Jump to content
Sign in to follow this  
PatrickKByte

Mti OpenVPN durch Zerina/IPCop an SBS2003

Recommended Posts

Hallo an alle!

 

Die Überschrift sagts ja schon, ich plane Zugriff auf meine Windows Domäne per VPN:

 

Szenario 1:

[RoadWarrior] -> Internet -> [ipCop mit Zerina] -> SBS2003 mit 2 NICs und NAT

 

Szenario 2:

[RoadWarrior] -> WLAN (BlueDev) -> [ipCop mit Zerina] -> SBS2003 mit 2 NICs und NAT

 

 

Ich habe problemlos aufm IPCOP Zerina installiert, aufm Notebook funktioniert OpenVPN unter Windows XPSP2 super, und ich kann bereits per VPN auf den IPCOP zugreifen, d.h. ich befinde mich bereits im Netz zwischen IPCOP und SBS.

 

Leider kann ich weder die "Gateway"-NIC vom SBS anpingen, geschweige denn mich an der Domäne anmelden.

 

Ist ja auch super, so ists schön sicher :-) leider brauche ich hier trotzdem irgendeine Möglichkeit, vom IPCOP per OpenVPN auf den SBS zuzugreifen. Ich vermute eine Fehlkonfiguration im NAT oder DNS?

 

Sind OpenVPN/SBS-Experten da?

 

Ich freuen mich auf jede Antwort und bedanke mich!

Share this post


Link to post
Share on other sites
Der SBS hat auch 2 Karten und ist als NAT-Router konfiguriert ? Wenn ja, wird es schwierig ...

 

Hallo!

 

ja, dem ist so. Zum Zeitpunkt der Installation war nur n doofer Router als Firewall da, und weil der SBS auch mit SMTP direkt im Netz hängt, haben wir ihn mit 2NICs und NAT so gut wies geht entkoppelt.

 

Wenn es nun so ist, dass es garnicht geht, kann ich natürlich auch die eine totschalten... Wills aber ungern tun; ich verspreche mir hiervon schon eine Portion Extrasicherheit :suspect:

Share this post


Link to post
Share on other sites

Du müsstest die relevanten Ports nach innen leiten und das sind sehr viele. Dann kommen da noch die RPC-Verbindungen mit den dynamischen Ports. Ich würde den SBS mit nur einer Karte betreiben oder die VPN-Verbindungen auf dem SBS terminieren ...

Share this post


Link to post
Share on other sites

Hi PatrickKByte,

 

bei uns gehen wir auch über OpenVPN an die Domäne ran. Als VPN Terminator haben wir aber "nur" einen normalen Rechner mit OpenVPN eingerichtet, der noch nicht mal Domänenmitglied ist.

Unser Firmenrouter hat 'ne Portweiterleitung vom OpenVPN Port 1194 auf den OpenVPN Server im FimenLAN. Dort findet die Authentifizierung mittels Zertifikat statt. Gleichzeitig läuft der OpenVPN Server als Router, der die Tunnel IPs aufs LAN umsetzt. Damit sind wir dann schon mal im LAN und können jetzt auf die Resourcen der Domäne zugreifen. Als Nicht Domänenmitglied muss ich natürlich jetzt die Domänenpasswörter kennen. Antwortpakete von den Firmenrechnern aus dem FirmenLAN kennen natürlich den Tunnelendpunkt nicht und schicken alles zum Standardfirmenrouter. Dort ist 'ne Weiterleitung wieder zurück auf den OpenVPN Server eingerichtet.

 

Wenn Du zwar bis zum OpenVPN Server kommst aber nicht weiter ins LAN, würde ich mal die Routing Funktion des OpenVPN Servers genauer checken. Denn sonst ist bei ihm Schluss. Hatte zwar vor ein paar Jahren mal einen IPCop am Laufen aber ohne Zerina. Deshalb kann ich Dir speziell dazu nichts sagen.

 

Aber schau sonst mal unter Deutsche OpenVPN-Community - Forum, Wiki, ZERINA Kennst Du aber wahrscheinlich schon.

 

Gruß

 

Jörg

Share this post


Link to post
Share on other sites
Er kommt nicht ins LAN, weil da noch ein NAT-Router vor steht (der SBS) ...

 

... den ich nun beseitigt habe.

Der SBS läuft nun mit einer Netzwerkkarte am selben Switch wie die Clients und hat denselben Zugriff, wie der IPCop.

 

Laut Protokoll von OpenVPN sind die Routen zwischen dem OpenVPN-Netz und meinem LAN vorhanden, auch "route print" weist deutlich darauf hin.

 

Leider finde ich weder mit "net view" noch mit direkten pings oder nslookups irgendwas von "meinem" LAN. Ich habe keinen ISA, und außer Port 25 ist auch nichts weitergeleitet. RRAS ist deaktiviert.

 

Hat noch jemand eine Idee?

Share this post


Link to post
Share on other sites

also bei uns im FirmenLAN komme ich auf dem OpenVPN Port 1194 von außen am Router an. Der macht ein Portforwarding auf den OpenVPN Server im LAN. Dieser wiederum hat 'ne Route vom Tunnelendpunkt (TUN/TAP) ins FirmenLAN. Wenn dort irgendwelche Clients reagieren sollen, z.B. auf Pings, dann schicken sie die Antworten wieder an den Tunnel, der aber im anderen IP Bereich liegt, als das eigene LAN. Da die Clients die TunnelIPs nicht im eigenen Netz kennen, schicken sie alles an das bei Ihnen eingetragene Standardgateway. Dieses Gateway, bei uns ist das wieder der Router, muss nun eine Route zum VPN Server kennen. Er leitet also die Antwortpakete an das TUN/TAP Interface des OpenVPN Servers im LAN weiter wo der Tunnel nach draußen wieder beginnt. Außer meinem Portforwarding brauchte ich also zwei Routen - einmal eingehend und einmal ausgehend.

 

Da bei Dir IPCop (Router) und OpenVPN Server (Zerina) auf ein und demselben Gerät liegen, gibt es dort bestimmt alle Einstellmöglichkeiten dafür.

 

Gruß

 

Jörg

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...