Hallo Leute!
Vor über ein Jahr habe ich im Büro ein VPN eingerichtet. Bis heute hat es ganz gut funktioniert. Nun seit Donnerstag haben wir im Büro einen neuen Server, den wir auch mal per VPN erreichen müssen.
Per SSH, PING und Web geht es problemlos, allerdings nicht die Samba-Shares...
Ich denke, schuldig sind folgende Zeile auf dem VPN-Server:
/sbin/iptables -t nat -A VPN -s 10.100.0.2 -p tcp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca" /sbin/iptables -t nat -A VPN -s 10.100.0.2 -p udp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca"
Jeder Nutzer bei uns hat so eine Zeile, je nachdem, in welchem Netz er sich angemeldet ist. Hier wird also gesagt, dass die SMB-Anfragen an die IP 192.168.2.1 (der Hauptserver im Büro) weitergeleitet werden müssen. Aber das hat als Konsequenz, dass der neue Server nicht erreicht werden kann...
Aber ohne diese Zeile kann ich auch den Hauptserver nicht erreichen.
Also, hier habe ich entweder ein grobes Fehler gemacht, oder fehlt ein Teil.
Kann jemand mir helfen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de wrote:
Per SSH, PING und Web geht es problemlos, allerdings nicht die Samba-Shares...
Ich denke, schuldig sind folgende Zeile auf dem VPN-Server:
/sbin/iptables -t nat -A VPN -s 10.100.0.2 -p tcp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca" /sbin/iptables -t nat -A VPN -s 10.100.0.2 -p udp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca"
Jeder Nutzer bei uns hat so eine Zeile, je nachdem, in welchem Netz er sich angemeldet ist. Hier wird also gesagt, dass die SMB-Anfragen an die IP 192.168.2.1 (der Hauptserver im Büro) weitergeleitet werden müssen. Aber das hat als Konsequenz, dass der neue Server nicht erreicht werden kann...
Aber ohne diese Zeile kann ich auch den Hauptserver nicht erreichen.
Also, hier habe ich entweder ein grobes Fehler gemacht, oder fehlt ein Teil.
Nur zur Sicherheit: was passiert weiter mit der Chain VPN?
Andreas
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Nur zur Sicherheit: was passiert weiter mit der Chain VPN?
Richtig! Ich habe diese Information vergessen:
VORHER ist noch diese Zeile:
/sbin/iptables -t nat -A PREROUTING -j VPN -m comment --comment "VPN-Zugriffe"
Anderes nicht, außer für jeden Nutzer eine Zeile wie die zwei der vorigen E-Mail, mit der entsprechenden IP und Netz.
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de wrote:
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Nur zur Sicherheit: was passiert weiter mit der Chain VPN?
Richtig! Ich habe diese Information vergessen:
VORHER ist noch diese Zeile:
/sbin/iptables -t nat -A PREROUTING -j VPN -m comment --comment "VPN-Zugriffe"
In FORWARD müßte IIRC auch noch was rein, es sei denn, du hast da ACCEPT.
Andreas
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Luca Bertoncello lucabert@lucabert.de wrote:
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Nur zur Sicherheit: was passiert weiter mit der Chain VPN?
Richtig! Ich habe diese Information vergessen:
VORHER ist noch diese Zeile:
/sbin/iptables -t nat -A PREROUTING -j VPN -m comment --comment "VPN-Zugriffe"
In FORWARD müßte IIRC auch noch was rein, es sei denn, du hast da ACCEPT.
Es tut mir Leid, heute will mein Kopf irgendwie nicht... Also, in FORWARD habe ich KEIN ACCEPT. Was soll diese IIRC sein?
Würdest du mir ein Beispiel geben? Ich muss aber bestimmt noch die Regel für die Chain VPN ändern. Kannst du mir sagen wie?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de wrote:
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Luca Bertoncello lucabert@lucabert.de wrote:
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Nur zur Sicherheit: was passiert weiter mit der Chain VPN?
Richtig! Ich habe diese Information vergessen:
VORHER ist noch diese Zeile:
/sbin/iptables -t nat -A PREROUTING -j VPN -m comment --comment "VPN-Zugriffe"
In FORWARD müßte IIRC auch noch was rein, es sei denn, du hast da ACCEPT.
Es tut mir Leid, heute will mein Kopf irgendwie nicht... Also, in FORWARD habe ich KEIN ACCEPT. Was soll diese IIRC sein?
If I Remember Correctly. Ist Dein Googel kapott? ;-)
Würdest du mir ein Beispiel geben? Ich muss aber bestimmt noch die Regel für die Chain VPN ändern. Kannst du mir sagen wie?
