danke für den hinweis auf den donate button.
scheint ja gar nicht schwierig zu sein...

lg
zid

Hallo zid,

mit einem /28er Netz komme ich auch mit der .55 ins Internet
Mit der .51 geht nichts, laut xpirio ist es ein /30er Netz (52-55).

Port-Forwarding hab ich auch hinbekommen, brauche ich leider für ein VPN ins in mein normales LAN.

Danke für Deine super Hilfe.

LG

hallo imperator,

>"...mit einem /28er Netz komme ich auch mit der .55 ins Internet..."
*das* wollt ich schon immer wissen. danke für den test.

>"...brauche ich leider für ein VPN ins in mein normales LAN..."
und wenn du das vpn an der 2. firewall terminierst? ssh würde schon genügen, diese preisklasse ca.:
www.dieschmids.at/Fragen-zur-Konfigurati...fe/Page-3.html#13790

vorteile:
- du brauchst keine direkten weiterleitungen ins private lan. die 2. firewall ist so'ne art proxy für vpn.
- es genügt 1 weiterleitung am tg zur 2. firewall, und du kannst auf alle rechner im privaten lan zugreifen.

lg
zid

Hi zid,

ich mache also ein Port-Forwarding (SSH) auf die FW im privaten LAN und und tunle per SSH das VPN von der FW zum VPN Server?

LG

hallo imperator,

>"...ich mache also ein Port-Forwarding (SSH) auf die FW im privaten LAN..."
ja, genau.

>"...und tunle per SSH das VPN von der FW zum VPN Server?..."
nein. der ssh-tunnel ist bereits das vpn. du gehst vom client im wan verschlüsselt bis zu deiner 2. firewall und von der 2. firewall bis zum zielrechner im private lan gehts unverschlüsselt weiter. ich gehe jetzt mal davon aus, daß sich deine rechner im private lan nicht gegenseitig attackieren.
einen aspekt muß man bei der verwendung von ssh-tunneln beachten- protokolle, die osi brechen, können nicht mit ssh getunnelt werden, weil der "tunnel" genaugeneommen gar kein tunnel, sondern nur ein secure socket pair ist (es gibt keine zusätzliche tunnelkapselung).

dazu als beispiel passives ftp (ftp ist das paradebeispiel für ein protokoll, das osi bricht):
ftp besteht 2 verbindungen- ftp-control und ftp-data. über die kontrollverbindung tauschen die peers die verbindungsdaten für die datenverbindung aus.
wenn ein client daten mit passivem ftp vom server holen will, dann schickt er über die kontrollverbindung den "pasv"-befehl, und der server gibt in der antwort das socket bekannt, das er für die datenverbindung geöffnet hat. wenn jetzt der server hinter einem NAT hängt, dann ist das ein privates socket, in deinem fall könnte das z.b. 192.168.150.1:3333 sein. das ftp-alg erkennt die antwort des server als solche und macht folgendes:

1. es übersetzt die angabe des privaten sockets, die sich auf application level (layer 5) befindet, in ein öffentliches socket, also z.b. dei.ne.haupt.ip:4444

2. es richtet dynamisch eine weiterleitung für die datenverbindung ein, in diesem beispiel würde die map so aussehen: dei.ne.haupt.ip:4444 -> 192.168.150.1:3333
und punktiert die firewall für diese weiterleitung.

wenn jetzt aber die kontrollverbindung über den ssh-tunnel läuft, dann ist sie verschlüsselt. die antwort des server wird deshalb vom ftp-alg nicht als solche erkannt, ergo nicht übersetzt, und der client erhält das private socket als antwort. er versucht dann natürlich zu diesem socket zu verbinden und scheitert, weil private ips nicht in öffentlichen netzen geroutet werden (dürfen) -> fin.

willst du also derartige protokolle tunneln, muß du auf ipsec oder (schlechter) pptp ausweichen. unabhängig von der eingesetzte methode bleibt das grundprinzip jedoch gleich- das vpn geht nach möglichkeit nur bis zur 2. firewall.

lg
zid

Hallo zid,

ok danke, jetzt hab ichs gerafft

Hab folgendes Forwarding eingerichtet:


Der Tunnel funktioniert auch, z.B. auf das Webinf vom TG:
ssh -p 9022 root@.107 -NfL 9080:10.0.0.138:80

localhost:9080

Werde damit noch ein bisschen rumspielen.

Aber ob ich jetzt ein Forwarding auf die FW mache, oder direkt auf einen OpenVPN Server hinter der FW dürfte doch egal sein?
Ich hab bei beiden Lösungen nur eine Weiterleitung.
Oder sieht Du bei der SSH Lösung einen Vorteil bzw. bei der anderen einen Nachteil?


LG