routing is einfach nich mein fall o.O

[instinctless]

Hi, ich hab mal wieder ein verständnisproblem. eingentlich ganz einfach, es will nur wieder nicht in meinen kopf rein.

stand der dinge sieht so aus:

[Firma_Netz] 192.168.1.0
[Firma_VPN_GW] 192.168.10.1

[Home_Netz] 172.16.0.0
[Home_VPN_IP] 192.168.10.10

Und so soll das aussehen:

In der Firma benutzen wir eine Groupware. Die Daten lassen sich mittels Funambol ganz nett aufs Mobile syncen.
Nun möchte ich das aber auch von zuhaus aus machen. Insofern müssen Routeneinträge her damit ich aus meinen lokalen LAN von zuhause den Groupwareserver im Firmenlan erreichen kann.

Der VPN Client läuft in diesem Fall direkt auf meinen Router.

Bitte helfen

[Mictlan]

Hi!

also für die Aktion köpft dich der Firewallverantwortliche in der Firma!!!! aber dem Verständnisproblem kann etwas auf die sprünge geholfen werden.

also unter der Annahme dass du bei dir alles richtig routest (also alle pakete mit dest=192.168.1.0 über 192.168.10.1 schickst) wird auch alles bei dem zielrechner ankommen. allerdings wenn sich die Pakete am weg retour befinden passiert ein "Fehler".... der Server mit der Groupware schickt die Pakete anhand seiner Routing-Tabelle (wird auf den Standartgateway hinauslaufen), der Standartgateway (meistens auch die Firewall/VPN-Server) weiß allerdings nicht wohin ers schicken soll und schickts wieder an seinen Standartgateway (der erste Router bei dem ISP deiner Firma).... was fehlt also: ein Routing-Eintrag in der Firewall deiner Firma die alle Pakete mit dem Ziel 172.16.0.0 über 192.168.10.10 schickt.... nur das macht dir kein (verantwortungsvoller) Systemadmin. und bei der Frage verlierst auch vllt sogar die Berechtigung VPN mit deinem Firmennetz zu betreiben (fällt schon ein bissl in den Bereich Hacking und damit bist ein Risiko für das Firmennetzwerk)

lg
Alex

[roli]

also für die Aktion köpft dich der Firewallverantwortliche in der Firma!!!!

Warum, wozu ist denn ein VPN da? Ich gehe jedenfalls mal davon aus, das es das "offizielles Firmen VPN" ist, und nichts anderes. Wenn es das Firmen-VPN ist, dann sollten zum einen Kollegen auch das Problem haben, zum andern sollte euer Admin die Routen pushen.
Hier ein Beispiel wie es prinzipiell geht

Code: Alles auswählen

push "route 10.1.2.0 255.255.255.0"

[Mictlan]

als Firewall/VPN Admin will man in dem Anwendungsszenario dem Mitarbeiter von seinem (Einzel-)PC zu Hause auf Resourcen in der Firma zugreifen lassen.
Das was instinctless vor hat ist dem ganzen PC-Netzwerk zu Hause den Zugriff zu gewähren... und das ist normalerweise noch der Lebenspartner, Kinder, Fernseher, Mediabox, PS3, XBOX, PSP, Wii usw.... Ich kann kaum glauben dass die Firmenadmins das wollen. was da noch dazukommt sind eventuelle ungebetene Gäste über ein unglücklich konfiguriertes WLAN.

warum ich das glaub ... deswegen:

Der VPN Client läuft in diesem Fall direkt auf meinen Router.

Wenn es das Firmen-VPN ist, dann sollten zum einen Kollegen auch das Problem haben,

... die Kollegen werden ihren VPN-Client auf ihrem PC betreiben und nicht auf dem Router.

[instinctless]

wirklich nett das ihr euch den kopf um sicherheiten in fremden netzen macht. aber das ist wirklich nicht nötig.
die lösung wird so verlangt und wird entsprechend umgesetzt. wenn ihr keine lösung habt dann gebt auch bitte keine unqualifizierten kommentare von euch.

das problem besteht übrigens nach wie vor.

