[fli4l] VPN und Routing - Problem mit Firewall...

Martin Hans martin.hans at directbox.com
Mo Nov 5 16:28:10 CET 2012 

Servus zusammen,

wir haben an mehreren Standorten einen Fli4l 3.6.2 auf Atom-PCs mit je 
vier Netzwerkinterfaces im Einsatz.

Standardmäßig ist das Netzwerkinterface "LAN 1" für die Verbindung ins 
lokale Netz zuständig und routet über dieses zu einem Windows-Server, 
der teilweise weitere lokale Netze versorgt.
"LAN 4" wird - sofern vorhanden - für PPPOE, also den Internetzugang 
über A-DSL, S-DSL oder anderes verwendet.
"LAN 3" besitzt bei allen Routern die gleiche 172.16.31.1 und wird rein 
zu Konfigurationszwecken, wenn man direkt an den Router will.
"LAN 2" ist nicht näher definiert und wird je nach Anforderung für einen 
zusätzlichen Internetzugang über CompanyConnect oder andere, für 
Verbindungen zu lokalen Netzen im gleichen Haus, die aber logisch 
getrennt werden müssen oder ähnliches verwendet.

Die Standorte bezeichne ich jetzt mal mit "Zentrale" Standort "S, V und D".

Die VPN-Verbindungen der Standorte untereinander stehen und zwischen 
"Zentrale", "V" und "D" klappt auch der Zugriff auf Freigaben oder per 
VNC oder RDP.

Was nicht klappt, ist der Zugriff von "V" auf "S" und umgekehrt - ein 
Ping oder Traceroute geht durch, aber man kann nicht auf Freigaben 
zugreifen und auch keine RDP- oder VNC-Verbindungen herstellen, nicht 
einmal http-Traffic kommt durch (WEB-Interface des Fli4l-Routers)

Hier mal eine Auszug aus den base.txt von...
Standort "V":

##-----------------------------------------------------------------------------
## base.txt - fli4l configuration parameters                       3.6.2
##
...
#------------------------------------------------------------------------------
# Ether networks used with IP protocol:
#------------------------------------------------------------------------------
IP_NET_N='1'
IP_NET_1='192.168.2.249/24'
IP_NET_1_DEV='eth0'            # required: device name like ethX

#------------------------------------------------------------------------------
# Additional routes, optional
#------------------------------------------------------------------------------
IP_ROUTE_N='2'                            # number of additional routes
IP_ROUTE_1='192.168.3.0/24 192.168.2.1'  # network/netmaskbits gateway
IP_ROUTE_2='192.168.4.0/24 192.168.2.1'  # network/netmaskbits gateway

#------------------------------------------------------------------------------
# Packetfilter configuration; there are two styles, old and new -
# New style packet filter config:
#------------------------------------------------------------------------------

PF_NEW_CONFIG='yes'                     # new style packet filter config
...
     PF_INPUT_N='2'
     PF_INPUT_1='IP_NET_1 ACCEPT'        # allow all hosts in the local
     PF_INPUT_2='192.168.0.0/16 ACCEPT BIDIRECTIONAL'
     PF_FORWARD_POLICY='REJECT'
...
     PF_FORWARD_N='2'
	PF_FORWARD_1='IP_NET_1 ACCEPT'      # accept everything else
     PF_FORWARD_2='192.168.0.0/16 ACCEPT BIDIRECTIONAL'

     PF_POSTROUTING_N='3'
     PF_POSTROUTING_1='192.168.3.0/24 ACCEPT BIDIRECTIONAL'
     PF_POSTROUTING_2='192.168.4.0/24 ACCEPT BIDIRECTIONAL'
     PF_POSTROUTING_3='if:any:pppoe MASQUERADE'

     PF_PREROUTING_N='0'
     PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'

...

-----
und
Standort "S":

##-----------------------------------------------------------------------------
## base.txt - fli4l configuration parameters                       3.6.2
...
#------------------------------------------------------------------------------
# Ether networks used with IP protocol:
#------------------------------------------------------------------------------
IP_NET_N='3'                   # number of IP ethernet networks, usually 1
IP_NET_1='192.168.12.2/24'      # IP address of your n'th ethernet card 
and netmask in CIDR (no. of set bits)
IP_NET_1_DEV='eth0'            # required: device name like ethX
IP_NET_2='172.29.0.1/16'
IP_NET_2_DEV='eth1'
IP_NET_3='172.31.0.1/16'
IP_NET_3_DEV='eth2'

#------------------------------------------------------------------------------
# Additional routes, optional
#------------------------------------------------------------------------------
IP_ROUTE_N='3'                            # number of additional routes
IP_ROUTE_1='192.168.9.0/24 192.168.12.1' # network/netmaskbits gateway
IP_ROUTE_2='192.168.10.0/24 192.168.12.1' # network/netmaskbits gateway
IP_ROUTE_3='192.168.11.0/24 192.168.12.1' # network/netmaskbits gateway

#------------------------------------------------------------------------------
# Packetfilter configuration; there are two styles, old and new -
...
# New style packet filter config:
#------------------------------------------------------------------------------

PF_NEW_CONFIG='yes'                     # new style packet filter config
...
     PF_INPUT_N='3'
     PF_INPUT_1='IP_NET_1 ACCEPT'
     PF_INPUT_2='IP_NET_3 ACCEPT'
     PF_INPUT_3='192.168.0.0/16 ACCEPT'

     PF_FORWARD_POLICY='REJECT'
...
     PF_FORWARD_N='5'
     PF_FORWARD_1='192.168.0.0/16 192.168.9.0/24 ACCEPT BIDIRECTIONAL'
     PF_FORWARD_2='192.168.0.0/16 192.168.10.0/24 ACCEPT BIDIRECTIONAL'
     PF_FORWARD_3='192.168.0.0/16 192.168.11.0/24 ACCEPT BIDIRECTIONAL'
     PF_FORWARD_4='192.168.0.0/16 192.168.12.0/24 ACCEPT BIDIRECTIONAL'
     PF_FORWARD_5='IP_NET_1 ACCEPT'      # accept everything else

     PF_POSTROUTING_N='5'
     PF_POSTROUTING_1='192.168.9.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
     PF_POSTROUTING_2='192.168.10.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
     PF_POSTROUTING_3='192.168.11.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
     PF_POSTROUTING_4='192.168.12.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
     PF_POSTROUTING_5='IP_NET_1 MASQUERADE'

     PF_PREROUTING_N='0'
     PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
...
----

Vielleicht erkennt ja jemand auf Anhieb, woran es liegen könnte... 
Reihenfolge der Einträge, fehlerhafte Einträge,...?

Danke schon mal.

Sollte noch Infos abgehen, liefere ich natürlich gerne nach.

MfG Martin

Mehr Informationen über die Mailingliste Fli4L