Am Dienstag, 13. Juni 2006 14:45 schrieb Markus Feilner:
Am Tuesday 13 June 2006 13:50 schrieb Sven Gehr:
Hallo,
ich habe ein Problem mit der SuSEFirewall2. Kurz zur Umgebung. Ich habe zwei funktionierende OpenVPN-Gateways verbunden damit ich von LAN1 auf die Hosts in LAN2 zugreifen kann. Vom OpenVPN-Gateway das auch gleichzeitig das Internet-Gateway ist kann ich die Rechner in LAN2 anpingen. Von einem Host in LAN2 nicht. Ich habe mir das Log der Firewall angeschaut und finde dort:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=1 Jun 13 13:22:20 darwin kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=tun1 SRC=192.168.0.196 DST=192.168.111.1 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=6167 SEQ=2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wobei 192.168.0.196 Host in LAN1 ist von dem aus ich den Ping abgesetzt habe, 192.168.111.1 ist der Rechner den ich in LAN2 anpingen wollte. Was muß ich tun damit die Firewall die zuläßt? Die Devices tun0 tun1 sind als intern deklariert und die Option "von intern schützen" ist auch nicht an. Routing-Tabellen sind absolut richtig.
Hat jemand eine Idee für mich?
habs nur kurz überflogen, aber: Hast du deine SuSIfirewall angewiesen, die Pakete der beiden Netzwerke weiterzuleiten? nicht nur die, die von der firewall stammen, sonder auch die aus den lokalen netzwerken. z.B. über das Stichwort: enable class routing (oder so) - das erlaubt routing zwischen internen netzwerken, soweit ich mich erinnere... :-)
ja habe ich gefunden und auf beiden Gateway auf Yes gesetzt.
funktioniert aber nicht immer,
genau das ist das Ergebnis :-(
besser ist das mit iptables custom rules zu definieren - und die Regeln kannst dann einfach auf andere Systeme mitnehmen..
und wie würden die aussehen? Ich habe folgende Interfaces: eth0: für's LAN eth1: zum DSL-Modem dsl0: Device für DSL tun0: Device auf welchem der VPN-Server auf Verbindungen wartet tun1: Device mit welchem der VPN als Client zum anderen Gatewayverbindent Wie müssten die Regeln nun aussehn? -- Sven Gehr Benderstrasse 34 77815 Bühl Fon: +49.7223.250265 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com