[fritz1442]

Moin moin,

ich habe ein meinem Netzwerk hinter meinem Router (Netgear WNDR 3700) einen Linux Server stehen. Auf diesem läuft ein VPN Endpunkt. Diesen kann ich durch eine Portweiterleitung im Router erreichen. Ich komme aus dem VPN ins Netzwerk, aber nicht ins Web.
Was mache ich verkehrt? Muss ich noch Ports freigeben???
Portforwarding auf dem Server ist aktiviert.

fritz1442

[BannedD]

Hmm du willst also mit der bestehenden VPN verbindung über das gerät womit du dich dahin verbindest ins internet ? oder wie ?

[fritz1442]

Moin moin,
@BannedD: Genau das habe ich vor.

fritz1442

[spartan-b292]

Zeig doch bitte mal deine Netzwerkkonifguration, also IP des Routers, die VPN-Konfiguration des Servers, Adressbereich des lokalen Netzwerks, Adressbereich für VPN etc...

[fritz1442]

Moin moin,

lokales Netzwerk:192.168.1.*
VPN: 10.8.0.*
Router:192.168.1.1
Server:192.168.1.2
/etc/pptpd.conf:

Code:

###############################################################################
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $ 
#
# Sample Poptop configuration file /etc/pptpd.conf
#
# Changes are effective when pptpd is restarted. 
###############################################################################

# TAG: ppp
#       Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
#ppp /usr/sbin/pppd

# TAG: option
#       Specifies the location of the PPP options file.
#       By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/pptpd-options

# TAG: debug
#       Turns on (more) debugging to syslog
#
#debug

# TAG: stimeout
#       Specifies timeout (in seconds) on starting ctrl connection
#
# stimeout 10

# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam

# TAG: logwtmp
#       Use wtmp(5) to record client connections and disconnections.
#
logwtmp

# TAG: bcrelay <if>
#       Turns on broadcast relay to clients from interface <if>
#
bcrelay eth0

# TAG: localip
# TAG: remoteip
#       Specifies the local and remote IP address ranges.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#       You can specify single IP addresses seperated by commas or you can
#       specify ranges, or both. For example:
#
#               192.168.0.234,192.168.0.245-249,192.168.0.254
#       
#       IMPORTANT RESTRICTIONS:
#
#       1. No spaces are permitted between commas or within addresses.
#       
#       2. If you give more IP addresses than MAX_CONNECTIONS, it will
#          start at the beginning of the list and go until it gets
#          MAX_CONNECTIONS IPs. Others will be ignored.
#
#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#          you must type 234-238 if you mean this.
#       
#       4. If you give a single localIP, that's ok - all local IPs will
#          be set to the given one. You MUST still give at least one remote
#          IP for each simultaneous client.
# 
# (Recommended)
localip 192.168.1.2
remoteip 10.8.0.1-10
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

/etc/ppp/pptpd-options:

Code:

###############################################################################
# $Id: pptpd-options 4643 2006-11-06 18:42:43Z rene $
#
# Sample Poptop PPP options file /etc/ppp/pptpd-options
# Options used by PPP when a connection arrives from a client.
# This file is pointed to by /etc/pptpd.conf option keyword.
# Changes are effective on the next connection.  See "man pppd".
#
# You are expected to change this file to suit your system.  As
# packaged, it requires PPP 2.4.2 and the kernel MPPE module.
###############################################################################


# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name pptpd

# Optional: domain name to use for authentication
 domain wrind.de

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain


# Encryption
# Debian: on systems with a kernel built with the package
# kernel-patch-mppe >= 2.4.2 and using ppp >= 2.4.2, ...
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
# }}}



# Network and Routing


# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
# Attention! This information may not be taken into account by a Windows
# client. See KB311218 in Microsoft's knowledge base for more information.
ms-dns 192.168.1.2
ms-dns 8.8.8.8

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp

# Debian: do not replace the default route
nodefaultroute


# Logging  

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump


# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp

Hab ich was vergessen???

fritz1442

[spartan-b292]

Hast du den Adressbereich für dein VPN auch zur NAT ACL in deinem Router hinzugefügt (wenn du denn NAT verwendest)?
Eventuell reicht es auch schon den Client so zu konfigurieren das als default gateaway nicht dein Heimnetzwerk sondern aus dem Netzwerk in dem du dich gerade befindest, verwendet wird.

