Beiträge von MrXfree11

okay, never mind. Ich habe noch mehr beschädigte Dateien gefunden.

Ich schließe das hier, da wird eine Neuinstallation fällig.

Cheers

Hallo zusammen,

ich erreiche nach einem Stromausfall das EMI bei meiner Endian community-appliance-5.0.4-2.d2 nicht mehr.

Wenn ich den Dienst per Shell neustarte, erhalte ich:

root@FIW001:/etc/endian # /etc/init.d/emi restart
▒g▒g▒▒g▒*g▒*▒g▒/g▒/▒g▒@g▒D▒g▒ng▒o▒g▒g▒▒g▒g▒▒g▒g▒▒g▒▒g▒▒▒gg▒
                                                           ▒g▒g▒▒g▒/g▒0▒g▒8g▒: No such file or directory
/etc/sysconfig/emi: line 1: $'\377g\374Kg\374K\377g\374Wg\374W\377g\374g\374_\377g\374fg\374g\377g\374pg\374p\306g\374xg\374\177\377g\374\210g\374\213\377g\374\230g\374\233\377g\374\240g\374\240\377g\374\264g\374\264\377g\374\266g\374\267\377g\374\276g\374\300\377g\374\302g\374\302\377g\374\366g\374\366\377g\375\026g\375\026\377g\375@g\375C\377g\375g\375_\377g\375dg\375g\377g\375vg\375w\377g\375~g\375\177\377g\375\260g\375\260\377g\375\263g\375\263': command not found
Shutting down Endian Management Interface (emi):           [  OK  ]
Starting emi:                                              [  OK  ]
root@FIW001:/etc/endian #

hat jemand eine Idee, wo ich mit der Suche beginnen kann?

Vielen Dank.

Hallo zusammen,

ich komme hier nicht weiter, und hoffe auf Eure Hilfe.

Im Anhang, ist ein Bild, um mein Setup etwas zu verdeutlichen.

In Site A habe ich eine aktuelle Endian 3.2.5 aufgesetzt, die Endian ist das Default GW für das LAN. Im LAN stehen ein Server und ein OpenVPN-Server.

Site B baut einen Tunnel zum VPN-Server auf. Auf der Endian sind die Routen für das VPN-Netz und für das Netz von Site B eingetragen (Unter Netzwerk=>Routing=>Statisches Routing.) Vom Server in Site A aus, kann ein Client PC in Site B erreicht werden (ping) umgekehrt, also von Site B nach Site A, kann der Client den OpenVPN-Server und die Endian erreichen (ping/ssh) jedoch nicht den Server. Im Log der Endian wird protokolliert, dass die Antworten vom Server in Site A an Client in Site B verworfen werden:

BADTCP:DROP br0 (br0) 172.19.6.5:br0 -> 172.19.40.104:00:0c:27:ae:66:33:00:0c:27:d8:a0:d3:08:00 (br0)

Zur Prüfung, ob das Routing sauber funktioniert, habe ich auf dem Server vorübergehend, eine Route für das Netz in Site B direkt über den OpenVPN-Server eingetragen, dann klappt die Kommunikation auch in beide Richtungen. Auf der Endian habe ich unter Firewall=>Ausgehender Datenverkehr=> eine Regel eingefügt:

Quelle Netz Site A : Ziel Netz Site B Dienst alle "erlauben"

jedoch ohne Effekt.

Wenn ich auf der Konsole ein:

iptables -I FORWARD -j ACCEPT

mitgebe, dann läuft die Kommunikation ebenfalls in beide Richtungen, aber das ist ja nicht im Sinne des Erfinders. Kann mir jemand weiter helfen, was mache ich falsch.

Danke schon mal.

Beste Grüße,

Ingo

Danke, da bin ich ja froh das der Fehler so schnell nachvollzogen werden konnte. Es verhält sich genau wie bei mir. Wenn man per route add -net 0.0.0.0 gw xx.xx.xx.xx das Default GW auf den Provider setzt, dann geht es auch, scheint als ob die vom Provider per DHCP übermittelten Informationen nicht ausgewertet werden.

