Commander1024
Newbie
Also ich habe nen Debian Server, auf dem ich (mit alien und manueller "Pfuscherei" = Pfadanpassung) eine SuSEfirewall2 draufgekloppt habe, da ich von SuSE 9.2 umgestiegen bin und das Masquerading und Firewalling innerhalb kurzer Zeit wieder luppen sollte.
Das klappt jetzt auch schon seit ca. nem Jahr und aus der Quick'n'Dirty Lösung ist natürlich immer noch nix Eleganteres geworden :roll:
Mittlerweile habe ich einen OpenVPN Server aufgesetzt. Einwahl von einem anderen Standort übers Internet funktioniert - auch mehrere gleichzeitig mit unterschiedlichen unique Zertifikaten.
Kommunikation vom Clienten (Linux oder WinXP SP2) und zurück funktioniert.
Der Server ist aber mit einer Netzwerkbrücke (br0) konfiguriert, die das lokale LAN (eth0) und das OpenVPN Device (tap0) verbindet.
br0, tap0 und eth0 stehen in der SuSEfirewall2 als INT Device drin
der Prot 1194 (default nach IANA für OpenVPN) ist selbstverständlich an EXT offen, sonst würd ja gar nix gehen.
Nun zum Problem:
Ist die SuSEfirewall2 aus, kann ich vom client über die Brücke ins lokale LAN pingen (incl. Broadcast, Win Netzwerkumgebung etc.), ist sie eingeschaltet (was absolut notwendig ist, aus Sicherheitsgründen und dem Masquerading, das sie bereitstellt), werden die Pakete OpenVPN Client --> lokales LAN geblockt.
in /var/log/messages kommt folgende Fehlermeldung (bei "ping 192.168.0.60 vom OVPN Client ins LAN):
Mar 15 11:45:06 Router kernel: SFW2-FWDint-DROP-DEFLT IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 SRC=192.168.0.201 DST=192.168.0.60 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=3 DF PROTO=ICMP TYPE=8 CODE=0 ID=37151 SEQ=4
Was könnte ich an der SuSEfirewall2 config änder müssen, um dieses Verhalten abzuschalten.
Da das VPN auf Zertifikaten basiert, die durch Passworte abgesichert sind und ich nur vertrauenswürdige Personen reinlasse, kann das tap0 ruhig "offen" bleiben ohne Schutz und soll sich transparent ins LAN einfügen.
Das klappt jetzt auch schon seit ca. nem Jahr und aus der Quick'n'Dirty Lösung ist natürlich immer noch nix Eleganteres geworden :roll:
Mittlerweile habe ich einen OpenVPN Server aufgesetzt. Einwahl von einem anderen Standort übers Internet funktioniert - auch mehrere gleichzeitig mit unterschiedlichen unique Zertifikaten.
Kommunikation vom Clienten (Linux oder WinXP SP2) und zurück funktioniert.
Der Server ist aber mit einer Netzwerkbrücke (br0) konfiguriert, die das lokale LAN (eth0) und das OpenVPN Device (tap0) verbindet.
br0, tap0 und eth0 stehen in der SuSEfirewall2 als INT Device drin
der Prot 1194 (default nach IANA für OpenVPN) ist selbstverständlich an EXT offen, sonst würd ja gar nix gehen.
Nun zum Problem:
Ist die SuSEfirewall2 aus, kann ich vom client über die Brücke ins lokale LAN pingen (incl. Broadcast, Win Netzwerkumgebung etc.), ist sie eingeschaltet (was absolut notwendig ist, aus Sicherheitsgründen und dem Masquerading, das sie bereitstellt), werden die Pakete OpenVPN Client --> lokales LAN geblockt.
in /var/log/messages kommt folgende Fehlermeldung (bei "ping 192.168.0.60 vom OVPN Client ins LAN):
Mar 15 11:45:06 Router kernel: SFW2-FWDint-DROP-DEFLT IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 SRC=192.168.0.201 DST=192.168.0.60 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=3 DF PROTO=ICMP TYPE=8 CODE=0 ID=37151 SEQ=4
Was könnte ich an der SuSEfirewall2 config änder müssen, um dieses Verhalten abzuschalten.
Da das VPN auf Zertifikaten basiert, die durch Passworte abgesichert sind und ich nur vertrauenswürdige Personen reinlasse, kann das tap0 ruhig "offen" bleiben ohne Schutz und soll sich transparent ins LAN einfügen.