[fritz1442]

Moin moin,
@spartan-b292: soll ich eine dieser Einstellung ändern??

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

fritz1442

[BannedD]

Benutzt du windows auf dem rechner der auf vpn verbindet ? Kannst du nicht eine netzwerkbrücke einrichten und dann einfach deinen server als proxy nutzen ?

[spartan-b292]

Testweise kannst du mal die Einstellung auf offen ändern, das würde ich aber nicht dauerhaft machen. Wenn es dann so funktioniert weißt du wo das Problem leigt, dann ist die Frage wie du den VPN Adressbereich zu deinem NAT hinzufügst ohne NAT auf offen setzen zu müssen.
Eventuell ist das mit der default Firmware nicht möglich. Dann könntest du mal DD-WRT als Firmware versuchen, die müsste auch auf deinem Router laufen und ich denke das sollte damit möglich sein.
Alternativ könntest du auch wie ich ja vorher schon gepostet hab versuchen nicht deinen Router als default gateaway verwenden sondern das Netzwerk in dem du dich gerade befindest, das dürfte eigentlich nur eine Einstellung im VPN-Client sein.

[BannedD]

mit der gateaway hab ich auch schon dran gedacht nur das prob ist doch dann das die "internet Verbindung zum VPN" abbricht denn er muss ja erst mal darüber connecten deswegen denke ich sein VPN Server als Proxy zu nutzen wäre die einfachste lösung ?!

PS: wie schon mal gesagt VPN kenn ich mich nicht so gut mit aus nie mit zu tun gehabt groß ^^ Also wenn was falsch sein sollte an meiner Theorie dann korrigiere mich

[fritz1442]

Moin moin,
zum Defaultgateway: Auf dem iPad gibt es nur "alles über das VPN" an oder aus. Ich hätte es gerne so das ich mit dem iPad wie zu Hause im Netz bin.

Das mit DD-WRT habe ich mir auch schon mal überlegt. Weißt du ob es auf meinem Router (siehe 1.Post) stabil läuft??? Wo kann ich das nachschauen??

fritz1442

[spartan-b292]

Eventuell mal einen anderen Client probieren, wenn möglich?
Ob dd-wrt auf deinem Router sauber läuft kannst du im Wiki nachlesen.

[BannedD]

Wende danach googelst haben einige wohl nen Problem damit aber anscheinend auch lösungen muste mal schaun

[thyriel]

Ich denk mal das Problem ist folgendes:
Der VPN Server steht "hinter" dem Router, d.h. du verbindest dich ja (über Portweiterleitung) zu einem Rechner innerhalb deines LANs. Der Rechner fungiert aber nicht einfach mal so als Internetanbieter für dein Heimnetzwerk, also logisch das du so keinen Internet Zugriff hast via VPN.

Die einfachste Lösung wäre nen Proxy Server auf dem Linux Rechner laufen zu lassen, und diesen dann zb am Laptop, der via VPN Verbunden ist, als Proxy anzugeben.

Die saubere Lösung (ohne Proxy Server) würde so aussehen das du ein 2. Netzwerk aufbaust. Quasi Subnetz 1 wäre dann Router + Server (Netzwerkkarte 1), Subnetz 2 wäre Server (2. Netzwerkkarte) + Heimnetz. (Unterschiedliche IP Ranges + Subnetzmaske)

Auf dem Server installierst du dann einen DHCP Server der die "Standleitung" vom Router als Internet ins 2. Subnetz weitergibt bzw. die IP Adressen im 2. Subnetz vergibt.
Dann noch den VPN Server so einstellen das er dich im 2. Subnetz einordnet und nicht im Netz zwischen Router-Server
Nachteil bei der Methode wäre allerdings das du eben ne zweite Netzwerkkarte brauchst, bzw. ggf nen Switch oder so für weitere Rechner, bzw. erreichst du dann keine Geräte im LAN mehr die am Router via WLAN dranhängen (außer du verbaust nen WLAN Router im Server)
Vorteil wäre allerdings ne doppelte Firewall

[fritz1442]

Moin moin,
ich komme mal auf meinen Thread zurück.

Zitat:

Zitat von thyriel

Die einfachste Lösung wäre nen Proxy Server auf dem Linux Rechner laufen zu lassen, und diesen dann zb am Laptop, der via VPN Verbunden ist, als Proxy anzugeben.

Welcher Proxy ist empfehlenswert?

fritz1442