Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi,

ich habe folgendes Problem...

ich habe 2 Firtzboxen 7170 per DynDNS und VPN verbunden.

allerdings möchte ich jetzt von einem Subnetz hinter der Fritzbox und der dahinterliegenden Linux Firewall auf das jeweilig gegenüberliegende Subnetz zugreifen? Kann mir jemand sagen wie ich das mach? IP Tables ist auf dem SLES installiert...

post-49040-14430447966014_thumb.png

Geschrieben

Je nachdem welche Dienste erreichbar sein sollen, musst Du entsprechende Regeln setzen und damit auch Loecher in die iptables auf den SLES setzen.

Die FritzBoxen haben idR auch eine SPI-Firewall drauf.

D.h. wenn die FritzBoxen so konfiguriert sind, dass nur VPN-geschuetzter Traffic an die SLES weitergegeben werden, dann kannst Du fast bedenkenlos die iptables auf den SLES anpassen und statische Rueck-Routen fuer das gegenueberliegende Netz setzen.

Allerdings gilt auch hier:

Nur das auf iptables fuer das gegenueberliegende Netz freigeben, was auch zwingend benoetigt wird.

Z.B. wenn Du keine Windows-Dateifreigaben und kein RPC/DCOM auf das gegenueberliegende Netz brauchst, dann bitte auch nicht freischalten.

Denn das sind bei Windows einige der groessten Einfallstore fuer Schaedlinge.

Geschrieben

kann ich denn iptables unter sles z.b. sagen... route alle anfragen vom lokalen netz an das andere subnetz mit der ip 192.168.178.20 an die fritz box raus und alle anderen anfragen von internen ips z.b. an google.de mit der ip 192.168.178.10 raus damit die fritzbox weis welche anfragen über vpn und welche ins internet sollen?

Geschrieben

Nachtrag:

Soweit ich weiss, haben die derzeitigen offiziellen FritzBox Firmware-Versionen keinen VPN-Server drauf.

AVM hat die Labor-Versionen nur zum Testen freigegeben, nicht fuer den produktiven Betrieb.;)

Es wuerde auch mit einer offiziellen AVM-Firmware funktionieren:

- indem die VPN-Server auf die SLES verlagert werden

oder die sichere Variante

- indem zwischen FritzBox und SLES ein dedizierter VPN-Server installiert wird

Geschrieben
kann ich denn iptables unter sles z.b. sagen...

Die Netze der FritzBox-LAN-Seiten duerfen auf beiden Seiten nicht gleich sein (default FritzBox: 192.168.178.0/24), dann klappt es auch.

Geschrieben

wie sage ich iptables auf sles das anfragen von einem bestimmten subnetz (192.168.1.0) an die fritzbox über eine bestimmte virtuelle netzwerkkarte gemacht werde? somit könnte die fritzbox unterscheiden ob die anfragen für vpn oder das internet sind...!? gibt es da einen befehl oder kann ich das in yast machen?

Geschrieben (bearbeitet)

Ja, bei SuSE in der Regel erst mal mit yast probieren.

Wenn es damit nicht geht, die iptables-Konfigdatei suchen (koennte in /etc/sysconfig/ liegen) und dort eintragen bzw. eine benutzerdefinierte iptables-Konfig einfuegen.

Virtuelle NIC?

Hast Du auf SLES keine 2 phys. NIC?

Oder ist der VPN-Server auf SLES?

Bearbeitet von hades
Geschrieben

SLES linke Seite:

route add 192.168.0.0/24 gw 192.168.179.1 (Vermutung von mir, dass 192.168.179.1 die FB auf der linken Seite ist)

Das Ganze dann persistent machen (leider pro Distri unterschiedlich, SLES kenn ich nicht weiter), sonst ist nach dem Booten der Eintrag weg.

FB linke Seite:

Routing-Eintrag setzen

Ziel: 192.168.1.0/24 Gateway=IP-Adresse der SLES im Netz 192.168.179.0/24

---

SLES rechte Seite:

route add 192.168.1.0/24 gw 192.168.178.1 (Vermutung von mir, dass 192.168.178.1 die FB auf der rechten Seite ist)

Das Ganze dann persistent machen (leide pro Distri unterschiedlich, SLES kenn ich nicht weiter), sonst ist nach dem Booten der Eintrag weg.

FB rechte Seite:

Routing-Eintrag setzen

Ziel: 192.168.0.0/24 Gateway=IP-Adresse der SLES im Netz 192.168.178.0/24

---

Dann kannst in den iptables der SLES ICMP (ping) fuer Tests freischalten, spaeter dann die benoetigten Dienste und ggfl. ICMP wieder ausschalten.

Geschrieben
Nachtrag:

Soweit ich weiss, haben die derzeitigen offiziellen FritzBox Firmware-Versionen keinen VPN-Server drauf.[...]

Die aktuelle Version 29.04.57 meine ich schon. Die Laborsachen sind in einer der letztern Versionen in die Stable-Version übergegangen.

[...]Neue Leistungsmerkmale:

Telefonie: Faxempfang ohne Faxgerät. Auf Wunsch mit Weiterleitung per E-Mail

Internet: VPN für sichere Verbindungen über das Internet. Professionell per IPSec

Internet: Sichere Fernwartung mit Hilfe von HTTPS. So helfen sich Freunde

System: Anzeige eines Sicherheitshinweises bei nicht gesetztem Kennwort

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...