VPN nach umstieg auf Debian läuft nicht mehr.

[gnude]

Hallo
ich habe einen FileServer mit Samba, auf den ich mittels VPN zugreife.
Als er mit Lenny lief, klappte alles.
Nun hab ich den Server auf Squeeze umgestellt.
Und kann nun mittels VPN (ich setzte openvpn ein) nicht mehr auf den Server zugreifen.
Vom Fileserver aus kann ich zwar den Client in der Niederlassung anpinngen,
aber vom Client bekomm ich keinen Ping auf den Server.

die Einstellungsdateien haben sich nicht verändert, die
Ausgabe von route -n ist auch identisch!
Hat jemand eine Idee wo ich mit der Suche anfangen kann?

[Saxman]

Hat jemand eine Idee wo ich mit der Suche anfangen kann?

In den Logs..

Ich hatte bei z.B mir nach dem upgrade vergessen die firewall Einstellungen anzupassen.
Daraufhin habe ich auch keine vpn Verbindung hinbekommen...

[gnude]

die logs sind "sauber".
ich kann den ja nichtmals anpingen....
hmm

[Saxman]

Na dann das übliche, tun kernel Modul geladen, output von ifconfig, firewall, /etc/network/interfaces

[gnude]

Hmm der hat kein tun geladen, er ist nicht das vpn ziel sondern ein rechner im netzwerk
ich hab auf dem vpn server eine route auf diesen fileserver eingerichtet.
Mit Lenny klaptte es tadellos.
Die Datei mit den Netzwerkeinstellungen habe ich 1:1 von Lenny übernommen.
Firewall ist nicht installiert.
Die Ausgabe von ifconfig ist die gleiche wie bei Lenny

[Saxman]

tun brauchst du auch als client. Was heißt bei dir im übrigen sauber? Poste doch mal das syslog nach nopaste, vielleicht sieht ja jemand anders mehr. Und was sagt ping genau wenn du versuchst den rechner zu pingen?

[gnude]

Ok.
Ich hab den VPN-Server im Mutterhaus. In dem Netz wo der VPN Server steht hängt noch ein anderer Rechner, der als Fileserver fungiert.
Der VPN Server im Mutterhaus hat natürlich eth0 und tun (ebenso der Client in der Aussenstelle).

Die Log ist übersichtlich:

Feb 28 04:17:02 Server2 /USR/SBIN/CRON[17763]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 05:17:01 Server2 /USR/SBIN/CRON[17783]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 06:17:01 Server2 /USR/SBIN/CRON[21714]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 07:17:01 Server2 /USR/SBIN/CRON[30435]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 08:17:01 Server2 /USR/SBIN/CRON[25017]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 09:17:02 Server2 /USR/SBIN/CRON[32489]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 10:17:01 Server2 /USR/SBIN/CRON[9702]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 10:18:30 Server2 logger: Daten auf Vieren geprueft, siehe scandata.log
Feb 28 10:18:31 Server2 exim[10518]: 2011-02-28 10:18:31 1PtzFP-0002je-B6 Failed to create spool file /var/spool/exim4/input//1PtzFP-0002je-B6-D: Permission denied
Feb 28 10:18:31 Server2 exim[10518]: 2011-02-28 10:18:31 1PtzFP-0002je-B6 Cannot open main log file "/var/log/exim4/mainlog": Permission denied: euid=107 egid=116
Feb 28 10:18:31 Server2 exim[10518]: exim: could not open panic log - aborting: see message(s) above
Feb 28 11:17:01 Server2 /USR/SBIN/CRON[10679]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 12:17:01 Server2 /USR/SBIN/CRON[10884]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 13:17:01 Server2 /USR/SBIN/CRON[11013]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
Feb 28 14:17:01 Server2 /USR/SBIN/CRON[11154]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)

Die Fehlermledung:
Out of Data...

[Saxman]

hast du es mal traceroute probiert um zu sehen bis wohin er kommt?

So wie ich dich jetzt verstehe kriegst du den client gar nicht erst an den vpn server angebunden.
Dass er dann auch nicht erst auf dem fileserver, der im netzwerk beim vpn server hängt, kommt halte ich dann für logisch.

[gnude]

So
ein traceroute vom client hat gezeigt,
das er die verbindung zum vpn server aufbaut,
aber von da aus nicht weiter.
nun hab ich weder client noch vpn server geändert.
nur der fileserver hat nen neues debian 6 bekommen.

bedeutet... vom vpn-server <-> debian 6 fileserver muss nen knackpunkt liegen.
der datenfluss zurück debian 6 -> vpn-server -> vpn client klappt
auch debian 6 ->vpn-server -> vpn client -> nächsten rechner klappt.
verhällt sich debian nach der installation anders,
das er datenpakete die auf den ersten blick nicht aus dem lokalen netz stammen nicht traut???
oder muss ich im proc system ipforward aktivieren?

[Saxman]

oder muss ich im proc system ipforward aktivieren?

naja, das ist ja nur ein ping auf den der fileserver reagieren muss. Dafür braucht es kein forwading. Wenn du vom client den vpn server pingen kannst aber den fileserver nicht dann liegt es m.M.n an der route. Hat der fileserver vielleicht eine andere ip bekommen?

[gnude]

Ich hab grad drei ssh's offen
vpn-client
vpn-server
file-server
auf beiden hab ich route -n eingegeben und nun betrachte ich
den bildschirm.
vieleicht kommt mir noch die erleuchtung....

pingen von:
vpn-client -> vpn-server geht
vpn-server -> vpn client geht
file-server -> vpn-server geht
vpn-server -> file-server geht
file-server -> vpn client geht
vpn-client -> file-server geht nicht

[Saxman]

strange, vor allem da auch nichts geloggt wird.

Wenn mir noch was einfällt schreib ich dir.

[gnude]

ip_forward im proc verzeichnis vom vpn server ist auch aktiv.

war jetzt die nächste idee von mir...

[gnude]

Ein Traceroute vom Debian6 Server zum vpn client zeigt den Weg an wie er sein sollte!

[gnude]

Hallo
folgende Werte sind in der Routing-Tabelle auf dem VPN Server:

Code: Alles auswählen

192.168.1.0   192.168.1.40   255.255.255.0   UG    0      0        0 eth0

Einen vergeleichbaren Eintrag find ich auf dem Client nicht.
die IP 192.168.1.40 ist die IP vom Server selbst.

Das möchte ich mal löschen, aber .... wie????

Wenn ich den löschen möchte mit route del
kommt diese Meldung:
SIOCDELRT: Kein passender Prozess gefunden

[Saxman]

Code: Alles auswählen

route del 

Mehr dazu in der manpage von route

[gnude]

Hallo
wie kann ich feststellen,
ob debian vieleicht einen firewall aktiv hat?
ich habe nichts installiert und unter lenny wurd ja auch default nichts aufgespielt.
aber vieleicht bemerkt squeeze jetzt das die anfrage von einer anderen ip kommt und beantwortet diese nicht???

[gnude]

Wird diese Einstellung im proc Dateisystem ohne Neustart sofort aktiv???
/proc/sys/net/ipv4/ip_forward
Wenn ich den Wert änder???

[Saxman]

Code: Alles auswählen

iptables -L

und zu der zweiten Frage, ja es wird ohne Neustart übernommen wenn du in /proc oder /sys Werte änderst