Hallo zusammen, ich habe hier ein Problem mit IPSec, Masquerading und der Firewall. Hier vielleicht erst einmal die Struktur: Subnetz (links): 192.168.1.0/24 Subnetz (rechts): 192.168.4.0/24 -------------- ------------------ ------------ ------------ | Client L |<--->| Router (IPCop) |<--- Internet --->| SuSE 9.3 |<--->| Client R | -------------- ------------------ IPSec Tunnel ------------ ------------ und DSL-Device dasselbe ist (DSL0), wird er wahrscheinlich nicht damit klar kommen (erstaunlich es dann nur, dass ein Ich habe also zwei Netze über einen IPSec Tunnel verbunden. Beide Netze verwenden im übrigen Masquerading. Soweit also nicht ungewöhnlich. Auf der linken Seite ist soweit auch alles OK, nur mit der rechten Seite habe ich ein wenig Schwierigkeiten. Das erstaunliche ist, dass der "Client L" den "Client R" anpingen kann und auch eine Antwort bekommt. Nur umgekehrt lief erst einmal nix, d.h. ein Ping wurde überhaupt nicht durchs VPN geschickt. Nach einer genaueren Analyse habe ich festgestellt, dass die Pakete vom "Client R" masqueriert werden. Da beim 2.6. Kernel das IPSecPing Paket zumindest zurückgeschickt wird). Nun habe ich ich in der OpenSWAN-FAQ ein Eintrag gefunden, dass man in diesem Fall alle IPsec Pakete vom Masquerading ausschließen soll und dies geht über die Kommandos: iptables -t nat -F iptables -t nat -A POSTROUTING -o dsl0 -d \! 192.168.0.0/16 -j MASQUERADE Gesagt getan und siehe da: Nun geht es. Naja fast, der rechte SuSE 9.3 Server sieht immer noch nix vom linken Netz (umgekehrt kann er aber schon angesprochen werden). Meine Fragen sind nun: - Wie lassen sich die beiden Zeilen mit/in der SuSEfirewall2 realisieren bzw. integrieren? - Wie kann es auch der rechte Server schaffen das linke Netz zu erreichen? Für jeden Rat wäre dankbar. Gruß Kai -- Dipl.-Phys. Kai Schaeffer Schaeffer AG Hohentwiehlsteig 6a Tel. +49-30-8058695-25 14163 Berlin FAX: +49-30-8058695-33 http://www.schaeffer-ag.de