Über VPN/PPTP einwählen, Netzwerk nicht zu erreichen

[balou84]

Hallo!
Ich habe eben auf meinem Debian / Lenny "pptpd" installiert. Nach Anpasung der etc/pptpd.conf kann ich mich nun auch mit meinem Netbook einwählen (getestet über UMTS). Allerdings kann ich nur meinen Linuxserver vom VPN-Client erreichen (ping auf 10.0.0.11 funktioniert). Die PC's im Netzwerk sind nicht zu erreichen (ping auf 10.0.0.1 funktioniert nicht). Ich bin mir recht sicher das ich nen Fehler gemacht habe beim einrichten des pptpd. Hab nur keine Ahunung welchen...

Mein Netzwerk:
10.0.0.1-5 Windows-PC's
10.0.0.6 Router
10.0.0.11 Linux PC (als Server)

In der etc/pptpd.conf lasse ich als localip 192.168.0.1 vergeben, als remoteip 192.168.0.10-20
in der etc/ppp/pptpd-options lasse ich 10.0.0.6 als DNS übergeben

In /etc/sysctl.conf habe ich "net.ipv4.ip_forward=1" gesetzt.

In den iptables habe ich folgende FORWARD-Regeln erstellt:
ACCEPT all -- 192.168.0.0/24 10.0.0.0/24
ACCEPT all -- 10.0.0.0/24 192.168.0.0/24

Vieleicht kann mir ja jemand auf die Sprünge helfen? Wäre wirklich super...

EDIT: Mir ist eben aufgefallen, dass mit ipconfig auf dem VPN-Client für den PPP-Adapter kein Standardgateway eingetragen ist (bzw. 0.0.0.0) könnte das dass Problem sein?

[Mebuh]

Hi,

wissen denn deine Windows Rechner auch wo sie dich erreichen können?
Klartext:
Hast du für das Netzwerk 192.168.0.0/27 (bzw. 192.168.0.0/24) Routen auf deinen Tunnelendpunkt gesetzt?

Ich gehe mal davon aus, dass der Tunnelserver auf 10.0.0.11 ist.
Da die Windows Rechner als Standardgateway wohl den Router 10.0.0.6 haben schicken sie auch automatisch die Pakete für 192.168.23.0.* an den Router, wenn sie keinen eigenen Eintrag in der RoutingTable für das Netz haben. Und der hat natürlich keine Ahnung wohin damit, weil es das Subnetz im Internet nicht gibt.

du kannst also mal veruchen auf einem Windows-Rechner eine route für das Netzwerk 192.168.0.0/24 über 10.0.0.6 zu setzen.
Unter Windows gibt es glaub' ich auch einen "route"-Befehl auf der shell. Syntax weiß ich leider jetzt nicht.

Gruß,
mebuh

[balou84]

Hi,
habe eben mal bei Google nachgesehen. Es gibt tatsächlich einen "route" Befehl für die Windows-Komandozeile. Das hätte ich Windows nicht zugetraut
Werde wenn ich zuhause bin mal schauen ob ich meinen PC's im Netzwerk so beibringen kann auf das über die VPN-Verbindung angebundene Netbook drauf zu kommen.
Aber auf dem Netbook dürfte das ja nichts helfen? Das sollte ja an sich beim Tunnelendpunkt nachfragen wie er z.B. 10.0.0.1 erreichen kann, oder? Wie kann ich den Tunnelendpunkt (Linuxserver/10.0.0.11) als Gateway auf dem Netbook eintragen? Ich kann in den pptpd settings nur nen DNS und/oder WINS Server übergeben lassen. Hatte gedacht das Gateway für einen über VPN angebundenen Rechner ist immer der Tunnelendpunkt, aber ipconfig sagt auf dem Netbook wie schon geschrieben 0.0.0.0 beim Gateway

Vielen Dank für die Hilfe schon mal!

[Mebuh]

Aber auf dem Netbook dürfte das ja nichts helfen? Das sollte ja an sich beim Tunnelendpunkt nachfragen wie er z.B. 10.0.0.1 erreichen kann, oder?

Nicht zwangsweise. Es gibt zwar bestimmt die Möglichkeit, dass der Server bekanntgibt welche Netzwerke er vermitteln kann, aber ich kenne mich mit dem Server jetzt nicht aus ( benutze OpenVPN).
Wenn nach dem erfolgreichen Starten des Clients eine Route für 10.0.0.0/... in der Routing Tabelle auftaucht, dann ja.
Falls nein kannst du sie ja von Hand setzen.

Wie kann ich den Tunnelendpunkt (Linuxserver/10.0.0.11) als Gateway auf dem Netbook eintragen? Ich kann in den pptpd settings nur nen DNS und/oder WINS Server übergeben lassen. Hatte gedacht das Gateway für einen über VPN angebundenen Rechner ist immer der Tunnelendpunkt, aber ipconfig sagt auf dem Netbook wie schon geschrieben 0.0.0.0 beim Gateway

Was Windows angeht kenn ich mich nicht so aus, aber es könnte auch sein, dass er kein Gateway einträgt, weil dass automatisch der Server ist.
Die Routing Tabelle gibt da gemein hin mehr Aufschluss als ipconfig.

Du solltest auch nicht vergessen IP-Forwarding auf dem Server zu aktivieren (falls noch nicht geschehen).
Geht über:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

Gruß,
mebuh

[balou84]

IP-Forwarding habe ich auf dem Server gesetzt.

In /etc/sysctl.conf habe ich "net.ipv4.ip_forward=1" gesetzt.

Werde mir die Routingtabellen mal anschauen wenn ich zuhause bin. Gleich ist Feierabend *juhu*. Werd dann mal schreiben ob's hilft und wenn ja, wie. Danke und bis dann!

EDIT:

So, jetzt bin ich zuhause
Also vom Netzwerk aus ist das Netbook nach erstellen ergänzung der Routingtabelle anpingbar. Erfolg brachte:

Code: Alles auswählen

route add -p 192.168.0.0 mask 255.255.255.0 10.0.0.11

Umgedreht funktioniert das aber nicht auf dem Netbook. Wenn ich dort eine Route eintrage die sagt 10.0.0.0 zu erreichen über 10.0.0.11 dann gehts immer noch nicht. Ich denke aber ich werd so damit leben. Ich verkaufe mir selbst das mal als Sicherheitsmerkmal das meine PC's im Netzwerk hinter dem Server nicht zu erreichen sind *g*

Hat jemand ne Idee für mich wie ich von Port 1723 ummogel auf 443 (wegen verfügbarkeit der Ports in fremden Netzen? Vorallendingen Windows weigert sich standhaft für PPTP einen anderen Port zu nutzen... Danke auf jeden Fall für Eure Hilfe!!!

[Mebuh]

Umgedreht funktioniert das aber nicht auf dem Netbook. Wenn ich dort eine Route eintrage die sagt 10.0.0.0 zu erreichen über 10.0.0.11 dann gehts immer noch nicht.

Probier's mal statt 10.0.0.11 mit der IP am Tunnelinterface, war bei dir glaub' ich 192.168.0.1.
Könnte sein, dass Windows nur Gateways akzeptiert die im gleichen Netzwerk sind wie eines seiner Interfaces.

Mit den Ports kann ich dir leider nicht helfen.

Gruß,
mebuh

[balou84]

Werd ich mal nach Feierabend testen Danke.