Hallo,

ich möchte gerne TeamSpeak über hamachi unter Ubuntu 6.10 zum laufen bringen.

Hierbei habe ich ein Problem:
Hamachi läuft einwandfrei
TeamSpeak Server und Client laufen einwandfrei, aber:
andere können nicht auf meinem TeamSpeak Server joinen

Ich glaube, ich habe bereits die Ursache für das Problem entdeckt:
Mein Router schützt das Netz mit NAT. Unter Windows gibt es keine Probleme, da ich Hamachi über die Option 'Magic-Port' dazu zwingen kann, einen bestimmten Port zu verwenden.

Diese Option habe ich scheinbar in der Linux-Version von hamachi nicht - oder doch? - Kennt jemand vielleicht eine Möglichkeit, wie man hamachi unter Linux dazu zwingen kann nur einen bestimmten Port zu verwenden?

Ansonsten ist hamachi für Leute mit einem NAT-Router wertlos.

PS: NAT abschalten ist keine Option.

Danke schonmal für eventuelle Ideen/Vorschläge

***unter ./hamachi gibt es diverse Dateien - eine nennt sich ipc_sock - könnte es sein, daß man hier den magic-port eintragen kann?

Hilft dir vielleicht
http://hamachiwiki.com/Set_static_port_for_incoming_traffic
oder generell
http://forums.hamachi.cc/viewforum.php?f=15&sid=4bff3d81dbd0f49391f47dc82cfdc964
weiter?
Grüße
wintermute

Hilft dir vielleicht
http://hamachiwiki.com/Set_static_port_for_incoming_traffic
oder generell
http://forums.hamachi.cc/viewforum.php?f=15&sid=4bff3d81dbd0f49391f47dc82cfdc964
weiter?
Grüße
wintermute
Super! - Genausowas habe ich gesucht! - Wieso spukt google bei mir nie was sinnvolles aus? - Ich werde es morgen gleich mal ausprobieren.

Arrgh - immernoch Probleme:

sudo hamachi start

cfg: unrecognized or invalid entry 'TcpPort'

Die Einstellung für den UdpPort scheint er jedoch zu akzeptieren... zumindest startet hamachi mit dem Eintrag UdpPort ohne Fehlermeldung.

Woran könnte das liegen?
kennt hamachi@linux kein Tcp? - oder muß ich Tcp vielleicht noch nachinstallieren?

Gibt es eine Möglichkeit unter ubuntu 6.10 festzustellen, ob hamachi den eingestellten UdpPort auch tatsächlich verwendet?

Ich habe eben etwas total Beklopptes rausgefunden:

Angeblich braucht man unter Linux doch keine Firewall -> von wegen!

In Ubuntu 6.10 ist offenbar eine ziemlich suboptimale Lösung eingebaut worden. -> Da können Linux Benutzer natürlich lange an Hamachi und TeamSpeak herumkonfigurieren. -> Unter Ubuntu 6.10 wird ein TeamSpeak RC2 Server nicht freiwillig auf einer 5.xxx.xxx.xxx laufen.

Es sei denn:
Man installiert erst eine Firewall (zB. Firestarter) und deaktiviert diese. - Erst dann laufen Hamachi und Teamspeak Server RC2 auch unter Ubuntu 6.10 einwandfrei. :hammer:

Ich habe jetzt alles ausprobiert: Der einzige Weg den TS2-Server für andere über eine 5.xxx.xxx.xxx Adresse verfügbar zu machen, ist eine deaktivierte Firewall im Speicher zu haben. Es bringt auch nichts die Firewall einfach nicht zu laden -> Nein. -> Man muß sie erst laden und dann deaktiviert im Speicher rumgammeln lassen.

Kann man da irgendwas machen?
Ohne die deaktivierte Firewall kann ich aus dem Internet auch nicht auf meiner 5.xxx.xxx.xxx IP gepingt werden.

Ich habe mal was von iptables gehört.

sudo iptables -L

Und schon listet er säckeweise Regeln, die ich nie im Leben aufgestellt habe.

Hat jemand im 3DCF Ahnung von den iptables? -> Was sollte/muß ich machen um Ubuntu soweit 'tiefer zu legen', daß Hamachi und der TS-Server auch ohne explizit deaktivierte Firewall laufen?

Die Befehle:

sudo IPTABLES -F
sudo IPTABLES -t nat -F
sudo IPTABLES -t mangle -F
sudo IPTABLES -X

löschen alle IPTables-Regeln im System.

