SuSE 7.2 als Router für VPN-Clients (ipsec)?
Hallo, ich betreibe unter SuSE 7.2 (Kernel 2.4.4) einen Router für kleines lokales Netzwerk (192.168.0.*). Da das ganze eine kurzlebige provisorische Lösung ist, die innerhalb eines Tages verfügbar sein musste, habe ich einfach nur eine SuSE-Standard-Installation gemacht, IP-Forwarding aktiviert und die SuSE-Firewall gestartet (alle Zugriffe von außen werden abgeblockt, alle Zugriffe vom Intranet auf das Internet sind gestattet). Funktioniert auch alles einwandfrei - nur muss jetzt von einem der Rechner im lokalen Netzwerk eine VPN-Verbindung zu einem VPN-Server im Internet mit ipsec hergestellt werden. Die VPN-Client-Software ist installiert (unter Windows), und der Zugriff klappt, wenn der Rechner direkt am Internet hängt. Aber über den Linux-Router klappt er nicht... Frage: wie kriege ich mit möglichst wenig Aufwand den Linux-Router dazu, die VPN-Verbindung durchzulassen? Hab dazu das "Linux VPN Masquerade HOWTO" (http://www.impsec.org/linux/masquerade/VPN-howto/VPN-Masquerade.html) sowie eine andere Seite zu dem Thema unter http://www.impsec.org/linux/masquerade/ip_masq_vpn.html gefunden - aber da bleiben doch einige Fragen offen: 1. Wenn ich das alles richtig lese, so müsste eigentlich für den 2.4er Kernel keine speziellen Patches nötig sein, um VPN Masquerading zu aktivieren - allerdings kann ich die genannten Kernelmodule bei mir nicht finden, und beim Versuch, den Kernel neu zu Konfigurieren, stehen die genannten Optionen nicht zur Verfügung. Brauche ich nun irgendwelche Kernel-Patches, oder sollte der SuSE-Kernel eigentlich alles haben, was ich brauche? 2. Muss ich in der Konfiguration der SuSE-Firewall irgendwelche speziellen Optionen angeben, die das VPN Masquerading ermöglichen? Hat jemand eine solche Lösung am Laufen, und kann mir kurz sagen, was ich machen bzw. auf was ich achten muss? (Leider gibt die SuSE Supportdatenbank auf die Stichworte "VPN" oder "ipsec" nicht einen einzigen Treffer aus; lässt das darauf schließen, dass das mit SuSE nicht geht, oder dass es so einfach geht dass man dazu nicht die Supportdatenbank braucht, und nur ich bin zu blöd?) Danke, Christoph
Hallo, At 21:00 13.11.01 +0100, you wrote:
Hallo,
ich betreibe unter SuSE 7.2 (Kernel 2.4.4) einen Router für kleines lokales Netzwerk (192.168.0.*). Da das ganze eine kurzlebige provisorische Lösung ist, die innerhalb eines Tages verfügbar sein musste, habe ich einfach nur eine SuSE-Standard-Installation gemacht, IP-Forwarding aktiviert und die SuSE-Firewall gestartet (alle Zugriffe von außen werden abgeblockt, alle Zugriffe vom Intranet auf das Internet sind gestattet).
Funktioniert auch alles einwandfrei - nur muss jetzt von einem der Rechner im lokalen Netzwerk eine VPN-Verbindung zu einem VPN-Server im Internet mit ipsec hergestellt werden. Die VPN-Client-Software ist installiert (unter Windows), und der Zugriff klappt, wenn der Rechner direkt am Internet hängt. Aber über den Linux-Router klappt er nicht...
Auf der Firewall muss freigeschaltet werden: udp Port:500 Protokolle: 50 (ah) 51 (esp) Heio
On 11/13/2001 10:37 PM, Heio wrote:
Auf der Firewall muss freigeschaltet werden:
udp Port:500
Protokolle: 50 (ah) 51 (esp)
Was muss ich da als Source und was als Destination freischalten? Als Source die externe oder die lokale IP-Adresse der Firewall, oder das lokale Netzwerk? Also: ipchains -A forward -j ACCEPT -p 50 -s 192.168.0.254/32 -d 0.0.0.0/0 ipchains -A forward -j ACCEPT -p 51 -s 192.168.0.254/32 -d 0.0.0.0/0 ipchains -A forward -j ACCEPT -p udp -s 192.168.0.254/32 500 -d 0.0.0.0/0 wobei die 192.168.0.254 jetzt die lokale IP-Adresse des Firewall-Rechners ist, oder was muss an diese Stelle?? Außerdem würde ich die Administration der ipchains-rules gerne weiterhin dem SuSE-Firewall-Skript überlassen und bin jetzt unsicher, welche Variablen in /etc/rc.config.d/firewall.rc.config den o.g. ipchains-Regeln entsprechen. Gehört das dann in die Variablen FW_SERVICES_EXTERNAL_IP oder FW_SERVICES_INTERNAL_IP ? Oder gehört das zu FW_FORWARD_IP, da steht nämlich extra dabei "for VPN setups"? Christoph
participants (2)
-
Christoph Singer
-
Heio