[roli]

Hi,

was du braust sind zwei Routen, eine auf dem [Firma_VPN_GW] die in das 192.168.1.0'er Netz zeigt, und eine @Home, das alles was in's 192.168.10.0'er Netz geht über das Tunneldevice raus hehen soll (was mit dem oben beschriebenen Push automatisch gehen koennte).

[uname]

Ich habe auch zwei Anmerkungen.

1.)
Ich glaube eine Firma hat kein Interesse daran, dass ganze HOME-Netze geroutet werden. Meiner Meinung nach gehört der VPN-Client auf den Rechner, der sich ja auch entsprechend authentifiziert. Oder es ist zuhause so zu konfigurieren, dass ein Routing nur bis 192.168.10.10 nötig ist.

2.)
Zur Behebung eines fehlerhaften Routings in der Firma kann man leicht Masquerading einsetzen. Das hilft aber vor allen denjenigen, die auch den VPN-Server in der Firma betreuen.

Der Eintrag bei einem Debian-VPN-Server könnte vielleicht dann so aussehen:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

Somit braucht man sich über neue Routen im Firmennetz keine Gedanken machen.

[Mictlan]

Ich habe auch zwei Anmerkungen.

1.)
Ich glaube eine Firma hat kein Interesse daran, dass ganze HOME-Netze geroutet werden. Meiner Meinung nach gehört der VPN-Client auf den Rechner, der sich ja auch entsprechend authentifiziert. Oder es ist zuhause so zu konfigurieren, dass ein Routing nur bis 192.168.10.10 nötig ist.

2.)
Zur Behebung eines fehlerhaften Routings in der Firma kann man leicht Masquerading einsetzen. Das hilft aber vor allen denjenigen, die auch den VPN-Server in der Firma betreuen.

Der Eintrag bei einem Debian-VPN-Server könnte vielleicht dann so aussehen:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

Somit braucht man sich über neue Routen im Firmennetz keine Gedanken machen.

dem kann ich nur ganz recht geben.

als 3.) gibts nur noch die variante mit dem push.

wirklich nett das ihr euch den kopf um sicherheiten in fremden netzen macht. aber das ist wirklich nicht nötig.
die lösung wird so verlangt und wird entsprechend umgesetzt. wenn ihr keine lösung habt dann gebt auch bitte keine unqualifizierten kommentare von euch.

das problem besteht übrigens nach wie vor.

bezüglich dem kann ich nur noch eins sagen: bisher habe ich in jeder firma in der ich gearbeitet habe eine Datenschutzerklärung unterschreiben müssen.... keine herausgabe von Firmendaten/Kundendaten .... irgendwo darin stand dann meistens auch dass bei der Berechtigung zu einem VPN-Zugang über diesen nur ein einzelner PC erreichbar sein darf. Ein Brechen der Erklärung war dort ein möglicher Kündigungsgrund.
mir persöhnlich ist es **** egal ob du das machst, ich wollte nur auf die problematik hinweisen.

[instinctless]

also nochmal leute. die problematik ist mir vollkommen bewusst. die route ist auch nicht für mich sondern für die geschäftsführung selber und die können sich dann meinetwegen selber rauswerfen.
ich bring euch mal das ziel des ganzen näher vielleicht habt ihr ja einen alternativen lösungsvorschlag.

unsere beiden chefs haben beide smartphones auf dem das funambol plugin läuft. dieses synchronisiert sich mit unserer groupware via wlan im lokalen firmennetz 192.168.1.0.
nun soll sync auch "ohne umwege" von zuhause aus gehen. dazu ist es meiner meinung nach erforderlich, zugang ins das lokale firmenlan zu bekommen.

