PPTP pass through LAN -> WAN?

1. offizieller Beitrag

    Version : Endian 2.5.1 community
    Plattform : VMware VM ESXi 4.1.0

    Guten Tag

    Etwas unerwartet habe ich Probleme mit der Endian (2.5.1 community) aus dem LAN (Green) heraus mit einem PPTP-Client auf PPTP-Server im Internet eine funktionierend Daten-Verbindung herzustellen. Die Kontroll-Verbindung funktioniert korrekt, dass heisst der PPTP-Client meldet sich an den PPTP-Servern korrekt an, aber ich habe keinen funktionierenden Daten-Tunnel. Wenn ich mich von anderswo — z.B. aus dem Red Bereich der selben EFW oder aus einem anderen NAT LAN mit anderer Firewall oder direkt aus dem öffentliche Internet über iPhone-Einwahl — verbinde, dann funktioniert alles bestens. Grundsätzlich kann ich von keinem Computer im Green-Bereich noch von Orange (DMZ) hinter der EFW eine funktionierende PPTP-Daten-Verbindung auf irgendwelche PPTP-Server im Internet herstellen.

    [Computer VPN Client] —> [Green] —> [EFW] —> [Red] —> ... —> [public PPTP-Server] : funktioniert nicht
    [Computer VPN Client] —> [Orange] —> [EFW] —> [Red] —> ... —> [public PPTP-Server] : funktioniert nicht

    —> [EFW] —> [Red] —> [Computer VPN Client] —> ... —> [public PPTP-Server] : funktioniert
    [Computer VPN Client] —> [LAN] —> [Firewall X/Y] —> [public PPTP-Server] : funktioniert

    Auf der EFW sind Proxy- und Filter-Applikationen vollständig ausgeschaltet. Ebenso sind Outgoing- und VPN-traffic-Firewall ausgeschaltet und damit sind die allgemeinen System-Rules aktiv. Versuche hier etwas zu änderen, also insbesondere das GRE-Protocol freizuschalten haben nichts gebracht (eventuell aus Unkenntnis der korrekten Einstellungen).

    Gleichzeitig funktioniert aber PPTP pass through in der umkehrten Richtung. Ich kann also ohne Probleme von irgendwo extern funktionierende PPTP-Verbindungen auf die PPTP-Server hinter meiner EFW herstellen. In einem Fall über explizite entsprechende PPTP-Redirection auf einen internen Server und im anderen Fall für ein IP-Mapping auf einen zweiten Server (VoIP).

    [public PPTP-Client] —> [EFW : public IP EFW : Portforward 1723/GRE ] —> [Green] —> [Server 1 PPTP]
    [public PPTP-Client] —> [EFW : public IP Server 2 : IP-Mapping ] —> [Green/Orange] —> [Server 1 PPTP]

    Ich wäre für jeglichen Hinweis sehr dankbar. Vielen Dank im Voraus!

    Zitat von "Sabine"

    Hallo,
    ich habe hier einen PPTP Tunnel von Grün auf Externen Server laufen . .

    Port in der Endian unter Firewall freigeschaltet

    Gre Port 49

    Tcp Port 1723

    Herzlichen Dank für die prompte Antwort!

    Dumme Frage — In welcher (Unter-)Maske der Firewall-Konfiguration sind die gezeigten Rules eingetragen? Und noch ein Verständnisfrage, weshalb sind für IPSec Client pass through (LAN -> WAN) keine expliziten Rules nötig — das hat direkt auf Anhieb funktioniert?

    Vielen Dank im Voraus und beste Grüsse.

    • Offizieller Beitrag

    Unter Firewall \ Ausgehender Datenverkehr \ dann neue Firewallregel hinzufügen . . . fertig

    Anscheinend beherrscht die Endian PPTP mit NAT oder legt die Rules für PPTP-Passthrough automatisch an,
    das ist das gleiche wie mit der Portweiterleitung, da wird die Rules durch das SPI System wohl auch automatisch erstellt.

    Nur schlecht wenn es mal nicht geht . . . dann steht man dar und sucht sich tot . .

    Gruß Sabine

    Hallo

    Nochmals ganz herzlichen Dank für die rasche Antwort. Ich wähnte mich schon glücklich die Lösung zum Problem direkt vor mir zu haben, nach dem ich schon viel Zeit damit verbracht habe. Ja es sollte nicht sein. Die beiden gezeigten Rules für Port 1723 und GRE haben keinerlei Auswirkung auf das Problem. Nachdem ich die Firewall-Einstellungen für den "Ausgehenden Verkehr" eingeschaltet habe, waren da bereits zwei Rules vorhanden, die eigentlich nach meinem Verständnis mit "Green/Orange to Red : ANY : allow" jeglichen Verkehr (Ports und Protokolle) freischalten (siehe Dateianhang 1). Ich kann mich nicht erinnern, diese beiden ersten Rules für Green und Orange eingerichtet zu haben. Auf einer parallelen Neuinstallation von EFW 2.5.1 ist die Firewall-Einstellung "Ausgehender Verkehr" per default aktiviert und es befinden sich zahlreiche explizite Rules (z.B. http, smtp etc.) darin.


