Hi, ich bastel gerade an einem auf SuSE 10.2 basierenden Homerouter. Der soll dabei etliche Aufgaben des jetzigen 8.2 Servers übernehmen. Nun hab ich endlich DSL und Freunde erstmal an und die /etc/sysconfig/SuSEfirewall Konfiguration per Hand "gemergt". Ich hab die ipsec-configs (FreeS/WAN freeswan-1.99_0.9.34-93) kopiert und "interface=%defaultroute" entfernt. Völlig überraschenderweise bekomme ich auch gleich eine SA :-) $ rcipsec start $ ipsec auto --up me-placeholder 117 "me-placeholder" #3: STATE_QUICK_I1: initiate 004 "me-placeholder" #3: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xcccccccc <0xcccccccc xfrm=3DES_0-HMAC_SHA1 NATD=none DPD=none} (sah beim ersten Mal natürlich etwas ausführlicher aus, wollte nur zeigen, dass es klappt :)) Ich kriege eine route in mein Zielnetz, aber als device ist "dsl0" eingetragen (mein externes DSL Interface, was auch defaultroute hat): hostname:~ # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 100.200.100.77 0.0.0.0 255.255.255.255 UH 0 0 0 dsl0 192.168.77.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 dsl0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 dsl0 Ich war 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 ipsec0 gewohnt. Im Internet fand ich wenig hilfreiche Hinweise, dass es ipsec0 (und so weiter) nicht mehr gibt. hum. Und nu? Nun weiss ich nichtmal, wie ich PING testen soll. Das -I 192.168.87.4 kommt natürlich mit "cannot assign requested address" zurück, weil es ja für diese "VPN-IP" gar kein Interface mehr gibt! Ich hab sowas wie /usr/sbin/iptables -t nat -A POSTROUTING -j SNAT \ --to-source 192.168.87.4 -d 192.168.88.0/24 gemacht. Da war früher (bei 8.2) noch ein "-o ipsec0" dran. Der Hammer ist nun ein "tcpdump -n -i dsl0 icmp": 00:26:14.794304 IP 100.200.100.77 > 192.168.88.29: ICMP echo request, id 48945, seq 3, length 64 Wobei 100.200.100.77 meine lokale IP von dsl0 (vom Provider) und 192.168.88.0/24 das entfernte Netz sei. Wenn mich meine trüben Augen nicht trügen werden da meine vertraulichen 192.168er Daten brutalst im Klartext ins Internet geballert. ARGHHHHHHHHHHHH Super. Ich erwarte hier aber ESP (protocol 50) Pakete. Verschlüsselt! Warum ist das so? Wie kriege ich das ESP wieder "an"? Die Konfig ist kopiert, kann also nicht falsch sein, aber es kann Änderungen zu 8.2 geben. Ideen? Wie trace ich Klartext (falls ESP dann mal läuft), wo ich doch kein ipsec0 habe? Ist schon komisch, früher war immer nur das Problem, ein SA hinzukriegen. Dann ging immer alles. Jetzt krieg ich auf Schlag ne SA, aber weiss nichtmal, wo ich das tcpdump reinschrauben soll :-) Für ein bisschen Starthilfe wäre ich sehr dankbar :-) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org