Hallo und Gutes Neues Jahr zusammen!

Sehnsüchtig habe ich, so wie vermutlich viele hier, die 2.5er Release erwartet. Allerdings habe ich ein Problem, ich komme online, aber es wird kein Default gateway gesetzt. Wenn ich die Route manuell setzte, dann funktioniert alles. Den MD5 Hash des ISOs habe ich verifiziert, der Download scheint also OK zu sein. Meine Umgebung für die Testinstallation ist ein ESX 4.1.0, 502767 Die VM hat folgende Einstellungen: System: "anderes 2.6 Kernel Linux", 64bit. Ich habe mit den Netzwerkkarten VMXNET3 wie auch E1000 getestet, kein Unterschied. Kennt jemand das Problem? Welche Logs soll ich zur Verfügung stellen um das Problem einzugrenzen. Achso ja, ich gehe per pppoe online. Eine Endian 2.4.1 läuft mit den selben Einstellungen Einwandfrei.

MfG MrXfree11

Sooo viele Antworten

Na dann will ich mal meine "Forschungsergebnisse" vermelden. Im Log hat mich die Meldung

rootserver[32579]: openvpnbridge.py: error: Invalid ip or netmask "192.168.27.18 192.168.27.17"

irritiert. Als ich dann unter

/etc/openvpn/ifup.client.d/

das "00bridge" file temporär aus dem Verzeichnis verschoben habe konnte dem Client eine IP zugewiesen werden. Offensichtlich hatte die EFW immer angenommen es handle sich um ein "Bridge-Setup" und versuchte daher der Bridge eine IP zu geben.

Der Tunnel ist dann aber einen Schritt später wieder eingebrochen. Hat jemand eine Idee wie bei der EFW der Chipher eingestellt wird?

Wenn ich entweder in der client.cnf der EFW folgendes eintrage:
cipher AES-256-CBC

oder den entsprechenden Eintrag auf dem Server auskommentiere dann geht der Tunnel. Jedoch möchte auch auf den Chipher nicht verzichten.

Beste Grüße

MrXfree11

Moin,

nach dem die 2.4er Release raus ist wollte ich mich nochmal mit efw beschäftigen. Ich habe folgendes Setup:

Ein Sternförmiges VPN mit einem Rootserver als Knoten.
Rootserver (bei einem Hoster) als OpenVpn-Server eingerichtet Hört auf TCP:443
5 Ubuntu basierte Clients die sich dort "einwählen". Die Clients routen jeweils Ihre Netze ins VPN nicht aber das Default GW obowhl zusätlich auf dem Rootserver auch ein Sqiud läuft. Hauptsächlich nutzen wir aber den Sambaserver für gemeinsamen Datenaustausch.
Dieses Setup läuft schon sehr lange, ( >2 Jahre )und äußerst stabil. Jetzt habe ich meinen Ubuntu VPN-Router hier in der Firma durch die aktuelle efw abgelöst. Hat ein bissche Zeit gekostet, die crt und key files in pem zu konvertieren, hier der Befehl falls es jemand braucht:

openssl pkcs12 -export -in client001.crt -inkey client001.key -certfile ca.crt -out client001.pkcs12
Progamm                Client Zertifikat          Client Key       CA-Zertifikat           Endprodukt

Wichtig ist, das Zertifikat der CA mit reinzupacken

Die efw kann die Verbindung zum VPN-Server aufbauen, aber wenn der Server den Client eine IP zuweisen will, scheint die efw es nicht zu verstehen, beziehungsweise die Syntax ist falsch. Hier ist der Logauszug, vielleicht ist es offensichtlich und ich sehe nur den Wald vor laute Bäumen nicht mehr. Ich bin für Tipps echt dankbar:

