VPN Client Routing

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Candyman
Beiträge: 6
Registriert: 07.04.2016 00:10:44

VPN Client Routing

Beitrag von Candyman » 07.04.2016 00:28:49

Hallo Forum,

Ich habe eine VPN Verbindung zwischen einem Linux Client (home) und einem VPN Server (work). Ich kann mit vpnc vom Client zum Server und auch in sein LAN (z.B. 192.168.18.99) pingen. Ich möchte auch vom Work Lan ins das home Lan (Clientnetz) pingen bzw. andere Netzwerkgeräte im Clientlan ansprechen/erreichen.

Ich habe eine statische Route im Clientnetz-Router (home) auf das auf das Firmennetz gemacht, um z.B. einen Ping an die ...18.99 zu senden. Dazu habe ich das Portforwarding im Client aktiviert und ein paar Iptables Befehle gefunden. Ich habe bereits versucht auf dem Rechner 192.168.18.99 (work) eine statische Route auf das Netz 192.168.211.0 (home) zu setzen, aber ohne Erfolg.

Code: Alles auswählen

# Setup forwarding rules
/sbin/iptables -A FORWARD -i eth0 -o tun0 -s 192.168.211.0/24 -m conntrack --ctstate NEW -j ACCEPT
/sbin/iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A POSTROUTING -t nat -o tun0 -j MASQUERADE
Netzwerkkonfig:
VPN Protokoll: IPSec
Netz Server: 192.168.18.0/24
IP Linux VPN-Client (tun0): 192.168.18.70
Netz hinter VPN-Client (eth0): 192.168.211.0/24
Anderer Netzwerkclient im Clientnetz: 192.168.211.99

Was kann ich noch tun, um die Netzteilnehmer im Clientlan zu erreichen.

gbotti
Beiträge: 846
Registriert: 16.07.2010 14:24:43
Wohnort: München

Re: VPN Client Routing

Beitrag von gbotti » 08.04.2016 09:44:45

Hi.

Ich mache das normalerweise mit openVPN und kann dir deshalb keine sinnvollen Aussagen bezüglich ipSec treffen. Was aber auf ipSec auch zutreffen sollte ist dass das Forwarding im Kernel aktiviert sein muss. Das habe ich gerne auf der Client-Seite vergessen. Prüf mal den Wert in /proc/sys/net/ipv4/ip_forward. Der sollte auf 1 stehen. Wenn er das nicht tut einfach zum testen erst mal mit dem folgenden Befehl setzen:

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
Und wenn das klappt fest in die sysctl.conf eintragen:

Code: Alles auswählen

net.ipv4.ip_forward = 1
Wie "weit" kannst du denn im Client-Netzwerk in Richtung Hauptnetzwerk pingen?
Georg
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft

Candyman
Beiträge: 6
Registriert: 07.04.2016 00:10:44

Re: VPN Client Routing

Beitrag von Candyman » 08.04.2016 10:30:54

Forwarding ist aktiviert, pingen kann ich durch eine statische Route im Heimnetzwerk bis zu den Teilnehmern im Servernetzwerk.


Grüße
Nelson

Antworten