Installation Softether VPN unter UCS

Hallo goddi,

schau hier, dann setze für Dich um. Musst halt nur zusätzliche Paketquellen einschalten.

[url]Htop unter UCS]

Mfg,
Michael

Hallo! Danke MichaelB!

ucr set repository/online/unmaintained=‘yes’
univention-install built-essential

aus dem link oben hat wunderbar funktioniert.

Das Tutorial https://linux-scout.de/sicherheit/softether-vpn-server-unter-debian-installieren sagt,
man soll die Anwendung nach dem make nach /usr/local/vpnserver verschieben.

Das sieht mir aber gar nicht so aus, als ob /usr/local beim UCS der präferierte Ort für Anwendungen ist.

Welches ist denn das für solche Sachen geeignete Verzeichniss beim UCS. Ich möcht die Ordnung gerne einhalten.

Hallo!

Ach - ich nehm einfach /usr/share dazu her. Sieht stimmig aus.

Naja dIstributionsfremden Kram installiert man normalerweise tatsächlich nach /usr/local/ oder nach /opt

Hallo! OK! Mach ich.

Hallo!

Im Grund funktioniert schon was, mit Softetherstandardport 443 funktioniert einiges, aber nicht mehr die Serveroberfläche (HTTPS).
Also ändere ich die Ports, da vermute ich aber nun, da plötzlich nichts mehr funktioniert (Verwaltung über Windowsclient), daß die UCS
Firewall blockiert.

Gibt es ein einfaches Rezept, wie ich ports freigeben kann? iptables wird ja irgendwie über registry gemanagt.

Pardon - ich probier mal nach
… [url]Univention-firewall Ports manuell öffnen]

Hallo!

Da bin ich wieder. Ich habe zwar jetzt eine VPN Verbindung zum UCS Server, aber auf der passiert nichts. (Aufruf der ip im Browser von extern)

In der Zwischenzeit habe ich den Softether VPN Server auf Windows10 installiert und hatte das gleiche Problem.
Dort war es eine erweiterte Einstellung in der Firewall, daß unaufgefordert eingehende UDP Packete auf den ports nicht angenommen werden.
Funktioniert nun super.

Nun die Fragen:

Ist die Univentionfirewall auch so eingestellt?
wie kann ich das dann ändern?
wie kann ich zum Testen die Firewall ganz abschalten?

root@master:~# ucr search security/packetfilter [snip] security/packetfilter/tcp/.*: <empty> Variables following the scheme 'security/packetfilter/tcp/*' allow the configuration of packet filter rules for TCP ports. A verbose description can be found in the Univention developer reference <http://docs.univention.de/>. security/packetfilter/udp/.*: <empty> Variables following the scheme 'security/packetfilter/udp/*' allow the configuration of packet filter rules for UDP ports. A verbose description can be found in the Univention developer reference <http://docs.univention.de/>. [/snip] root@master:~# ucr search security/packetfilter/disabled security/packetfilter/disabled: <empty> If this option is enabled, Univention Firewall isn't used. If the variable is unset, Univention Firewall is used.

Nach jeder Änderung:

root@master:~# invoke-rc.d univention-firewall restart

Hallo!
Das posting war mir sehr hilfreich und ich kann nun mit der Firewall etwas umgehen.

Ich mache folgendes
ucr set security/packetfilter/udp/4500/all=ACCEPT
ucr set security/packetfilter/udp/500/all=ACCEPT

nun sehe ich mit ucr search security/packetfilter die ports angezeigt.

sehe ich mir aber sbin/iptables -L > xx mit nano an und suche 500, finde ich nur 4500 als einzigen Fund

ich habe nun port 500 mehrfach mit unset und set versucht zu entfernen und neu anzulegen, was in security/packetfilter gelingt,
aber nicht in den iptables landet.

was könnte ich falsch machen ?

[quote=“Petersen”]

Nach jeder Änderung:

root@master:~# invoke-rc.d univention-firewall restart

Haben Sie das berücksichtigt?

xx.txt (3.88 KB)Hallo!
Ich habe jeweils service univention-firewall restart gemacht, was die gleichen Meldungen bringt wie

root@Administrator:-# invoke-rc.d univention-firewall restart

ändert das nicht.

anbei der output von /sbin/iptables -L > xx
und ucr search security/packetfilter > yy

Hm … es gibt ja diese “privilegierten ports” < 1024.
Könnte das damit zu tun haben?
yy.txt (27.6 KB)

Das geht ziemlich genau so, wie Sie es beschreiben, und es gibt auch keine Probleme mit unprivilegierten Ports < 1024. Beweis:

[0 root@master ~] ucr set security/packetfilter/udp/4500/all=ACCEPT Create security/packetfilter/udp/4500/all File: /etc/security/packetfilter.d/10_univention-firewall_start.sh File: /etc/security/packetfilter.d/80_univention-firewall_policy.sh Module: zarafa-cfg [0 root@master ~] ucr set security/packetfilter/udp/500/all=ACCEPT Create security/packetfilter/udp/500/all File: /etc/security/packetfilter.d/10_univention-firewall_start.sh File: /etc/security/packetfilter.d/80_univention-firewall_policy.sh Module: zarafa-cfg [0 root@master ~] service univention-firewall restart Stopping Univention iptables configuration::. Starting Univention iptables configuration::. [0 root@master ~] iptables -L -nv|grep 500 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500

Leider haben Sie die Ausgabe von iptables nicht angehängt…

Sie schrieben weiter von Port 443 und Webbrowser. Webbrowser nutzen TCP zur Kommunikation, nicht UDP. Sprich Sie haben im Zweifelsfall noch einen dritten beteiligten Port, für den Sie natürlich auch noch eine Regel benötigen. Die Portnummern 500 und 4500 lassen stark auf ein IPSEC-basierendes VPN schließen.

