Debian Maschine und geschlossene Ports bei VPN

[TiMESPLiNTER]

Hallo zusammen,

Ich habe mich in den letzten Tagen intensiv mit Debian als Webserver/Mailserver beschäftigt. Ich habe nun alles soweit einrichten können das es meinen Vorstellungen entspricht. Nun aber noch ein Problem:

Ich habe eine Firewall und auf dieser VPN freigeschaltet (ich kann zu meinem Synology Netcenter verbinden und Files austauschen, es funktioniert also... es werden von der Firewall keine Ports bei der VPN verbindung geblockt).

Meine Debian Maschine kann ich anpingen (nach dem ich net.ipv4.ip_forward=1 gesetzt habe, zuvor konnte ich ihn gar nicht erreichen über VPN)

Mit "ping 192.168.1.3" bekomme ich nun antwort. Ein "telnet 192.168.1.3 80" schlägt jedoch fehl, genau wie auf alle anderen offenen Ports des Debian Rechners . Im eigenen Netzwerk ist der Rechner jedoch über alle Ports erreichbar.

Was verhindert das, dass ich über VPN auf keinen Port zugreifen kann? Ich hoffe mir kann jemand weiterhelfen . Vielen Dank schon im Voraus .

Code: Alles auswählen

nmap 192.168.1.3 127.0.0.1

Starting Nmap 5.00 ( http://nmap.org ) at 2011-12-20 08:41 CET
Interesting ports on webserver.mynet.dev (192.168.1.3):
Not shown: 992 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
143/tcp open  imap
443/tcp open  https
993/tcp open  imaps
995/tcp open  pop3s

All 1000 scanned ports on localhost (127.0.0.1) are filtered

Nmap done: 2 IP addresses (2 hosts up) scanned in 4.21 seconds

[rendegast]

webserver.mynet.dev (192.168.1.3) ("Debian Maschine") ist nicht die firewall?

ich kann zu meinem Synology Netcenter verbinden und Files austauschen

über samba/netbios-shares?

Was steht denn im Log des zBsp. Webservers nach einem 'telnet 192.168.1.3 80'.
Kommt für diesen die Anfrage aus seinem eigenen Subnetz 192.168.1.0?
Eventuell muß auf dem firewall/VPN das routing oder NAT eingestellt werden.

[TiMESPLiNTER]

Nein webserver.mynet.dev ist nicht die Firewall . Die Firewall ist ein eigenes Fortigate-Gerät .

Ich weiss nicht genau über was die Shares laufen... denke über netbios weil ich greife mit Windows per VPN auf die Shares des Synology's zu.

Im Log des Webservers (also du meinst Apache2 oder?) steht nichts von einem Request (weder im access- noch im error.log) zu der Zeit um welche das telnet 80 cmd abgesetzt wurde. Von dem her kommt das irgendwie gar nicht an den Rechner ran...

[rendegast]

Bekommt die firewall die telnet-Anfrage mit?
Dann kontrolliere nochmal die Einstellungen des firewall/VPN-Accesspoints,
Eventuell ist tcp aus dem angebundenen VPN-Partner nur zur NAS freigeschaltet?

Oder es ist nur netbios erlaubt?
-> Testweise auf dem debian-Server mal eine samba-Freigabe einrichten
(der Einfachheit vom Typ "share", selbe workgroup/domain wie auf der NAS).
Eventuell etwas warten,
da Freigaben normalerweise erst nach einer gewissen Zeitspanne in der Netzwerkumgebung des win-clients auftauchen.

[TiMESPLiNTER]

Okay werde ich dann mal versuchen . Ich kanns einfach erst zu Hause testen, weil ich mich ja jetzt physisch im Netz befinde auf das ich am anderen Ort mit VPN zugreifen möchte. Also ich hab mal noch die Policy-Einstellungen der Firewall. Da steht:

wan1 -> internal

Code: Alles auswählen

Source: all
Destination: Internal_IPs 	
Authentication: SSL-VPN-User
Schedule: always
Services: ANY
Action: SSL-VPN

und

internal -> wan1

Code: Alles auswählen

Source: all
Destination: all
Authentication: 
Schedule: always
Services: ANY
Action: ACCEPT

Von dem her müsste es doch eigentlich funktionieren?

[rendegast]

Wenn die telnet-Anfrage nicht bei der internen Maschine ankommt, wohl nicht.

Vielleicht auch die docs.fortinet.com bemühen?

[TiMESPLiNTER]

Ja gut ich dachte, weil als ich das ip_forward noch ausgeschaltet hatte auf dem Webserver war er über VPN ja gar nicht erreichbar. Da hat's ja dann auch an den Einstellung von Debian gelegen. Dachte vielleicht mit den Ports verhält sich das ähnlich, dass es vllt irgendwo noch eine Art: port_forward-Option gibt oder so.

Die Konfiguration der Firewall wurde von einem Profi vorgenommen und der sagt, dass die aktuellen Einstellung ein Zugriff auf alle Ports im VPN auf die IP 192.168.1.3 ermöglichen. Es müsse also an der Debian-Maschine liegen

[rendegast]

Noch eine Beobachtung:
Ein einfaches 'telnet server 80' löst keinen Eintrag im access.log / error.log aus,
weder mit der win- noch der linux-Version.
Erst wenn ich etwas eingebe, zBsp.

Code: Alles auswählen

telnet> bla <ENTER> <ENTER>

gibt es einen Eintrag im Log resp. im telnet-Fenster ein 400-BadRequest.

[TiMESPLiNTER]

Gut das bringt mir ja auch nicht viel , da telnet ja gar keine Verbindung aufbauen kann. Übrigens auch nicht zu SSH (Port 22). Also ist das Problem generell und nicht Apache/Port 80 bedingt .

[rendegast]

Du könntest ein LOG-target beim netfilter der debian-Maschine anlegen,
'iptables -t nat -I PREROUTING -j LOG ...'
Das würde wirklich zeigen, ob etwas am Server ankommt.

Vielleicht liegt es ja auch an der win-firewall des client?
'telnet' ist einfach keine erlaubte Anwendung?
Browser?

[TiMESPLiNTER]

Wenn telnet von der Windows FW geblockt würde, dänn käme eine Meldung ob man das Programm freigeben möchte, das kommt aber nicht . Zudem wenn ich telnet im Netzwerk benutze in dem der Webserver steht gibt mir dieser auf allen Ports antwort .

[Cae]

Code: Alles auswählen

# netstat -tulpen

Lauschen die Dienste (HTTPd, SSHd) überhaupt auf dem VPN-Interface? Also auf dem Gateway selbst messen.

Äääh, war da nicht was von wegen HTTPd != Gateway? Dann wird es wohl ein Routingproblem sein:

Code: Alles auswählen

# route -n

auf dem

• VPN-Endpunkt
• Webserver
• Road Wairror

Gruß Cae

[TiMESPLiNTER]

Okay also ich hab mal die Firewall so konfiguriert, dass der Port 80 des Servers nach aussen erreichbar war und siehe da: Ein Request auf die externe IP:Port gibt mir das Dir-Listing des Webservers zurück . Das heisst es liegt entweder an der VPN-Verbindung zum Netzwerk oder an der VPN-Konfiguration der Firewall ... somit bin ich schon ein Stück näher .