IPSEC 1.9 unter Suse 7.2 mit problemen nach dem Tunnelaufbau
Guten Morgen SuSe-Gemeinde! ich habe IPSEC erfolgreich (scheinbar) dazu überredet, einen Tunnel zwischen meinem BüroGateway und meinem ZuHauseGateway aufzubauen...nach Eingabe von "ipsec auto --up Büro-Zuhause" baut er die Verbindung scheinbar auf, denn ich bekomme ein "SA established" und "route -n" spuckt auch die routen aus die ich erwartet habe. So schönso gut. ABER ich bringe ansonsten nicht mal ein PING durch den Tunnel! :-((( könnte mir jemand helfen? bzw. hat jemand ein sog. "Kochrezept" für eine IPsec installation (sorry, aber ich habe schon alles abgegrast und nix adequates gefunden) Hatjemand eine Idee wie ich den Tunnel prüfen kann? Ob der überhaupt da ist oder ob dieses "SA established" nur eine Fakemeldung ist? details... BüroIPSEC: Freeswan 1.91 BüroNetz: 192.168.0.0/24 Bürogateway: 192.168.0.1 BüroExtInterface: TDsl auf ppp0 BüroFirewall: ipchains mit offenem port 500/udp und 50+51/udp+tcp ZuHauseIPSEC: Freeswan 1.90 ZuHausNetz: 192.168.241.0/24 ZuHausegateway: 192.168.241.10 ZuHauseExtInterface: TDsl auf ppp0 ZuHauseFirewall: ipchains mit offenem port 500/udp und 50+51/udp+tcp Über ein paar Tips oder auch Hilfe stellung per PM würde ich mich freuen!!! ;-) mfg Stephan
Hallo Stephan,
From the keyboard of Stephan,
Guten Morgen SuSe-Gemeinde!
ich habe IPSEC erfolgreich (scheinbar) dazu überredet, einen Tunnel zwischen meinem BüroGateway und meinem ZuHauseGateway aufzubauen...nach Eingabe von "ipsec auto --up Büro-Zuhause" baut er die Verbindung scheinbar auf, denn ich bekomme ein "SA established" und "route -n" spuckt auch die routen aus die ich erwartet habe. So schönso gut. ABER ich bringe ansonsten nicht mal ein PING durch den Tunnel! :-(((
könnte mir jemand helfen? bzw. hat jemand ein sog. "Kochrezept" für eine IPsec installation (sorry, aber ich habe schon alles abgegrast und nix adequates gefunden)
Hatjemand eine Idee wie ich den Tunnel prüfen kann? Ob der überhaupt da ist oder ob dieses "SA established" nur eine Fakemeldung ist?
details...
Das sind keine Details. Details wären die beiden /etc/ipsec.conf's.
BüroIPSEC: Freeswan 1.91 BüroNetz: 192.168.0.0/24 Bürogateway: 192.168.0.1 BüroExtInterface: TDsl auf ppp0 BüroFirewall: ipchains mit offenem port 500/udp und 50+51/udp+tcp
ZuHauseIPSEC: Freeswan 1.90 ZuHausNetz: 192.168.241.0/24 ZuHausegateway: 192.168.241.10 ZuHauseExtInterface: TDsl auf ppp0 ZuHauseFirewall: ipchains mit offenem port 500/udp und 50+51/udp+tcp
Über ein paar Tips oder auch Hilfe stellung per PM würde ich mich freuen!!! ;-)
Du hast das Grundprinzip nicht verstanden. Was willste mit 50+51 udp und tcp bewirken? Ich verstehe das nicht, mach doch erstmal nen richtigen Tunnel, deinen komischen Paketfilter kannste später noch verkonfigurieren. grep ESP /etc/protocols esp 50 ESP # Encap Security Payload for IPv6 Hat nix mit UDP/TCP zutun, da mußt du ne Schicht runter im OSI-Modell. Das ist IP. Du willst ja auch nen IP-Tunnel aufbauen. Über Port 500 UDP läuft IKE, deswegen funkioniert auch die SA. (http://www.freeswan.org/freeswan_trees/freeswan-1.95/doc/glossary.html#SA) gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html If not: perl -e 'print $i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);'
moin,
BüroFirewall: ipchains mit offenem port 500/udp und 50+51/udp+tcp
ZuHauseFirewall: ipchains mit offenem port 500/udp und 50+51/udp+tcp
Die Ports 50 und 51 kannst Du jeweils zumachen. Benutzt wird das IP-Protokoll 50 (für ESP) bzw. 51 (für AH). D.h. falls Du SuSEFirewall verwendest muß folgendes gesetzt sein: FW_SERVICES_EXTERNAL_IP="50 51" Robert
participants (3)
-
Robert Klein -
Stephan Scheufen -
Waldemar Brodkorb