This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site-VPN mit Raspi und UTM-9

Hallo!

Kann mir jemand eine Anleitung, Tutorial oder HowTo empfehlen, wie man mit einer UTM-9 auf der einen und einem Raspi auf der anderen Seite eine site-to-site-Verbindung (SSL/OpenVPN) herstellen kann?

Hintergrund:
Zuhause hab ich eine UTM-9 stehen (Home Licence, fixe WAN-IP), über die ich mit meinen mobilen Geräten per OpenVPN-Client problemlos auf das LAN zugreifen kann. Nun soll im Wochenendhaus (ADSL-Zugang, Dyndns) diverse Geräte installiert werden, die keine eigene VPN-Möglichkeit haben (Webcam, Hausautomation,..). Also site-to-site-VPN, im Idealfall mit einem (sparsamen) Raspi.
Auch möchte ich hier nicht eine zweite UTM-9 installieren, da das mit Modem+Firewall+Switch+AP in eine Hardwareschlacht ausufert.
Den Router gegen eine Fritzbox austauschen möchte ich (auch aus Kostengründen) vorerst auch noch nicht, noch ist der Sportsgeist nicht erloschen! [:)]

Leider scheitere ich an meinen nicht vorhandenen Linux-Kenntnissen.
Als Client kann sich der Raspi schon per VPN verbinden, ein im 2. Netz befindlicher Laptop erreicht den Raspi, aber dann scheitert es offensichtlich am Routing... [:(]

Also, kann mir jemand eine gute Anleitung empfehlen, oder sonstige Tipps geben?

Danke im voraus!

Roland

This thread was automatically locked due to age.

0 K.N. over 9 years ago

S2S SSL VPN geht nur zwische zwei UTMs.
Cancel
Vote Up 0 Vote Down

Cancel
0 HuberChristian over 9 years ago in reply to K.N.

S2S SSL VPN geht nur zwische zwei UTMs.

Kannst du das etwas erläutern? Meines Wissens verwendet die UTM ja OpenVPN, was durchaus einem Standard entspricht?

Please send me Spam gueselkuebel@sg-utm.also-solutions.ch
Cancel
Vote Up 0 Vote Down

Cancel
0 K.N. over 9 years ago

Weil S2S mit SSLVPN nur zwischen UTMs von Sophos supported ist.

Aber ich lese gerade, dass ich überlesen haben, dass er die OpenVPN Verbindung zur UTM schon hergestellt hat. Sorry.

Was hast Du denn auf dem RP konfiguriert? Von alleine wird er die Routen weder kennen, noch setzen.
Cancel
Vote Up 0 Vote Down

Cancel
0 Roland M. over 9 years ago in reply to K.N.

Hallo!

Vorerst Entschuldigung für meine späte Antwort, ich habe es vorgezogen, mich mit Fieber ins Bett zu legen... [[;)]]

Weil S2S mit SSLVPN nur zwischen UTMs von Sophos supported ist.

Ok, der offizielle Support wäre mir im privaten Umfeld nicht so wichtig, aber ich hab mit einer IPSec-Verbindung auch kein Problem.
Wichtig ist mir eben nur, von zuhause auf das Netzwerk im Wochenendhaus zugreifen zu können und daß die vorhandenen (Open)VPN-Zugriffe von Laptop & Co weiterhin möglich bleiben.

Aber ich lese gerade, dass ich überlesen haben, dass er die OpenVPN Verbindung zur UTM schon hergestellt hat. Sorry.

Was hast Du denn auf dem RP konfiguriert? Von alleine wird er die Routen weder kennen, noch setzen.

Nun, nach Studium diverser Tutorials hab ich folgende Schritte durchgeführt:

- Am Raspi den OpenVPN-Client eingerichtet
- in der /sys/sysctrl.conf packet forwarding mit net.ipv4.ip_forward=1 aktiviert
- im Router eine statische Route fürs Zielnetz auf den Raspi gesetzt
Fehlt auf jeden Fall noch das Routing und die Konfiguration der UTM.

Nun, jetzt steh ich eben an und hab die Frage hier gestellt... [[;)]]

Aber eine SD-Card kann man ja schnell platt machen und neu anfangen... [:D]

Roland
Cancel
Vote Up 0 Vote Down

Cancel
0 K.N. over 9 years ago

Kannst Du die Rountingtable von beiden Seiten posten?
Kannst Du auf beiden Seiten mit tcpdump prüfen, ob zB icmp ankommen und weggehen?
Cancel
Vote Up 0 Vote Down

Cancel
0 Roland M. over 9 years ago in reply to K.N.
Hallo!

Danke für die Hilfe, werde es so gut es geht beantworten:

Kannst Du die Rountingtable von beiden Seiten posten?

Am Raspi ist das sehr "übersichtlich" [;)] :
root@raspi:/home/pi# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@raspi:/home/pi#

Auf der UTM-Seite hab ich noch nichts angegriffen, wie kommt man da zu so einer Tabelle? (Mir fehlt einfach die Praxis, die UTM arbeitet zu stabil... [:)] ).

Kannst Du auf beiden Seiten mit tcpdump prüfen, ob zB icmp ankommen und weggehen?

tcpdump ist nicht installiert, aber ich kann es so auch beschreiben:

Heimnetz: 10.0.0.0/24
- UTM: 10.0.0.250
- Server: 10.0.0.200
Testnetz: 10.0.1.0/24
- Router: 10.0.1.1
- Raspi: 10.0.1.103
- Laptop: 10.0.1.101

Ping von Raspi auf Server funktioniert!
Tracert von Laptop auf Server bleibt am Raspi hängen:
C:\Users\Roland>tracert 10.0.0.200

Routenverfolgung zu 10.0.0.200 über maximal 30 Abschnitte

  1     1 ms

Also funktioniert die statische Route im Router, der Raspi kann nur nichts mit den Paketen anfangen...

