Topic: SME 7 und openVPN

[prittstift69]

Hallo,

meine Versuche über openVPN eine Verbindung zu einem SME 7 Server aufzubauen sind ins stocken gekommen.

bisherige Informationsquellen:

Howto build a vpn tunnel between two Sme7 servers with Openvpn
http://www.hanscees.com/sme7/smecontribs.html

OpenVPN (deutsch) - Humbolt Universität
http://sarwiki.informatik.hu-berlin.de/OpenVPN_(deutsch)

und andere

Der SME 7 ist ein reiner File-Server. Die Anbindung des Intranets ans Internet geschieht über einen Hardware-Router.
Ein Zugriff auf den SME Server über FTP aus dem Internet ist über dyndns.org möglich.
Ich würde gerne über openVPN die Freigaben des SME Servers über das Internet nutzen können.

Hat jemand Lust mir zu helfen?

Danke

Stephan Leci

[michaXXL]

Ich experimentiere auch etwas, und habe erfahren, dass man den Server und den Klienten bridgen (Tap-devices) muss, um hier sauber arbeiten zu können. Beim Routen wird der (das?) Broadcast ignoriert. Die Windows-Netzwerkumgebung benötigt aber Broadcast, um zu kommunizieren. Bin aber noch nicht zum Ziel gelangt. Ich würde mich freuen, wenn dieses Thema hier gründlich behandelt würde.
Gruß Michael

Siehe auch hier:
http://sme.swerts-knudsen.dk/index.html?frame=http%3A//sme.swerts-knudsen.dk/howtos/howto_30.htm

[prittstift69]

Ich glaube das ist ein Fall für Stefan24.

[michaXXL]

oder berdie!
Gruß michaXXL

[psc]

Ich experimentiere auch etwas, und habe erfahren, dass man den Server und den Klienten bridgen (Tap-devices) muss, um hier sauber arbeiten zu können. Beim Routen wird der (das?) Broadcast ignoriert. Die Windows-Netzwerkumgebung benötigt aber Broadcast, um zu kommunizieren. Bin aber noch nicht zum Ziel gelangt. Ich würde mich freuen, wenn dieses Thema hier gründlich behandelt würde.
Gruß Michael

Siehe auch hier:
http://sme.swerts-knudsen.dk/index.html?frame=http%3A//sme.swerts-knudsen.dk/howtos/howto_30.htm

Windows ist nicht routebar ... für die "Verbindung" von zwei Netzen brauchst Du auf beiden Seiten einen WINS-Server.

Aber wozu ?

Auf Shares kann man ganz einfach per \\IP-Adresse\Freigabename zugreifen (auch in "net use..." verwendbar um Netzlaufwerke zu verbinden). Noch besser ist natürlich gleich per Terminalservices zu arbeiten.

[berdie]

oder berdie!

Leider kann ich nichts zu diesem Thema beitragen. Mein SME-Server läuft in einer DMZ hinter einer IPCop-Firewall,
für die ich OpenVPN erfolgreich einsetze. Insofern könnte ich da auch gar nichts testen.
OpenVPN für den SME-Server ist aber als Server to Server-Variante im Gespräch,
siehe auch http://forums.contribs.org/index.php?topic=30770.0

Gruß
Dietmar

[stefan24]

Ich glaube das ist ein Fall für Stefan24.

Ich habe meinen SME 7 Server schon für OpenVPN konfiguriert (nach der Anleitung von Jesper Knudsen), meinen Windows 2000 Notebook auch, muss jetzt nur noch zu einem offenen Netz und das testen. Morgen bin ich länger bei einem Kunden, da werde ich das testen.

Meine Konfig: AVM Fritz!Box als DSL6000-Router mit Portweiterleitung auf den SME 7 Server (Server-only), der eine interne IP-Adresse hat.

