Ip forwarding über vpnc

[tang]

Hallo,

ich habe einen Laptop, den ich gerne über meinen Destop-Rechner mit ip fowarding ins Netz bringen würde. Die Verbindung ins Internet meines Desktop-Rechners besteht über eine VPN-Verbindung, die ich mit vpnc über die Schnittstelle eth0 betreibe.
Die weitere Netzwerkschnittstelle des Desktoprechners eth1 habe ich per Kabel mit der Schnittstelle eth0 des Laptops verbunden. Danach habe ich eth1 des Desktop-Rechners eine IP gegeben:

Code: Alles auswählen

ifconfig eth1 10.10.0.131

Gleiches mit der eth0 des Laptops:

Code: Alles auswählen

ifconfig eth0 10.10.0.130

Als nächsten Schritt habe ich auf dem Desktop das IP forwarding eingeschaltet:

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward

und auf dem Laptop den Desktop Rechner als gateway festgelegt

Code: Alles auswählen

route add default gw 10.10.0.131

Offenbar reicht das noch nicht, um den Laptop ins Netz zu bringen... was muß ich noch einrichten?

Ping zwischen beiden Rechnern funktioniert. Pingversuch vom Laptop nach draußen, z.B. an die IP von google klappt nicht.

Vielen Dank für Hilfee.

[Duff]

Denke mal, dass du noch eine iptables-Regel für das FORWARDING benötigst.

Code: Alles auswählen

IPTABLES=$(which iptables)

$IPTABLES -A FORWARD -i eth1 -o vpn0 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

eth1 sollte die Schnittstelle sein, mit der der Latop verbunden ist
vpn0 sollte der Schnittstelle entsprechen, die das VPN anbietet

[tang]

mh, das ändert leider nix. Habe das entsprechend eingegeben, hier die Ausgabe von iptables -S

Code: Alles auswählen

# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -i eth1 -o tun0 -m state --state NEW -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

[Duff]

Poste mal bitte das gesamte iptables-Skript.
Hast du mal LOG-Regeln eingebaut um besser nach Fehlern suchen zu können?

[tang]

Poste mal bitte das gesamte iptables-Skript.

wie komme ich da dran?

Hast du mal LOG-Regeln eingebaut um besser nach Fehlern suchen zu können?

Ich mach sowas zum ersten Mal, hab keine Idee, wie ich mich da vortasten soll...

[Duff]

Also, ich würde die iptables mal in ein Skript packen und dieses dann ausführen.

Vielleicht solltest du bis alles funktioniert, erstmal alle Pakete erlauben.

Bsw firewall.sh:

Code: Alles auswählen

#!/bin/bash

IPTABLES=$(which iptables)

[ -z $IPTABLES ] && (echo "iptables cannot be found!";exit)

INET_IFACE=tun0
LAN_IFACE=eth1

# alle Regeln löschen (-X für benutzerdefinierte Regeln)
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X				

# erstmal alles erlauben
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P POSTROUTING ACCEPT -t nat
$IPTABLES -P PREROUTING ACCEPT -t nat
$IPTABLES -P OUTPUT ACCEPT -t nat

# Routing aktivieren
echo "1" > /proc/sys/net/ipv4/ip_forward	# IP-Forwarding enabled

# Routing
$IPTABLES -A FORWARD -i $LAN_IFCE -o $INET_IFACE -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Das Logging kannst du z.B. so manuell setzen:

Code: Alles auswählen

iptables -A FORWARD -i eth1 -j LOG --log-prefix "FORWARD (eth1): "
iptables -A FORWARD -o tun0 -j LOG --log-prefix "FORWARD (tun0): "

Du solltest dann in /var/log/syslog diese Meldungen ggf. sehen.

[tang]

Danke für die Tipps, aber leider führten sie bislang nicht zum Erfolg. Auch mit dem Skript ergibt sich keine andere Situation. Der Ping kommt nicht durch, in /var/log/syslog kommen keine Fehlermeldungen an.

[Duff]

Hast du denn mal das Logging für alle Chains eingestellt (FORWARD, INPUT, OUTPUT)?

Kannst die speziellen Interface-Angaben ja mal weglassen.