[fli4l] VPN seit 3.10.3 nicht mehr möglich?

[Christoph Schulz]

Hallo!

Michael Möschwitzer schrieb:

> Muss man bei der Aktuellen Version irgend was am Paketfilter ändern
> damit VPN wieder Funktioniert?

Es kommt darauf an, ob der PPTP-Server sich im selben Netz befindet wie der 
PPTP-Client. Wenn ja, dann muss man nichts an der Firewall drehen 
(schließlich erreichen die Pakete den fli4l gar nicht), und dann kann ich 
dir auch nicht wirklich weiterhelfen. Wenn es sich jedoch um ein *anderes* 
Netz handelt, und der fli4l als Router dazwischen sitzt, dann muss der fli4l 
dafür konfiguriert werden, PPTP-Verbindungen zwischen den Netzen vernünftig 
zu verwalten. Dazu brauchst du analog zu

> PF_PREROUTING_CT_1='tmpl:ftp IP_NET_1 HELPER:ftp'

einen entsprechenden Eintrag für PPTP:

PF_PREROUTING_CT_2='prot:tcp IP_NET_1 IP_NET_2:1723 HELPER:pptp'

Hier gehe ich davon aus, dass dein Client in IP_NET_1 sitzt und dein Server 
in IP_NET_2. Du kannst die Adressen nach Bedarf verallgemeinern, etwa so:

PF_PREROUTING_CT_2='prot:tcp any any:1723 HELPER:pptp'

Das Ganze dient dem Zweck, dass der Kernel die Kontrollverbindung zum PPTP-
Server (Port 1723) untersucht, um herauszufinden, welche GRE-Tunnel zu der 
PPTP-Sitzung dazugehören und welche nicht. Die GRE-Pakete werden dann auch 
durch die Firewall gelassen.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]