Firewall ist nur ein Frontend für iptables.
Fedora bringt ein kleines Frontend mit, in dem man Ports öffnen kann. Ich bin mir sicher, das Ubuntu bzw. Debian auch hat.
Grüße
wintermute

löschen alle IPTables-Regeln im System.
Hmm...
...funktioniert danach dann alles oder nichts mehr?

Ich habe noch keinen Überblick. Und wenn ich sehe was für einen kryptischen Müll iptables -L auswirft, wird mir schlecht, weil ich die Hälfte davon nicht verstehe.

Gibt es in Ubuntu 6.10 nicht irgendwo einen Schalter, mit dem man die iptables vorübergehend (zu Testzwecken) mal deaktivieren kann? (Ich habe mich gestern ziemlich aufgeregt, weil ich genau die Probleme mit TeamSpeak hatte, die alle anderen offenbar auch haben: Außer mir konnte keiner meinen Server joinen. - Im Internet liest man dann überall, daß es zu 100% am NAT des Router liegt, und das man nur die entsprechenden Ports forwarden muß. -> Da steht man natürlich erstmal auf dem Schlauch, wenn man vermeintlich "naked" im Internet steht und immernoch keiner auf den Server drauf kann. :(

Am Sicherheitskonzept von Ubuntu 6.10 ist eins klar zu bemängeln: Der User wird bei der Installation und auch im folgenden völlig darüber im unklaren gelassen, daß eine äußerst giftige System-Firewall per default jeden Non-Ubuntu-Service im Keim erstickt.

Firewall ist nur ein Frontend für iptables.
Fedora bringt ein kleines Frontend mit, in dem man Ports öffnen kann. Ich bin mir sicher, das Ubuntu bzw. Debian auch hat.
Grüße
wintermute
Ich bin noch auf der Suche nach sowas bei Ubuntu 6.10. -> Mit der Firewall Firestarter gibt es nämlich weitere Probleme:
Aus Sicherheitsgründen läuft mein Teamspeak-Server nicht über meinen user-account. -> Ich habe einen extra account ohne jegliche Rechte für den Teamspeak-Server eingerichtet.
Das Problem: Firestarter scheint diesen account nicht mit zu scannen. Wenn also ein Service vom TS-Server vom System geblockt wird, kriege ich hierüber zero Feedback von Firestarter. Offenbar da es meinen user-account ja nicht betrifft... *arrgh*
Dank den iptables ist es übrigens schon soweit, daß sich Gaim die Hamachi Ports klaut. So kann das ja alles nicht funktionieren!

Würde es eventuell einen Unterschied machen, wenn ich Firestarter als root starte? -> wenn JA -> wie starte ich Firestarter als root?

Ich hätte gerne die Kontrolle über mein System zurück.

Wie regelt ihr das eigentlich mit den iptables unter Linux? -> Benutzt ihr die 'Werkseinstellungen', oder habt ihr zusätzliche persönliche Rules? - Am besten fände ich es, wenn es einen Terminal-Befehl gäbe, mit dem ich im Startskript für hamachi oder den TS-Server einfach kurz die benötigten Ports öffne und im Unload-Skript dann einfach wieder schließen könnte...

Der Befehl müßte aber systemweit gelten, da ich im Betrieb nicht der 'User' des Servers bin + der Server auch nicht (auf keinen Fall) als root laufen soll.

Hmm...
...funktioniert danach dann alles oder nichts mehr?

Ich habe noch keinen Überblick. Und wenn ich sehe was für einen kryptischen Müll iptables -L auswirft, wird mir schlecht, weil ich die Hälfte davon nicht verstehe.



Das Löschen der IPTABLES-Regeln bedeutet halt "Hosen runter" für alle Ports, d.h. alle Ports sind für alle Dienste ohne Einschränkungen nutzbar.


Wie regelt ihr das eigentlich mit den iptables unter Linux? -> Benutzt ihr die 'Werkseinstellungen', oder habt ihr zusätzliche persönliche Rules? - Am besten fände ich es, wenn es einen Terminal-Befehl gäbe, mit dem ich im Startskript für hamachi oder den TS-Server einfach kurz die benötigten Ports öffne und im Unload-Skript dann einfach wieder schließen könnte...