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Leider scheitere ich immer noch am routing dabei sollte es doch eigentlich ganz einfach sein.
ich hab momentan folgendes setup zum testen (quasi andersrum)

Code: Alles auswählen

firmen lan 192.168.1.0
pc vpn client 10.0.0.10

home lan 172.16.0.0
home vpn server 10.0.0.1

vpn geht soweit aber ich komm nicht ins 172.16.0.0er netz
ich habe dafür folgende route auf meinen rechner gesetzt

Code: Alles auswählen

route add -net 172.16.0.0 netmask 255.255.255.0 gw 10.0.0.1

ich kann aber immer noch nicht die 172.16.0.1 anpingen.
firewallregeln die das u.U. blocken könnten gibt es nicht.

[instinctless]

ma ohne spass jetzt,, iptables brauch ich für so ne faxen doch nicht oder?

also nochmal leute. die problematik ist mir vollkommen bewusst. die route ist auch nicht für mich sondern für die geschäftsführung selber und die können sich dann meinetwegen selber rauswerfen.
ich bring euch mal das ziel des ganzen näher vielleicht habt ihr ja einen alternativen lösungsvorschlag.

unsere beiden chefs haben beide smartphones auf dem das funambol plugin läuft. dieses synchronisiert sich mit unserer groupware via wlan im lokalen firmennetz 192.168.1.0.
nun soll sync auch "ohne umwege" von zuhause aus gehen. dazu ist es meiner meinung nach erforderlich, zugang ins das lokale firmenlan zu bekommen.

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Leider scheitere ich immer noch am routing dabei sollte es doch eigentlich ganz einfach sein.
ich hab momentan folgendes setup zum testen (quasi andersrum)

Code: Alles auswählen

firmen lan 192.168.1.0
pc vpn client 10.0.0.10

home lan 172.16.0.0
home vpn server 10.0.0.1

vpn geht soweit aber ich komm nicht ins 172.16.0.0er netz
ich habe dafür folgende route auf meinen rechner gesetzt

Code: Alles auswählen

route add -net 172.16.0.0 netmask 255.255.255.0 gw 10.0.0.1

ich kann aber immer noch nicht die 172.16.0.1 anpingen.
firewallregeln die das u.U. blocken könnten gibt es nicht.

[uname]

Code: Alles auswählen

route add -net 172.16.0.0 netmask 255.255.255.0 gw 10.0.0.1

Aufgrund deiner Angaben müsstest du doch in deinem HOME-LAN das Firmen-LAN 192.168.1.0/24 über das Gateway routen, oder? Es ist doch die Einstellung in client.ovpn.
Zudem musst du im Firmen-LAN das Netzwerk 172.16.0.0/24 über das VPN routen oder iptables einsetzen.

ich hab momentan folgendes setup zum testen (quasi andersrum)

Ich empfehle dir alles korrekt nachzustellen. Nutze bei dir die gleichen Netze wie bei deinem Chef, auch wenn du alles umkonfigurieren musst.

PS.: iptables hilft dir in der Firma, da du dann nicht dort das Routing anpassen musst.

[chroiss]

Die einzige Frage die sich in diesem Szenario stellt ist, ob Dein Router bei der Einwahl in das VPN Netz zur Firma immer die gleiche IP erhält.
Dann reichen genau zwei Routen. Eine auf dem [Firma_VPN_GW] 192.168.10.1 , nämlich

Code: Alles auswählen

route add -net 172.16.0.0 netmask 255.255.255.0 gw 192.168.10.10

Und eine bei dir auf dem Router

Code: Alles auswählen

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1

Wenn Du immer eine andere VPN-IP bekommst wirst Du die unsaubere, aber unabhängig von allem Firmengedrisse (dortiges routing) und somit einfacher Variante, einsetzen müssen. Nämlich MASQUERADING auf deinem Router.

Code: Alles auswählen

$IPTABLES -t nat -A POSTROUTING -o $VPNDEV -s $INTLAN -j MASQUERADE

Und zusätzlich wie oben diese Route

Code: Alles auswählen

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1

Das wars. Die 2 Variante (Masquerade) funktioniert auf jeden Fall.

gruesse chroiss