[michaXXL]

Mein VPN-Verbindung läuft tadellos. Nur komme ich nicht ins LAN hinter meinem SME.
Meine Konfig:  Klient(XP)-->Router<--->WAN<--->Router-->Server(SME6.01).
Ist warscheinlich ein Routing-Problem.
Gruß Michael

[psc]

Mein VPN-Verbindung läuft tadellos. Nur komme ich nicht ins LAN hinter meinem SME.
Meine Konfig:  Klient(XP)-->Router<--->WAN<--->Router-->Server(SME6.01).
Ist warscheinlich ein Routing-Problem.
Gruß Michael

Also entweder es "läuft tadellos" oder man kommt nicht ins LAN.
Ein bischen wundere ich mich allerdings über den Router VOR dem SME Server, eigenlich sollte hier nur ein DSL-Modem stehen.

Es gibt seeeeeeeeeeeeeeeehr wenig Gründe für einen Router vor einer Firewall.

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst  oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

psc

[michaXXL]

Bei den Routern handelt es sich um DSL-Modem-Router.
Die Verbindung zwischen Klient und Server ist tadellos, die Verbindung ins LAN hinter dem Server natürlich nicht.

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

So ist es!
Gruß Michael

[psc]

Bei den Routern handelt es sich um DSL-Modem-Router.
Die Verbindung zwischen Klient und Server ist tadellos, die Verbindung ins LAN hinter dem Server natürlich nicht.

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

So ist es!
Gruß Michael

Ja was ist denn so ?
Wie wurde die Verbindung ins LAN gestestet ?
Kann man einen PC im LAN erfolgreich anpingen ?

Wenn die Verbindung zum SME klappt, poste mal die ausgabe von folgendem Kommando:

netstat -rn

Zum Anschluß:
Also offensichtlich ein Router mit integriertem DSL-Modem (DSL-Modem-Router gibt es nicht).
Bei fast allen solchen Geräten kann man die Verwendung als reines DSL-Modem einstellen, dann werden alle Zugangsdaten auf dem SME
eingegeben. Das (nunmehr reine Modem) wird an einer weiteren Netzwerkkarte angeschlossen.

Oh ... da fällt mir ja noch was ganz schlimmes ein .... wieviele Netzwerkkarten hast Du denn am SME in Betrieb ?

[michaXXL]

Offensichtlich missverstehen wir uns.
Mein SME ist Nur-Server (und VPN-Server) und steht mit einer Reihe anderer PC's hinter dem Modem-Router (mit Portforwarding). Der Modem-Router übernimmt die Einwahl ins WAN, würde auch anders nicht gehen (oder doch?).
Auf der anderen Seite noch mal das Gleiche, nur halt ein XP-Rechner im LAN mimt den VPN-Klienten.

"So ist es!" bezieht sich auf deine Frage:

Heisst "nicht ins LAN kommen" das Du einen PC im LAN nicht anpingen kannst oder das Du die "LAN" PC´s nicht in der Netzwerkumgebung siehst ?

Also, ich kann den VPN-Server (den SME) im gegeüberliegenden LAN anpingen, sowohl auf der VPN-Adresse (10.8.x.x) als auch auf seiner lokalen Adresse (192.168.x.x).
Der Klient lässt sich von VPN-Server (SME) auch anpingen. Nur halt kein anderer Rechner im gegenüberliegenden LAN.
Also, es sind nur der VPN-Server, sowie der VPN-Klient erreichbar, anpingbar.
Mit Anpingen meine ich immer von der anderen Seite des WANs.