OpenVPN 
2010-09-27 15:49:58 
rootserver[32579]: Mon Sep 27 15:49:58 2010 [vpn.meinrootserver.de] Peer Connection Initiated with 192.168.xx.xx:8080 
OpenVPN 
2010-09-27 15:49:59 
rootserver[32579]: Mon Sep 27 15:49:59 2010 TUN/TAP device openvpntun0 opened 
OpenVPN 
2010-09-27 15:49:59 
rootserver[32579]: Mon Sep 27 15:49:59 2010 /sbin/ip link set dev openvpntun0 up mtu 1500 
OpenVPN 
2010-09-27 15:49:59 
rootserver[32579]: Mon Sep 27 15:49:59 2010 /sbin/ip addr add dev openvpntun0 local 192.168.27.18 peer 192.168.27.17 
OpenVPN 
2010-09-27 15:49:59 
[color=#FF0000]rootserver[32579]: Mon Sep 27 15:49:59 2010 /usr/local/bin/dir.d-exec /etc/openvpn/ifup.client.d/ openvpntun0 1500 1544 192.168.27.18 192.168.27.17 init 
System 
2010-09-27 15:49:59 
kernel: [12175.392631] openvpntun0 Disabled Privacy Extensions 
[init|restart]" log_type="openvpn" linecolor="#fff" 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: usage: openvpnbridge.py <options> <device> <mtu> <mru> <local_ip> <local_netmask|remote_ip> [init|restart] 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: openvpnbridge.py: error: Invalid ip or netmask "192.168.27.18 192.168.27.17" 
OpenVPN 
2010-09-27 15:50:00 
rootserver[32579]: run-parts: /etc/openvpn/ifup.client.d//00bridge exited with return code 2 
System 
2010-09-27 15:50:00 
sudo: nobody TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/usr/local/bin/setrouting.py 
OpenVPN 
2010-09-27 15:50:01 
rootserver[32579]: Mon Sep 27 15:50:01 2010 Initialization Sequence Completed 
System 
2010-09-27 15:50:10 
fetchipac (473) segfault at 1 ip b76e2e16 sp bfea5448 error 4 in libc-2.3.4.so[b768f000+114000] 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: Mon Sep 27 15:50:12 2010 Authenticate/Decrypt packet error: cipher final failed 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: Mon Sep 27 15:50:12 2010 Fatal decryption error (process_incoming_link), restarting 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: Mon Sep 27 15:50:12 2010 /usr/local/bin/dir.d-exec /etc/openvpn/ifdown.client.d/ openvpntun0 1500 1544 192.168.27.18 192.168.27.17 init 
[init|restart]" log_type="openvpn" linecolor="#fff" 
OpenVPN 
2010-09-27 15:50:12 
rootserver[32579]: usage: openvpnbridge.py <options> <device> <mtu> <mru> <local_ip> <local_netmask|remote_ip> [init|restart] 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: openvpnbridge.py: error: Invalid ip or netmask "192.168.27.18 192.168.27.17" 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: Mon Sep 27 15:50:13 2010 /sbin/ip addr del dev openvpntun0 local 192.168.27.18 peer 192.168.27.17 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: run-parts: /etc/openvpn/ifdown.client.d//00bridge exited with return code 2 
OpenVPN 
2010-09-27 15:50:13 
rootserver[32579]: Mon Sep 27 15:50:13 2010 SIGUSR1[soft,decryption-error] received, process restarting

Konfiguration von efw (Client)

# Begin Additional configuration:
# (This is to cause the process to restart whenever
#  such a configuration value changes)
# NAT: 
# Routetype: routed
# Block DHCP: 
# End Additional configuration


client
pull


comp-lzo yes


nobind
resolv-retry infinite
script-security 2 system


dev openvpntun0
dev-type tun


pkcs12 /var/efw/openvpnclients/rootserver/certs.p12
ns-cert-type server


tls-auth /var/efw/openvpnclients/rootserver/tls.key 1


proto tcp


remote xx.xx.xx.xx 443 tcp


http-proxy 192.168.xx.xx 8080
http-proxy-retry








writepid /var/run/openvpn/client_rootserver.pid


up-delay
up "/usr/local/bin/dir.d-exec /etc/openvpn/ifup.client.d/"
down-pre
down "/usr/local/bin/dir.d-exec /etc/openvpn/ifdown.client.d/"