Sprich: Ports 500, 4500 UDP und Verwaltungsport (normalerweise 443, von Ihnen aber umkonfiguriert) TCP.

Hallo!

Vielen Dank für die Antwort!

Gerade setze ich laienhaft UCS neu auf und probiere das am jungfräulichen System.
Mit viel Probieren ohne es genau zu wissen nimmt man (bzw. schaffe ich das) Linux ja ab und zu die Unschuld.
Ich brauche 5555 und/oder 8888 TCP und 500 und 4500 UDP.

443 TCP hat sich als eigentlich nicht nötig herausgestellt. Softether VPN lauscht auch auf 443 TCP zur VPN Serververwaltung,
aber die 5 vorgesehenen ports kann man bis auf einen abschalten bzw konfigurieren.

Aber standardmäßig blockiert(e) das erst mal die UCS Verwaltunkskonsole (HTTPS), was behoben ist.

500 und 4500 UDP sind tatsächlich fur ipsec/lpt2 nötig, 8888 oder 5555 TCP für die Steuerung

xx.txt ist der output von iptables. Das ist dabei, aber seltsamerweise oben in der mail.

Ich setze also mal neu auf …

Wenn es um ipsec geht sollte noch Protokoll 50 und 51 in der Firewall erlaubt werden.

Hallo!

Ich habe mittlerweile die Firewall ganz ausgeschaltet, weil ich nicht weiterkomme.
Den Tunnel kann ich öffnen, es findet aber kein Traffic statt.
Nun bin ich darüber gestolpert, daß wenn man nicht diverse mir suspekte Komfortfunktionen
(Dyndns nach Japan & sog. Secure Nat) verwendet, DHCP braucht.
Mein Client bekommt offensichtlich keine IP vom Server.(ipconfig)
Zwar macht meine Fritzbox DHCP (hab ein ziemlich hetrogenes Netzwerk auch zum Experimentieren) -
aber nun sollte wohl auch der Univention Server noch DHCP machen.

Wie kann ich denn UCS klarmachen, daß es mir für parallel zur Fritzbox für vpn DHCP für VPN macht?

Centos ist das eine - UCS das andere.
Ich will ja Richtung UCS, weil das momentan doch eine elegantere Verwaltungsoberfläche hat als vi /etc/…

Wenn besagter VPN-Client auf einem Interface DHCP machen muss, dann muss auch der VPN-Client selber den DHCP-Client für genau dieses Interface starten. Das ist nicht Job vom Betriebssystem.

Warum nun der Client nicht so tut, wie er tut? Keine Ahnung, das ist allerdings auch Dritt-Hersteller-Software, die wir hier im UCS-Forum nun wirklich nicht supporten können. Sorry.

Hallo!

Hab herausgefunden, daß man beim Softether Vpnserver herumschalten kann und z.B virtuelles dhcp an.
Nun habe ich eine Client-IP. Geht aber immer noch nicht. Ich werde das mal unter Centos ausprobieren.
u.U finde ich so das Problem.

Das mit der Drittherstellersoftware ist mir schon klar. Vielen Dank also für die Unterstützung.

Hallo!

Mittlerweile habe ich das VPN auf einem minimal Centos zum funktionieren gebracht.
Letztendlich muß man den “virtuellen DHCP” Server passend einrichten und eine zweite Netzwerkkarte einbauen,
eine für VPN und eine für den Rest, da man sonst nicht auf Anwendungen auf dem Server zugreifen kann. (nur auf den Rest des Netwerks)
Das soll irgendwie an Kernelbeschränkungen liegen.

Allerdings hat da wohl meine Fritzbox solange gestreikt, bis ich den Netzwerkkarten feste IP’s vergeben habe.

Das möchte ich nun auf UCS nachziehen.

Darf ich das auf dem UCS auch, mache ich das manuell über die Kommandozeile oder muß die registry einstellen?

Pardon!

http://docs.software-univention.de/handbuch-4.0.html#computers:Netzwerk-Interfaces

Hallo!

Zu guter Letzt wollte ich noch sagen, daß meine etwas laienhaften Versuche mit Ihrer Hilfe dann dennoch zu einem funktionierenden
Softether VPN auf einen UCS 4 Server geführt haben.

Wie oben erwähnt - die Kernprobleme waren

1.) Die Firewall (erst mal ausschalten) und Portweiterleitungen z.B TCP 8888 UDP 500 und 4500 für IPSEC/LPT2
2.) Das “virtuelle DHCP” des VPNServers richtig konfigurieren (bei mir DNS usw. Fritzbox)
3.) Anscheinend sind 2 Netzwerkkarten nötig, eine für VPN,eine für den Rest, wegen Linuxkernelproblemen -
ansonsten kann man zwar auf das Netzwerk zugreifen aber nicht auf den VPNHost
4.) Feste IP’s für die Ethernetadapter (sonst macht die Fritzbox keine Verbindung)

Der Vorteil gegen Openvpn ist halt für mich, daß echte Freeware ist.

“Virtual NAT” und Dyndns hab ich abgeschaltet

Mastodon