermöglicht das externe Windows Clients sich über ppp ins interne Netz verbinden können.
Einrichtung des pptpd, ppp options etc. hat wunderbar geklappt. Eine Einwahl ist möglich. Allerdings habe ich momentan nur eine Punkt zu Punkt zwischen VPN Client und VPN Gateway(Firewall) Alle Rechner aus dem internen Netz sind nicht erreichbar.

Kurzer Auszug:
/etc/pptpd.conf
localip 192.168.0.140
remoteip 192.168.0.135-139


ppp0 habe ich als externes Device in /etc/sysconfig/SuseFirewall2 angegeben, bei FW_MASQ_DEV nur eth1 eingetragen, ich möchte ja nicht das das interne Netz für das Interface ppp0 maskiert wird.

Natürlich verwirft mir die Susefirewall alle Packet mit einer privaten IP auf dem externen Device, deshalb habe ich folgende Änderung /etc/sysconfig/scripts//SuSEfirewall2-custom
fw_custom_before_antispoofing() {
iptables -A input_ext -i ppp0 -o eth0 -s 192.168.0.135 -j ACCEPT
true
}

aktiviert. Nützt aber nichts jetzt verwirft die Firewall alle Pakete mit ILLEGAL TARGET oder ILLEGAL ROUTING.

Wenn ich das Routing bei deaktivierter Firewall aktiviere (FW_STOP_KEEP_ROUTING_STATE="yes") funktioniert alles wie gewünscht.

Ich möchte nur ungern meine eigenen IPTABLES Regeln schreiben sondern die SUSEFirewall weiterhin verwenden, auch möchte ich ein möglichst kleines Loch in die Firewall reissen.

Wir habt Ihr das ganze gelöst ?
Jemand eine Idee ?

Besten Dank & Grüße
Cosmox
 

saxxon

Newbie
hast du schon eine lösung dafür bekommen.

Wenn jemand eine hat wäre ich sehr interessiert !

Danke,

Saxxon
 

Dragon

Newbie
Mit welcher Vpn-Implementierung hast du es eingerichtet?

Bei FreeS/WAN wird eine zusätzliche Netzwerkschnittstelle eingerichtet. Diese must du in dem Script SuSEfirewall2 unter externe Schnittstelle eintragen. Dann könnte es klappen.
 

saxxon

Newbie
pptp das setz auf ppp auf und erstellt ebenfalls einen eigenen adapter ppp0, ppp1, ppp2 usw ....

ich steh jetzt noch vor einem anderen problem, jedesmal wenn sich ein neuer benutzer per vpn connected muss ich die firewall rules neu laden ... ist das normal ?

Was kann man tun ?

SAXXON
 
Oben