[Markus Sladkowski]:
Hallo
Matthias Houdek schrieb:
[linux@haedicke.homelinux.com]:
Hi,
das Problem hatte ich auch gehabt bzw immernoch:
ich kann nur von meinen Clients einen Ping auf den entfernten Server oder Client absetzen und musste mir dafür eigene Firewall Regeln erstellen da ich das Masquerading mit der SuSEfirewall nicht hinbekommen habe.
Ist ja auch normal. Der VPN-Server "sieht" ja den anderen VPN-Server über das Zwischennetz, eine Ping von Server zu Server würde also nicht über ipsec geroutet werden, sondern direkt abgeschickt. Um auch Daten zwischen den Servern direkt via VPN zu übertragen, muss das IMHO über den Paketfilter entsprechend umgeleitet werden (für die via VPN zu übertragenden Dienste an ipsec forwarden).
Hmm, wirden nicht wenn ipsec gestartet alle Pakete die an das Entfernte netzt gerichtet sind automatisch von ipsec geroutet ??
Ja, aber IIRC nur zum [left/right]subnet. Anders darf es auch nicht sein, sonst könnte IPSec die getunnelten Pakete nicht über ethx an das andere IPSec-Gate schicken. Die würden ja dann wieder zurück an den Anfang des Tunnels (ipsec) geroutet werden.
Muss man noch zusätzliche routes manuell setzten ??
Nein, das geht IMHO nur über IP-Tables-Regeln. Steht auch irgendwo in der Doku.