[fli4l] VPN und Routing - Problem mit Firewall...
Martin Hans
martin.hans at directbox.com
Do Nov 8 17:32:54 CET 2012
Servus,
hat sich erledigt - habe den Fehler selbst gefunden:
Hatte mich in der Openvpn.txt vertippt und somit den PF nicht richtig
instruiert.
MfG Martin
schrieb Martin Hans:
> Servus zusammen,
>
> wir haben an mehreren Standorten einen Fli4l 3.6.2 auf Atom-PCs mit je
> vier Netzwerkinterfaces im Einsatz.
>
> Standardmäßig ist das Netzwerkinterface "LAN 1" für die Verbindung ins
> lokale Netz zuständig und routet über dieses zu einem Windows-Server,
> der teilweise weitere lokale Netze versorgt.
> "LAN 4" wird - sofern vorhanden - für PPPOE, also den Internetzugang
> über A-DSL, S-DSL oder anderes verwendet.
> "LAN 3" besitzt bei allen Routern die gleiche 172.16.31.1 und wird rein
> zu Konfigurationszwecken, wenn man direkt an den Router will.
> "LAN 2" ist nicht näher definiert und wird je nach Anforderung für einen
> zusätzlichen Internetzugang über CompanyConnect oder andere, für
> Verbindungen zu lokalen Netzen im gleichen Haus, die aber logisch
> getrennt werden müssen oder ähnliches verwendet.
>
> Die Standorte bezeichne ich jetzt mal mit "Zentrale" Standort "S, V und D".
>
> Die VPN-Verbindungen der Standorte untereinander stehen und zwischen
> "Zentrale", "V" und "D" klappt auch der Zugriff auf Freigaben oder per
> VNC oder RDP.
>
> Was nicht klappt, ist der Zugriff von "V" auf "S" und umgekehrt - ein
> Ping oder Traceroute geht durch, aber man kann nicht auf Freigaben
> zugreifen und auch keine RDP- oder VNC-Verbindungen herstellen, nicht
> einmal http-Traffic kommt durch (WEB-Interface des Fli4l-Routers)
>
> Hier mal eine Auszug aus den base.txt von...
> Standort "V":
>
> ##-----------------------------------------------------------------------------
>
> ## base.txt - fli4l configuration parameters 3.6.2
> ##
> ....
> #------------------------------------------------------------------------------
>
> # Ether networks used with IP protocol:
> #------------------------------------------------------------------------------
>
> IP_NET_N='1'
> IP_NET_1='192.168.2.249/24'
> IP_NET_1_DEV='eth0' # required: device name like ethX
>
> #------------------------------------------------------------------------------
>
> # Additional routes, optional
> #------------------------------------------------------------------------------
>
> IP_ROUTE_N='2' # number of additional routes
> IP_ROUTE_1='192.168.3.0/24 192.168.2.1' # network/netmaskbits gateway
> IP_ROUTE_2='192.168.4.0/24 192.168.2.1' # network/netmaskbits gateway
>
> #------------------------------------------------------------------------------
>
> # Packetfilter configuration; there are two styles, old and new -
> # New style packet filter config:
> #------------------------------------------------------------------------------
>
>
> PF_NEW_CONFIG='yes' # new style packet filter config
> ....
> PF_INPUT_N='2'
> PF_INPUT_1='IP_NET_1 ACCEPT' # allow all hosts in the local
> PF_INPUT_2='192.168.0.0/16 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_POLICY='REJECT'
> ....
> PF_FORWARD_N='2'
> PF_FORWARD_1='IP_NET_1 ACCEPT' # accept everything else
> PF_FORWARD_2='192.168.0.0/16 ACCEPT BIDIRECTIONAL'
>
> PF_POSTROUTING_N='3'
> PF_POSTROUTING_1='192.168.3.0/24 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_2='192.168.4.0/24 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_3='if:any:pppoe MASQUERADE'
>
> PF_PREROUTING_N='0'
> PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
>
> ....
>
> -----
> und
> Standort "S":
>
> ##-----------------------------------------------------------------------------
>
> ## base.txt - fli4l configuration parameters 3.6.2
> ....
> #------------------------------------------------------------------------------
>
> # Ether networks used with IP protocol:
> #------------------------------------------------------------------------------
>
> IP_NET_N='3' # number of IP ethernet networks, usually 1
> IP_NET_1='192.168.12.2/24' # IP address of your n'th ethernet card
> and netmask in CIDR (no. of set bits)
> IP_NET_1_DEV='eth0' # required: device name like ethX
> IP_NET_2='172.29.0.1/16'
> IP_NET_2_DEV='eth1'
> IP_NET_3='172.31.0.1/16'
> IP_NET_3_DEV='eth2'
>
> #------------------------------------------------------------------------------
>
> # Additional routes, optional
> #------------------------------------------------------------------------------
>
> IP_ROUTE_N='3' # number of additional routes
> IP_ROUTE_1='192.168.9.0/24 192.168.12.1' # network/netmaskbits gateway
> IP_ROUTE_2='192.168.10.0/24 192.168.12.1' # network/netmaskbits gateway
> IP_ROUTE_3='192.168.11.0/24 192.168.12.1' # network/netmaskbits gateway
>
> #------------------------------------------------------------------------------
>
> # Packetfilter configuration; there are two styles, old and new -
> ....
> # New style packet filter config:
> #------------------------------------------------------------------------------
>
>
> PF_NEW_CONFIG='yes' # new style packet filter config
> ....
> PF_INPUT_N='3'
> PF_INPUT_1='IP_NET_1 ACCEPT'
> PF_INPUT_2='IP_NET_3 ACCEPT'
> PF_INPUT_3='192.168.0.0/16 ACCEPT'
>
> PF_FORWARD_POLICY='REJECT'
> ....
> PF_FORWARD_N='5'
> PF_FORWARD_1='192.168.0.0/16 192.168.9.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_2='192.168.0.0/16 192.168.10.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_3='192.168.0.0/16 192.168.11.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_4='192.168.0.0/16 192.168.12.0/24 ACCEPT BIDIRECTIONAL'
> PF_FORWARD_5='IP_NET_1 ACCEPT' # accept everything else
>
> PF_POSTROUTING_N='5'
> PF_POSTROUTING_1='192.168.9.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_2='192.168.10.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_3='192.168.11.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_4='192.168.12.0/24 192.168.0.0/16 ACCEPT BIDIRECTIONAL'
> PF_POSTROUTING_5='IP_NET_1 MASQUERADE'
>
> PF_PREROUTING_N='0'
> PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
> ....
> ----
>
> Vielleicht erkennt ja jemand auf Anhieb, woran es liegen könnte...
> Reihenfolge der Einträge, fehlerhafte Einträge,...?
>
> Danke schon mal.
>
> Sollte noch Infos abgehen, liefere ich natürlich gerne nach.
>
> MfG Martin
Mehr Informationen über die Mailingliste Fli4L