Probleme mit VPN

26/02/2008 - 23:24 von Thomas Rachel | Report spam
Hallo,

ich soll mich zu einem Host verbinden, der sich in einem privaten Netz
befindet, erreichbar über ein Cisco-VPN. Leider schaffe ich es nicht,
die Verbindung zu besagtem Server (dessen interne IP-Adresse mir
selbstverstàndlich bekannt ist) herzustellen. Die VPN-Verbindung
herzustellen, gelingt mir jedoch.

Einige Eckdaten:

1. verwendete Clients: Cisco-Client und vpnc unter SuSE-Linux 10.2,
Kernel 2.6.18, cisco-vpnclient-4.8.00.0490, vpnc-0.4.0
2. benutzter Client-Rechner steht hinter einem NATtenden Router (dem
Siemens Gigaset SE515dsl, falls es jemandem weiterhilft), in welchem
alles, was auch nur entfernt nach VPN roch[1], an den benutzten Client
weitergereicht wird.


Vorgehensweise:

- Mit bereitgestelltem .pcf-File Verbindung hergestellt, jedoch keine
Verbindung zum Server bekommen.
- Mit pcf2vpnc Datei in Konfiguration für vpnc umgewandelt.
- vpnc ließ sich daraufhin nicht zu einer Verbindung überreden, auch
nicht nach Aktivierung obiger Forwardings.
- vpnc --natt-mode none half dann, aber selbes Ergebnis wie beim
Cisco-Client: Verbindung steht, Client-IP im 10.*er Netz wird
zugeteilt, aber Verbindung geht nicht.

Nun meine Fragen:

1. Wenn ich nun so weit bin, daß die VPN-Verbindung steht, kann es dann
noch immer an irgendwelchen Problemen meinerseits liegen, daß ssh
nicht geht, oder ist es nun mit Sicherheit ein Problem im Zielnetz?

2. (Verstàndnisfrage) Sollte es nicht eher umgekehrt sein: Verbindung
ohne NAT-Traversal sollte fehlschlagen, mit NATT sollte es gehen? Oder
bezieht sich NATT nur auf den Fall, daß der Server hinter einem NAT steht?

TIA,

Thomas

P.S.: Hinweise auf meine Ahnungslosigkeit sind überflüssig. In bezug auf
VPN wàren sie gerechfertigt, würden jedoch keine für mich neue
Information beinhalten.

XP+Fup2 dcounm
[1] L2TP: UDP/500, UDP/4500, UDP/1701, ESP, AH
PPTP: TCP/1723, GRE
 

Lesen sie die antworten

#1 Juergen Ilse
27/02/2008 - 08:34 | Warnen spam
Hallo,

In de.comp.os.unix.networking.misc Thomas Rachel wrote:
ich soll mich zu einem Host verbinden, der sich in einem privaten Netz
befindet, erreichbar über ein Cisco-VPN. Leider schaffe ich es nicht,
die Verbindung zu besagtem Server (dessen interne IP-Adresse mir
selbstverstàndlich bekannt ist) herzustellen. Die VPN-Verbindung
herzustellen, gelingt mir jedoch.

Einige Eckdaten:
1. verwendete Clients: Cisco-Client und vpnc unter SuSE-Linux 10.2,
Kernel 2.6.18, cisco-vpnclient-4.8.00.0490, vpnc-0.4.0
2. benutzter Client-Rechner steht hinter einem NATtenden Router (dem
Siemens Gigaset SE515dsl, falls es jemandem weiterhilft), in welchem
alles, was auch nur entfernt nach VPN roch[1], an den benutzten Client
weitergereicht wird.

Vorgehensweise:
- Mit bereitgestelltem .pcf-File Verbindung hergestellt, jedoch keine
Verbindung zum Server bekommen.



UDP-Port 4500 ist offen? SOnst hast du wohl eher keine Chance ...

- Mit pcf2vpnc Datei in Konfiguration für vpnc umgewandelt.
- vpnc ließ sich daraufhin nicht zu einer Verbindung überreden, auch
nicht nach Aktivierung obiger Forwardings.
- vpnc --natt-mode none half dann, aber selbes Ergebnis wie beim
Cisco-Client: Verbindung steht, Client-IP im 10.*er Netz wird
zugeteilt, aber Verbindung geht nicht.



"natt-mode none" kann in der Konfiguration eigentlich gar nicht funk-
tionieren. Versuch es mit "natt-mode force-natt" und achte darauf,
dass dir kein Paketfilter Port 4500/UDP dicht macht.

XP+Fup2 dcounm
[1] L2TP: UDP/500, UDP/4500, UDP/1701, ESP, AH
PPTP: TCP/1723, GRE



PPTP und TCP1723 haben mit IPSEC-VPN (was vom Cisco-VPN-Client und von
vpnc verwendet wird) nicht das geringste zu tun, ebensowenig GRE.
AH waere zwar bei IPSEC eine Moeglichkeit, aber das bekommst du beim
besten Willen nicht durch NAT hindurch (nein, auch nicht mit NATT).
L2TP und UDP/1701 duerften auch nicht das geringste mit deiner VPN-
Verbindung zu tun haben, und fuer Port 4500 brauchst du AFAIK keine
"Sonderbehandlung" in deinem NAT-Gateway um IPSEC-NATT zu ermoeglichen.
Wenn NATT zur Verwendung kommt, wirst du am Router auch kein ESP mehr
sehen (das geht nur in UDP eingepackt dort hindurch), so dass du dir
IMHO deine ganzen speziellen Forwardings sparen kannst (und IMHO auch
solltest) ...

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen