IPSec pass-through unter SuSE 10.1 als NAT router/firewall?
Guten Tag Ich betreibe ein dual homed System mit SuSE 10.1 als NAT router/firewall. Auf der LAN seite des SuSE router/firewall besteht also ein privates LAN welches vom SuSE Router mit NAT bzw. Masquerading mit der öffentlichen IP und somit mit dem Internet verbunden ist. Nun versuche ich aus dem privaten LAN, also hinter dem SuSE NAT router/firewall heraus von einer lokalen Arbeitstation mit einem IPSec Client eine VPN-Verbindung mit dem ESP-Protocoll auf einen externen IPSec-Server aufzubauen. Im einen Fall, wenn der IPSec-Server ein Router von ZyXEL ist (652HW) so kann ich einen entsprechende VPN Verbindung aufbauen. Bei einem Router eines anderen Herstellers gelingt mir das nicht, obwohl die Settings bei beiden Router-Produkten korrespondieren und somit auch die IPSec-Client Settings ausser der Ziel-IP-Adresse identisch sind. Auf den "problematischen" Router kann ich aber problemlos mit den gleichen IPSec-Client Settings von ausserhalb des SuSE NAT router/firewall verbinden. In SuSEfirewall2 habe ist für die interne Zone der Service IPSec per default erlaubt. Auf dem problematischen Router erhalte ich die folgende Fehlermeldung : "VPN_test" 62.X.Y.Z #549: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed "VPN_test" 62.X.Y.Z #549: Main mode peer ID is ID_IPV4_ADDR: '10.0.10.10' "VPN_test" 62.X.Y.Z #549: no suitable connection for peer '10.0.10.10' dabei ist 62.X.Y.Z die öffentliche IP des SuSE NAT router/firewalls hinter dem sich der IPSec Client befindet und dessen local IP-Adresse ist 10.0.10.10. Der Hersteller des problematischen Routers möchte mich nun glauben mache, dass unter SuSE mit NAT kein IPSec pass-through möglich ist, was eigentlich durch den IPSec Verbindungserfolg auf einen Router von ZyXEL wiederlegt wäre. Wie kann ich aber sichergehen, dass SuSEfirewall2 vom lokalen Netz ausgehende IPSec Verbindungen durch NAT bwz. Masquerading korrekt hindurchgeführt werden? Vielen Dank im Voraus! -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (1)
-
Andre Mueller