    In den Firewall-Einstellungen "Portweiterleitungen / NAT" (siehe Dateianhang 2) sind aktuell drei Rules bezüglich eingehendem PPTP pass through von Bedeutung. Rule 1 leitet von einer öffentlichen IP auf einen internen Server alles weiter und PPTP-Client-Verbindungen von extern auf diesen Server funktionieren bestens. Rule 4 und Rule 5 machen ein dezidierte Port/Protokoll-Weiterleitung für externe PPTP-Client-Verbindungen die auf die öffentliche IP der EFW treffen und dann an einen internen Server weiter umgeleitet werden. Auch dies funktioniert seit Jahren gut.


    Ja und dann gibt es noch die Firewall-Einstellungen für "Source NAT" (siehe Dateianhang 3). Die letzte Rule 4 mit "LAN to LAN loopback" bin ich mir nicht mehr sicher, ob ich diese in Version EFW 2.2 selbst im Zusammenhang mit einer IPSec Site-to-Site-Verbindung eingefügt hatte. In der Default-Einstellung einer EFW 2.5.1 Neuinstallation ist diese Rule zumindest nicht enthalten.


    Dann habe ich mir auch noch den shell "Print-Out" der aktuellen EFW iptables (iptables -L) angesehen, konnte da aber nichts besonderes erkennen (z.B. eine besondere Rule für PPTP NAT-T; die es aber für IPSec gibt). Aufgefallen ist mir nur das in iptables zahlreiche identische Rules hintereinander vorhanden sind, auch direkt nach einen Reboot der EFW.

    Ja welche Möglichkeiten könnte es noch geben? Herzlichen Dank im Voraus ...

    • Offizieller Beitrag

    Bei mir läuft das so seit Jahren . . . mit der 2.2 wie auch mit der 2.51 . . .

    Was mir aufgefallen ist das du bei der Rules für GRE ANY eingetragen hast , trage da mal 49 ein

    Wenn die Firewall vorher deaktiviert war hätte es eigentlich sofort funktionieren sollen . .
    Siehst da was in den Firewall Logs ? Schlägt das was auf ?

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Guten Tag Sabine

    Nochmals ganz herzlichen Dank für Deine Antwort und Bemühungen. Ja ich hatte zunächst für GRE auch den Port 49 explizit definiert, was aber auch nichts gebracht hatte.

    Das Problem konnte ich nun aber eruieren. Die Ursache ist nicht die EFW sondern schlicht weg die VPN-Router auf die ich per PPTP verbinden möchte. Diese TP-Link Dual WAN TL-ERW6120 geben über PPTP je nachdem von welchem Netz man auf diese verbindet (aus dem öffentlichen Netz, aus einen NAT-LAN mit einer anderen Firewall als EFW, oder einem privaten Netz eines Mobile-Providers) unterschiedliche Route für das LAN hinter diesen VPN-Routern an den entsprechenden vebindenden PPTP-Client ab. Teilweise sind diese Routen korrekt und teilweise völlig sinnlos. Erst nachdem ich die unterschiedlichen Routing-Einträge verglichen habe, bin ich dem Problem auch auf die Spur gekommen. Es war nur nicht sehr offentlich, das es nicht an der EFW liegt, sondern "lediglich" an der Route die der PPTP-Client erhält. Wenn die Route manuel für das PPP0-Interface gesetzt wird, dann ist die Verbindung in das remote LAN sofort da. Nachträglich habe ich dann mit dieser Fährte auch genügend Foren-Einträge gefunden, die das selbe Problem mit diesen TL-ERW6120 Routern belegen. Ironie der Sache ist, dass ich erst auf PPTP gewechselt habe, da auch funktionierende IPSec Client-LAN Verbindungen nicht hinzukriegen sind, obwohl diese versprochen sind (wie ich leider auch erst nachträglich in den Foren erfahren musste).

    Auf der EFW habe ich nun in der Firewall für den "Ausgehenden Verkehr" die beiden Rules (TCP 1723 und GRE) wieder gelöscht und auch die Firewall-Einstellungsoption "Ausgehender Verkehr" deaktiviert, so dass nur die vom System vorgebenen Rules aktiviert sind. Auch so funktionieren ausgehende PPTP-Client-Verbindungen korrekt (selbstredend nur wenn der PPTP-Client auch wirklich die korrekte Route erhalten hat).

    Ich möchte mich an dieser Stelle nochmals recht herzlich für Deine Hinweise und Hilfestellungen bedanken, in der Hoffnung mich auch mal entsprechend erkenntlich zeigen zu können.

    Grüsse, André