Ich denke, die paßt. Aber die Pakete gehen auch durch FORWARD.
http://forums.gentoo.org/viewtopic-t-607580-view-next.html?sid=7359eb2c83dd1...
Wenn Du da kein ACCEPT hast und keine Regeln für diese Pakete dann bleiben die da drin hängen. Ich denk mal, das ist Dein Problem.
Andreas
Andreas Kretschmer akretschmer@spamfence.net schrieb:
If I Remember Correctly. Ist Dein Googel kapott? ;-)
Google vielleicht nicht, aber heute mein Kopf wahrscheinlich ja... :) Übrigens: ich kann mich NICHT eingewöhnen, in einem deutschen Satz englische Begriffe zu nutzen, deswegen dachte ich, dass IIRC irgendein Befehl oder Einstellung war...
Würdest du mir ein Beispiel geben? Ich muss aber bestimmt noch die Regel für die Chain VPN ändern. Kannst du mir sagen wie?
Ich denke, die paßt. Aber die Pakete gehen auch durch FORWARD.
http://forums.gentoo.org/viewtopic-t-607580-view-next.html?sid=7359eb2c83dd1...
Wenn Du da kein ACCEPT hast und keine Regeln für diese Pakete dann bleiben die da drin hängen. Ich denk mal, das ist Dein Problem.
OK, ich werde morgen mir das angucken!
Besten Dank Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de wrote:
Übrigens: ich kann mich NICHT eingewöhnen, in einem deutschen Satz englische Begriffe zu nutzen, deswegen dachte ich, dass IIRC irgendein Befehl oder
OK, ich werde morgen mir das angucken!
Wo kommt eigentlich das "OK" her? ;-)
Andreas
Hi,
auf die Gefahr hin dass diese Frage ernst gemeint war:
On Sunday, Sunday 02 February 2014 at 11:53, Andreas Kretschmer wrote:
Wo kommt eigentlich das "OK" her? ;-)
Die Linguisten sind sich da nicht ganz einig: https://en.wikipedia.org/wiki/List_of_proposed_etymologies_of_OK
Relativ sicher ist man sich offensichtlich dass "OK" oder die in englischsprachiger Literatur geläufigere Schreibweise "okay" aus den USA des 19. Jahrhunderts kommt. Wie sie dort hin kam ist allerdings weniger klar. Ein paar Theorien:
a) Die Presse in Bosten hatte die dumme Angewohnheit schlecht zu schreiben (so etwa wie die SZ, nur mit Absicht): OK soll eine Abkürzung für "Oll Korrect" sein (Vorläufer: OW - Oll Wright).
b) es könnte aus einer der Indianischen Sprachen stammen, z.B. die Bibelübersetzung in Choctaw benutzt sehr häufig "okeh" - "so ist es" (bei uns eher bekannt als das hebräische "Amen")
c) Es könnte von den schottischen Einwanderern stammen: "och aye" ("ach ja" oder etwas freier übersetz: "jo, kann man so machen"), da Amis kein "ch" sprechen können wird daraus schnell ein "ock aye".
d) ...griechisch: "ola kala" - "alles in Ordnung"
Etcetera blah blah..
"If I was god, I would recompile penguin with --enable-fly." (unknown)
Wenn ich schon rumkrümel... ;-)
Dumme Frage: was will ein Pinguin mit einer eingeschalteten Fliege?
"(the) fly" - die Fliege; "to fly" - fliegen als Verb, nur in direkter Verbindung mit einem Pronom, wie "I fly", "you fly" oder einer Präposition "to fly"; "flying" - Verlaufsform von fliegen oder Gerundium "das Fliegen"
korrekt wäre also "--enable-flying" - das Fliegen ermöglichen, oder "--enable-to-fly" - es ermöglichen zu fliegen
Stöhn, was bin ich heute wieder pedantisch! ;-)
Konrad
Am Montag, 3. Februar 2014, 09:23:02 schrieb Konrad Rosenbaum:
Hi,
auf die Gefahr hin dass diese Frage ernst gemeint war:
On Sunday, Sunday 02 February 2014 at 11:53, Andreas Kretschmer wrote:
Wo kommt eigentlich das "OK" her? ;-)
Die Linguisten sind sich da nicht ganz einig: https://en.wikipedia.org/wiki/List_of_proposed_etymologies_of_OK
Relativ sicher ist man sich offensichtlich dass "OK" oder die in englischsprachiger Literatur geläufigere Schreibweise "okay" aus den USA des 19. Jahrhunderts kommt. Wie sie dort hin kam ist allerdings weniger klar. Ein paar Theorien:
a) Die Presse in Bosten hatte die dumme Angewohnheit schlecht zu schreiben (so etwa wie die SZ, nur mit Absicht): OK soll eine Abkürzung für "Oll Korrect" sein (Vorläufer: OW - Oll Wright).