Für einen normalen Desktop-PC (erst recht hinter einem NAT-fähigem Router) sehe ich keine wichtigen Grund eine IPTABLES-basierende Firewall laufen zu lassen.
Alle nicht benötigten Dienste ausschalten (ssh, vnc, ftp ...) bzw. nur bei Bedarf aktivieren bringt im Zweifel mehr Kontrolle, als eine vllt. noch misskonfigurierte Firewall.

Das Löschen der IPTABLES-Regeln bedeutet halt "Hosen runter" für alle Ports, d.h. alle Ports sind für alle Dienste ohne Einschränkungen nutzbar.


Für einen normalen Desktop-PC (erst recht hinter einem NAT-fähigem Router) sehe ich keine wichtigen Grund eine IPTABLES-basierende Firewall laufen zu lassen.
Alle nicht benötigten Dienste ausschalten (ssh, vnc, ftp ...) bzw. nur bei Bedarf aktivieren bringt im Zweifel mehr Kontrolle, als eine vllt. noch misskonfigurierte Firewall.
Hmm - bist du dir da 100% sicher? - Ich kenne die Philosophie noch nicht, die hinter den iptables steht. Wenn ich die Regeln lösche könnte es sein, daß alles erlaubt ist oder aber, daß alles verboten ist.

Von meinem Systemverständnis stellen Regeln Ausnahmen dar. -> Würde das löschen aller Regeln nicht zu einem völligen Stillstand der Netzfunktionen führen? -> Keine Regeln = Keine Ausnahmen = Kein LAN/Internet mehr?

...ich will nur 100% sicher sein, bevor ich da was lösche.

+ ja - ansonsten bin ich deiner Meinung: Ich habe einen DSL-Router mit aktiviertem NAT. -> Da geht im Normalfall nix durch. Und die anderen PCs, die in meinem Netz sind, sind so 'gefährlich' wie ihre Nutzer (100% harmlos ;) ).

Und wie gesagt: Der TS-Server läuft ohnehin unter einem eigenen user-account. Egal was von dort aus versucht wird: Keine Root-Rechte + keine User-Rechte für meine Installation. Ich selbst geh da nur als Client mit eingeschränkten Rechten drauf. - Was kann da noch schief gehen?

Ich mach es zu Testzwecken immer über ein Skript, das im Stop Bereich folgendes enthält:

Code:

#Alles freigeben, Standard Policies auf ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Alle alten Regeln löschen
iptables -F

Codeende

Dies sorgt dafür, das ALLE Scheunentore geöffnet werden, und KEINE Regel, den IP Verkehr beeinflusst. Wichtige zu wissen ist außerdem, das dies immer nur eine temporäre Sache ist, bei Reboot gehen die obigen Einstellungen verloren und der Systemstandard wird wiederhergestellt (ACCEPT all dürfte in den meisten Fällen leider der Standard sein).

Ich bin noch auf der Suche nach sowas bei Ubuntu 6.10. -> Mit der Firewall Firestarter gibt es nämlich weitere Probleme(..)
Dank den iptables ist es übrigens schon soweit, daß sich Gaim die Hamachi Ports klaut. So kann das ja alles nicht funktionieren!(..)
another case closed my dear watson:
Weder die Iptables-Standardeinstellungen von Ubuntu 6.10 noch das Iptables-Frontend: 'Firestarter' sind in der Lage VPNs zu erkennen und/oder zuzulassen.
http://www.fs-security.com/docs/vpn.php
zur Klarstellung: Hamachi = VPN

Ohne fortgeschrittene Linuxkenntnisse und entsprechende Handarbeit in der Konsole wird das also nix.

Ich mach es zu Testzwecken immer über ein Skript, das im Stop Bereich folgendes enthält:

Code:

#Alles freigeben, Standard Policies auf ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Alle alten Regeln löschen
iptables -F

Codeende

Dies sorgt dafür, das ALLE Scheunentore geöffnet werden, und KEINE Regel, den IP Verkehr beeinflusst. Wichtige zu wissen ist außerdem, das dies immer nur eine temporäre Sache ist, bei Reboot gehen die obigen Einstellungen verloren und der Systemstandard wird wiederhergestellt (ACCEPT all dürfte in den meisten Fällen leider der Standard sein).
Danke für deinen Tip!
Ich habe mir jetzt nochmal alles genau angesehen. -> Wenn ich über Firestarter die Firewall deaktiviere scheint die nämlich nichts anderes zu machen, als das was dein Skript tut (wenn ich mir den Output von iptables -L so ansehe).