Hallo alle miteinander,
nach dem ich mich lange gegen die Funkerrei in meiner Wohnung zur Wehr gesetzt hatte, bin ich nun doch seit drei Tgagen stolzer Besitzer einer WLAN-Lampe (Netgear WG602).
Und nun habe ich hier nach gründlichem Googeln und einer bereits erfolgreichen Installation doch noch ein paar Fragen, bei denen Ihr mir vielleicht weiter helfen könntet.
Ich habe meinem SuSE-9.1-Router eine extra Netzwerkkarte für den Accesspoint gegönnt (extra Subnetz mit extra IPs). Dieser läuft im Moment mit WPA-Verschlüsselung. Lieber wäre es mir jedoch, den WLAN-Traffic über ein VPN laufen zu lassen. Dummerweise ist mein Notebook so alt, dass ich darauf nur ein Windows98SE flüssig laufen lassen kann. OpenVPN oder IPSec fallen damit mangels Clienten flach (oder kennt Ihr welche?).
Nun finden sich an diversen Stellen im Netz (z.B. [1]) Anleitungen, wie man sein WLAN vermittels PPTP durch ein VPN absichern kann. Das funktioniert auch leidlich gut – die Rechner finden sich, handeln die VPN-IPs aus, die Win-Kiste wird dann aber sofort wieder mit “Fehler 629” getrennt (ein entsprechendes DFÜ-Update die 128bit-Verschlüsselung betreffend habe ich installiert).
Im Syslog der Linux-Kiste lese ich (unter anderem positivem Blabla wie der korrekten Zuteilung der VPN-IPs)
unrecognized option ‘mppe-128’
Diesen Eintrag (um den Fehler einzugrenzen) auszukommentieren bringt nix, dann greift er sich einen anderen Eintrag aus der Datei “options.pptp” für die gleiche Meldung.
Habt Ihr da noch eine Idee, wie ich hier mein VPN zum Laufen bekommen könnte?
Zweitens macht das schönste VPN keinen Sinn, wenn ich die Netzwerkkarte des AP nicht per Firewall verrammeln kann. Leider kennt die SuSE-Firewall nur ein internes und ein externes Netz sowie eine DMZ. Ist mein Gedankengang korrekt, wenn ich das WLAN einfach mit als “extern” definiere und dann einfach noch die VPN-Ports 47 und 1723 zusätzlich freigebe (Analog zum Artikel in der c’t 06/2003)?
Habt schon mal schönen Dank, dass Ihr Eure Köpfe mit rauchen lasst.
Gruß Christian S.
PS.: Das Leben an der Leine scheint wirklich leichter – inzwischen ist mir klar, warum die Nachbarschaft hier lauter offene Netze fährt ;)
Hallo alle miteinander,
nachdem ich mich über ein Netzwerkkabel mit einem SuSE-9.0 verbinden konnte, gab es für den WLAN-Server ein Downgrade. Danach war auch hier die Verbindung via WLAN erst einmal ohne Firewall möglich.
Nachdem ich die Firewall wieder angeschalten hatte und die Ports 47 und 1723 freigegeben hatte, verbanden sich die Rechner zwar kurz (siehe oben), die Verbindung wurde aber nicht gehalten. Im Syslog fand sich dazu eine Meldung a la “GRE Input/Output error”.
Mit anderen Worten, die Firewall ließ zwar TCP und UDP durch, nicht aber das GRE-Protokoll auf Port 47.
Ein diesbezüglicher Eintrag in der Firewall (/etc/sysconfig/SuSEfirewall2)
FW_SERVICES_EXT_IP=”gre”
half – jetzt baut der Windows-Knecht eine Verbindung zum Linuxserver auf und hält sie auch.
Nach dem Syslog hat der Server im VPN wie geünscht die IP 172.16.45.1 und der Client die 172.16.45.101. Leider bringen aber weder ein
ping 172.16.45.1
noch ein
ping 172.16.45.101
einen Erfolg – egal, ob man das auf dem Linux-Server oder auf dem Windowsclient eingibt.
Ich bleibe dran …
Gruß Christian S.
Hallo Christian,
Deine Bemühungen sprechen von einiger Erfahrung – gestatte trotzdem die dumme Frage: Ist ping in der Firewall erlaubt?
z .B.
#ping sehr grosszuegig
iptables -A OUTPUT -p ICMP –icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP –icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP –icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p ICMP –icmp-type 0 -j ACCEPT
mfg
Andreas
Hallo Andreas,
Danke für die Blumen – aber was VPN angeht hab ich Null Ahnung. Bisher hab ich unter XP irgend ‘nen Client installiert, und das lief dann. Der Server war immer außerhalb meines “Machtbereichs”.
Ping ist auf den externen Schnittstellen erlaubt. Das “echte” Netzwerk hat 192.168.45.0 und ich kann quasi am VPN vorbeipingen – das funktioniert auch. Wie die Firewall allerdings dass behandelt, was über das Netz 172.16.45.0 läuft – keine Ahnung, wo man das einstellen könnte. Aber zumindest der VPN-Server sollte sich doch selbst anpingen können – oder sehe ich da was falsch?
Letztendlich bekomme ich mit einem
ifconfig -a (Linux)
bzw.
ipconfig -all
aber auch nur die physischen Netzwerkkarten “zu sehen” – die VPN-Interfaces tauchen nirgendwo auf (bei den Cisco-VPN-Clients ging das – wenn ich mich recht entsinne).
Darüber hinaus verbinden sich die Rechner nur, wenn ich auf dem WIN98SE-Rechner unter DFÜ-Netzwerk -> Verbindungen -> Einstellungen -> Sicherheit die Optionen “Sichere VPN-Verbindung anfordern” und “Nur 128-Bit-Verschlüsselung akzeptieren” deaktivire (!). Na dann kann ich mir die Soße ja auch gleich sparen.
Anbei mal meine pptpd.conf und meine options.pptp.
Gruß Christian S.
—————————
# PoPToP configuration file
# for PoPToP version 1.0.0
speed 115200
option /etc/ppp/options.pptp
debug
localip 172.16.45.1 #VPN-Server im VPN
remoteip 172.16.45.102-110 #VPN-Clients im VPN
listen 192.168.45.1 #VPN-Server im physischen Netz
pidfile /var/run/pptpd.pid
—————————
#options.pptp
lock
debug
auth
refuse-chap
refuse-pap
refuse-chap-md5
refuse-chapms
require-chapms-v2
require-mppe
nodeflate
# mppe-40
# mppe-128 #laeuft nur auskommentiert
mppe-stateless
nobsdcomp
nopredictor1
ms-dns 217.237.150.141 #ev. lokalen DNS einrichten?!
ms-wins 192.168.45.1
chapms-strip-domain
—————————