L

Beste Grüße

MrXfree11

Hallo zusammen, schöne Weihnachten und gutes Neues

ich war jetzt lange offline dank meinem geliebten Provider (..anderes Thema..) leider hat sich an der Situation nicht viel getan. Wie vorgschlagen, habe ich im Firewall Log alle Ports untersucht und die Ports, die bei einem Telefonat relavant sind freigegeben. Ich habe inzwischen testhalber alle abgehenden Ports:

Fritzbox Red IF Link Proto Range Desc.
192.168.1.100 Uplink main TCP+UDP/0:65535 Telefonie

unter Firewall->ausgehender Datenverkehr von der Fritzbox erlaubt, um nur an einer Stelle schrauben zu müssen.

Unter Firewall->Portweiterleitung/NAT->Source Nat habe ich die beiden folgenden Regeln eingeflegt:

192.168.1.100 Uplink main UDP/7077
UDP/7078
UDP/7079
UDP/7080
UDP/7081
UDP/7082
UDP/7083 Uplink main telefonie

192.168.1.100 Uplink main UDP/5060
UDP/5061
UDP/5062 Uplink main telefonie

192.168.1.100 Uplink main UDP/30000:30019 Uplink main SIP RTP

192.168.1.100 Uplink main UDP/3478:3490 Uplink main SIP DNS

192.168.1.100 Uplink main UDP/5070:5076 Uplink main WEBPORTS

192.168.1.100 Uplink main UDP/7078:7090 Uplink main SIP RTP

Fehlt mir da was? Den Hinweis die voip.cfg anzupassen habe ich nicht verstanden, was ist da zu machen? Hat das was mit der Kompression oder den Codecs zu tun? In der Hinsicht bin ich leider nicht sonderlich bewandert wäre schön wenn mich da jemand an die Hand nehmen könnte.

Vielen Dank schon mal im Voraus,

MfG MrXfree11

Hallo Forum,

ich habe mit der 2.3 Release von IP-Cop nach Endian gewechselt, obwohl ich meine "Produktiv" Firewall auf einer dezidierten Kiste laufen lasse, war doch mit einer der ausschlaggebenden Gründe, dass man im IP-Cop Forum als ESX-User gleich mit dem Löschen des Threads gestraft wurde, wenn das Thema auf die Verwendung der Firewall in einer virtualisierten Umgebung aufkam. Wie dem auch sei. Nach der Installation hätte ich da ein paar Fragen, wie ich meine Fritzbox / Firewall konfigurieren muss um wieder Telefonieren zu können. Die Fritzbox erreicht meinen VOIP Anbieter einfach nicht und mit jedem Tag der vergeht, sinkt der WAF der neuen Firewall.

Mein Setup ist wie folgt:
Netzwerk rot(DSL) und grün(LAN)
Die Endian-FW 2.3 Community wählt sich per PPPOE über ein DSL-Modem ein,
die Fritzbox sitzt im "Grünen" LAN.

DSL und Telefonieanbieter ist Freenet, zusätzlich gibt es noch einen SIP-Account bei SIG-Gate fürs FAX.

Da es im Forum nicht allzuviele, um genau zu sein keine? Probleme wie das Meine zu geben scheint, musste ich außer der Foremsuche auch Google bemühen und konnte "nur" dieses finden, was mit aber leider auch nicht weitergeholfen hat:
http://www.ip-phone-forum.de/showthread.php?t=129358

Also für Tipps und Ratschläge bin ich sehr dankbar.

Cheers mrXfree