Hier das Ergebnis von Netstat:

Routingtabelle
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 d4 66 d7 39 ...... Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethe
rnet Controller #4 - Paketplaner-Miniport
0x3 ...00 ff a0 03 de 56 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.62       20
         10.8.0.0    255.255.255.0         10.8.0.2        10.8.0.2       30
         10.8.0.2  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0     192.168.0.62    192.168.0.62       20
     192.168.0.62  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255     192.168.0.62    192.168.0.62       20
     192.168.99.0    255.255.255.0         10.8.0.1        10.8.0.2       1
        224.0.0.0        240.0.0.0         10.8.0.2        10.8.0.2       30
        224.0.0.0        240.0.0.0     192.168.0.62    192.168.0.62       20
  255.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2       1
  255.255.255.255  255.255.255.255     192.168.0.62    192.168.0.62       1
Standardgateway:       192.168.0.1
===========================================================================
Ständige Routen:
  Keine

Hier noch kurz die Netze:

192.168.99.0  das LAN mit dem SME
10.8.0.0         VPN
192.168.0.0    das LAN mit dem VPN-Klienten

[psc]

Offensichtlich missverstehen wir uns.
Mein SME ist Nur-Server (und VPN-Server) und steht mit einer Reihe anderer PC's hinter dem Modem-Router (mit Portforwarding). Der Modem-Router übernimmt die Einwahl ins WAN, würde auch anders nicht gehen (oder doch?).[SNIP]

Da liegt der Hund begraben, Dein SME ist kein Gateway.
Eine "normale" Installation als "Server und Gateway" sieht ungefähr so aus:

Code: [Select]


+-----+
| DSL |
|Modem|
+-----+
   |
   |
   |
   |
   |eth1
+------+       +-------+         +---+
|  SME |eth0   |LAN    |---------|PC1|
|Server|-------|Switch |         +---+
+------+       |od. Hub|-------+
               +-------+       | +---+
                               +-|PC2|
                                 +---+
Dein SME Server (und Gatway) hat also ZWEI Netzwerkkarten (eth0 und eth1). Eine Netzwerkkarte ist mit einem DSL Modem verbunden, die andere mit dem LAN.
Das DSL-Modem hat also keine direkte Verbindung mit dem LAN !
Die Zugangsdaten deines Providers werden  ausschlieslich auf dem SME-Server eingegeben, der als "Server und Gateway" konfiguriert ist.

Wenn man einen Router mit DSL Modem hat, muss man ihn zur Verwendung als DSL-Modem konfigurieren (der ist dann kein Router mehr und bridged alles weiter).

Alle Geräte im LAN erhalten als Standard-Gateway und DNS Server den SME Server.
Jetzt solltest Du surfen können.
Jetzt noch OpenVPN nach Anleitung drauf und schon kann man auch von aussen zugreifen.

Eine Verwendung des SME Servers als NUR Server ist ja ganz nett wenn man nur die Datei- und Druckserver -Funktionen nutzen will. Ist aber eigentlich im SOHO Bereich Unsinn. Da spielt ein (recht einfacher) Router weil man auch ein paar Packetfilter Regeln eingeben kann und das Gerät das wirklich eine Firewall sein könnte wird mit Portforwardings "versorgt"

[michaXXL]

Ich werde mal über dein Szenario nachdenken.
Eigendlich wollte ich für die Zukunft IPCop's als Router einsetzen, dann ist das Thema VPN auch sicher einfacher zu bewältigen
Den SME würde ich ungern direkt ans WAN stöpseln.
Danke für die Geduld.
Gruß Michael

[psc]

...
Eigendlich wollte ich für die Zukunft IPCop's als Router einsetzen, dann ist das Thema VPN auch sicher einfacher zu bewältigen
Den SME würde ich ungern direkt ans WAN stöpseln.
...

IPCop ist auch schön, das Schema bleibt dann gleich, nur SME durch IPCop ersetzen. Immer das Gerät das am WAN sitzt sollte auch VPN Server sein, heute ist das Dein Router (mit Modem).
Probleme bei SME an WAN kann ich aber überhaupt nicht verstehen, SME ist genauso sicher wie IPCop und VPN läuft bei mir in vielen Variationen und seit E-Smith 4.1 sehr stabil.

Allerdings .... die VPN Konfiguration ist unter IPCop erheblich einfacher...