Wie gesagt, vom Heimnetz ins Testnetz funktioniert (außer den Ping-Antworten) noch nichts, da noch nichts definiert ist.

Roland
Cancel
Vote Up 0 Vote Down

Cancel
0 K.N. over 9 years ago

Nicht iptables, sondern Routing Table. Also Shell auf beide und dann als rot

route -n
ifconfig tun0
tcpdump -n -i tun0 icmp

tun0 sollte das sslvpn Interface sein, sofern Du nicht mehrere Tunnel hast.

Shellzugriff auf die UTM per SSH mit loginuser und über su - zum root. Aktiviert wird das unter Management- System Settings - Shell Access
Cancel
Vote Up 0 Vote Down

Cancel

0 Roland M. over 9 years ago

Hallo!

Danke für die Geduld und Nachhilfe!

tcpdump am Raspi nachinstalliert, da schaut das Ergebnis so aus:

login as: pi
pi@10.0.1.103's password:
Linux raspi 3.12.35+ #730 PREEMPT Fri Dec 19 18:31:24 GMT 2014 armv6l

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue Feb 10 11:24:10 2015 from 10.0.1.101
pi@raspi ~ $ sudo su
root@raspi:/home/pi# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0
10.0.0.0        10.242.2.5      255.255.255.0   UG    0      0        0 tun0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0
10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
62.99.233.115   10.0.1.1        255.255.255.255 UGH   0      0        0 eth0
root@raspi:/home/pi#
root@raspi:/home/pi#
root@raspi:/home/pi# ifconfig tun0
tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet Adresse:10.242.2.6  P-z-P:10.242.2.5  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
          RX packets:44 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10206 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:3504 (3.4 KiB)  TX bytes:545713 (532.9 KiB)

root@raspi:/home/pi#
root@raspi:/home/pi#
root@raspi:/home/pi# tcpdump -n -i tun0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
21:08:31.765563 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 641, length 40
21:08:31.765854 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 641, length 40
21:08:32.765403 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 642, length 40
21:08:32.765680 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 642, length 40
21:08:33.761485 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 643, length 40
21:08:33.761768 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 643, length 40
21:08:34.761982 IP 10.0.0.1 > 10.242.2.6: ICMP echo request, id 1, seq 644, length 40
21:08:34.762278 IP 10.242.2.6 > 10.0.0.1: ICMP echo reply, id 1, seq 644, length 40
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
root@raspi:/home/pi#

(Den Ping konnte ich hier nur auf die Tunnel-IP machen.)

Und auf der UTM so:

login as: loginuser
loginuser@10.0.0.250's password:


Sophos UTM
(C) Copyright 2000-2014 Sophos Limited and others. All rights reserved.
Sophos is a registered trademark of Sophos Limited and Sophos Group.
All other product and company names mentioned are trademarks or registered
trademarks of their respective owners.

For more copyright information look at /doc/astaro-license.txt
or www.astaro.com/.../astaro-license.txt

NOTE: If not explicitly approved by Sophos support, any modifications
      done by root will void your support.

loginuser@echo:/home/login > su -
Password:
echo:/root # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth2
10.242.2.0      10.242.2.2      255.255.255.0   UG    0      0        0 tun0
10.242.2.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
62.99.233.112   0.0.0.0         255.255.255.248 U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
echo:/root #
echo:/root #
echo:/root # ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.242.2.1  P-t-P:10.242.2.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2104382 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2989777 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:269402348 (256.9 Mb)  TX bytes:3177531678 (3030.3 Mb)

echo:/root #
echo:/root #
echo:/root # tcpdump -n -i tun0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
21:11:37.263947 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 1, length 64
21:11:37.264544 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 1, length 64
21:11:38.265645 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 2, length 64
21:11:38.266015 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 2, length 64
21:11:39.267215 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 3, length 64
21:11:39.267583 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 3, length 64
21:11:40.268787 IP 10.242.2.6 > 10.0.0.200: ICMP echo request, id 6925, seq 4, length 64
21:11:40.269149 IP 10.0.0.200 > 10.242.2.6: ICMP echo reply, id 6925, seq 4, length 64
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
echo:/root #

Roland

0 Roland M. over 9 years ago in reply to K.N.

Nachtrag:

Wenn ich vom Laptop (10.0.1.101) via Raspi den Server (10.0.0.200) anpingen will, gibt tcpdump am Raspi nur Requests aus, keine Antworten:

root@raspi:/home/pi# tcpdump -n -i tun0 icmp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes

21:29:32.853459 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2227, length 72

21:29:36.471449 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2228, length 72

21:29:40.471720 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2229, length 72

21:29:44.473286 IP 10.0.1.101 > 10.0.0.200: ICMP echo request, id 1, seq 2230, length 72

Während dieser Zeit ist tcpdump am UTM komplett still.

Roland

0 K.N. over 9 years ago

?

Die UTM kennt übrigens das Netz 10.0.1.0/24 nicht.

Im tcpdump auf der UTM kommt nichts an? Schickt Du parallel dazu bitte noch ein ping vom RB?
Cancel
Vote Up 0 Vote Down

Cancel