b) es könnte aus einer der Indianischen Sprachen stammen, z.B. die Bibelübersetzung in Choctaw benutzt sehr häufig "okeh" - "so ist es" (bei uns eher bekannt als das hebräische "Amen")
c) Es könnte von den schottischen Einwanderern stammen: "och aye" ("ach ja" oder etwas freier übersetz: "jo, kann man so machen"), da Amis kein "ch" sprechen können wird daraus schnell ein "ock aye".
d) ...griechisch: "ola kala" - "alles in Ordnung"
Etcetera blah blah..
"If I was god, I would recompile penguin with --enable-fly." (unknown)
Wenn ich schon rumkrümel... ;-)
Dumme Frage: was will ein Pinguin mit einer eingeschalteten Fliege?
"(the) fly" - die Fliege; "to fly" - fliegen als Verb, nur in direkter Verbindung mit einem Pronom, wie "I fly", "you fly" oder einer Präposition "to fly"; "flying" - Verlaufsform von fliegen oder Gerundium "das Fliegen"
korrekt wäre also "--enable-flying" - das Fliegen ermöglichen, oder "--enable-to-fly" - es ermöglichen zu fliegen
Stöhn, was bin ich heute wieder pedantisch! ;-)
...
Konrad
Meine Deutung: vom Boxen entweder du bist KO (knocked out) oder eben nicht (OK).
Bernhard
Andreas Kretschmer akretschmer@spamfence.net schrieb:
Ich denke, die paßt. Aber die Pakete gehen auch durch FORWARD.
http://forums.gentoo.org/viewtopic-t-607580-view-next.html?sid=7359eb2c83dd1...
So, ich habe das Problem gelöst, indem ich für jeden Nutzer zwei Regel (eigentlich vier, für TCP und UDP) habe:
/sbin/iptables -t nat -A VPN -s 10.100.0.2 -d megatron.dd.frischergehts.net -p tcp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.10 -m comment --comment "Samba vom VPN Luca (Megatron)" /sbin/iptables -t nat -A VPN -s 10.100.0.2 -d megatron.dd.frischergehts.net -p udp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.10 -m comment --comment "Samba vom VPN Luca (Megatron)" /sbin/iptables -t nat -A VPN -s 10.100.0.2 -d skynet.dd.frischergehts.net -p tcp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca (Skynet)" /sbin/iptables -t nat -A VPN -s 10.100.0.2 -d skynet.dd.frischergehts.net -p udp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca (Skynet)"
Und plötzlich funktioniert alles, auf dem Hautpserver (Skynet) sowie auf dem Entwicklungsserver (Megatron).
Grüße Luca Bertoncello (lucabert@lucabert.de)
Hallo!
Am Sonntag 02 Februar 2014 schrieb Luca Bertoncello:
/sbin/iptables -t nat -A VPN -s 10.100.0.2 -p tcp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca" /sbin/iptables -t nat -A VPN -s 10.100.0.2 -p udp -m multiport --dports 135,137,138,139,445 -j DNAT --to-destination 192.168.2.1 -m comment --comment "Samba vom VPN Luca"
Diese Zeilen scheinen in Ordnung. Bleiben zwei Stellen, die man prüfen muss: 1. Sind die Zeilen an der richtigen Stelle, also VOR der allgemeinen Regel?
2. Hat der antwortende Server das richtige Routing, so dass die Antworten auch an den Firewall-Rechner gehen und von diesem "demaskiert" und an den Absender zurück gehen?
MfG Reiner Klaproth
Reiner Klaproth klaproth@online.de schrieb:
Hallo
- Hat der antwortende Server das richtige Routing, so dass die Antworten
auch an den Firewall-Rechner gehen und von diesem "demaskiert" und an den Absender zurück gehen?
Naja, im lokalen Netz funktioniert alles und dort ist auch ein Routing, denn der Hauptserver befindet sich in einem Netz für sich und die Leute sind in unterschiedlichen Netze.
Der neue Server ist in dem Netz "Programmierer", das ich ansonsten per VPN problemlos erreichen kann. Wie gesagt, PING, SSH und HTTP funktionieren problemlos.
Aber Samba ist immer ein Problem für sich, deswegen bin ich auch nicht mehr ganz sicher, wo ich das Problem suchen muss...
Danke Luca Bertoncello (lucabert@lucabert.de)
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Bernhard Schiffner -
Konrad Rosenbaum -
Luca Bertoncello -
Reiner Klaproth