Einwahl über OpenVPN lässt keinen Zugriff auf Server im "Green" Segment zu

[alexwolf@…]

Nach einer Einwahl über OpenVPN als RoadWarrior? kann man zwar auf die Firewall selbst zugreifen (z.B. per ssh oder http im Browser), Zugriff auf ClarkConnect? oder weitere Server im Netz hinter der Firewall geht aber nicht.

Konfiguration (annähernd default)

Endian: Green 192.168.100.1 (Zugriff per VPN auf Port 22 und über Browser geht perfekt) ClarkConnect?: 192.168.100.3 (Kein Zugriff, kein Ping möglich) Weiterer Server 192.168.100.150 (ebenfalls kein Zugriff)

Nach Login auf Endian per ssh geht von der Konsole aus der Ping auf andere Maschinen perfekt. Scheint ein Problem beim OpenVPN zu sein.

OpenVPN bezieht Adressen aus dem Pool 192.168.100.200 bis .250

Hat jemand das auch beobachtet und weiss Abhilfe?

Gruß Alex

[ThorstenS]

Ich würde mal im ipcopforum nachschauen, dort meine ich mal ähnliches gelesen zu haben.  | Hier ein Thread mit den normal möglichen Zugriffen.

In dem Forum solltest du aber nicht erwähnen, dass du einen xen-ipcop oder eine endian Firewall benutzt... ;)

[alexwolf@…]

Nach dem oben angegebenen Thread sollte es problemlos machbar sein über VPN nach "green" zu kommen. Leider ist es das nicht. Einen Thread der das Problem näher erläutert und eine Lösung bringt habe ich nicht gefunden. Es gibt wohl zwei offene Threads die das gleiche Problem beschreiben. Hat niemand eine Idee was dabei falsch läuft?

Eine Neuinstallation würde ich mir gerne sparen, da der Rest sehr gut läuft.

[alexwolf@…]

Noch ein paar Infos zu dem Problem:

Defaul Route des über VPN eingewählten Clients liegt auf 192.168.100.1

Routing Table auf der Firewall ist folgendes: Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.178.0 * 255.255.255.0 U 0 0 0 eth1 192.168.100.0 * 255.255.255.0 U 0 0 0 br0 default 192.168.178.1 0.0.0.0 UG 0 0 0 eth1

br0 liegt im internen Netz und hat die IP 192.168.100.1

Schaut für mich alles korrekt aus. Auf der Firewall ist so ziemlich alles deaktiviert was stören könnte. Vom über VPN eingwählten Rechner kann man ohne Probleme über die Firewall im Internet surfen.

[wwwolfskin]

Ich habe auch lange nach einer Lösung gesucht. Nachdem ich sie dann endlich gefunden hatte, konnte ich google auch nochmal etwas präziser füttern (iptables_accessall) und siehe da, die Lösung steht bereits im Netz:  http://bugs.endian.it/view.php?id=210

/etc/rc.d/rc.firewall

go to line 147:

    145 function iptables_accessall() {
    146 iptables -F ACCEPT_ALL
    147 iptables -F VPNFW

and change

iptables -F VPNFW

to

iptables -F VPNTRAFFIC