Hi! ich habe hier einen IPSEC tunnel zwischen SUSE 8.2 und 9.0 aufegesetzt. funzt auch ganz praechtig. Aber wenn ich mit ping -I <gateway1> <gateway2> von einem auf das andere Gateway pinge kommt im log: SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT= MAC=45:00:00:68:6b:3f:00:00:3c:04:00:00:d9:51:bc:23:45:00:00:68:6b:3f SRC=192.168.2.1 DST=192.168.1.20 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=27454 DF PROTO=ICMP TYPE=8 CODE=0 ID=44297 SEQ=6 Ich habe jetzt mit allen moeglichen Optionen rumgespielt in der /etc/sysconfi/SuSEfirwall2, komme aber nicht weiter. ipsec0 ist jeweils als externes interface (zusammen mit ppp0 und eth0) definiert. Wenn ich ppp0 nicht als extern definiere, komme ich gar nicht mehr raus. Kann man einfach eth0 als internes interface definieren? Das ist aber doch dann ein Scheunentor, oder? Diesselbe Fehlermeldung bekomme ich uebrigens auch wenn ich von einem Gateway auf einen Rechner HINTER dem anderen Gateway pinge. Nur wenn beide Rechner hinter dem Gateway sitzen, funzt es. Gibt es da eine IPTABLES roule die man einfuegen kann, damit die verbindung zwischen den gateways klappt? Bei lauft naemlich z.B. ein mailserver und ich wuerde da gerne rankommen... danke fuer die tipps! ciao T
Hallo Thorsten und Listenmitglieder, normalerweise kann man über einen VPN-Tunnel nicht von Gate zu Gate pingen.
Hi!
ich habe hier einen IPSEC tunnel zwischen SUSE 8.2 und 9.0 aufegesetzt. funzt auch ganz praechtig. Aber wenn ich mit
ping -I <gateway1> <gateway2>
von einem auf das andere Gateway pinge kommt im log:
SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT= MAC=45:00:00:68:6b:3f:00:00:3c:04:00:00:d9:51:bc:23:45:00:00:68:6b:3f SRC=192.168.2.1 DST=192.168.1.20 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=27454 DF PROTO=ICMP TYPE=8 CODE=0 ID=44297 SEQ=6
Ich habe jetzt mit allen moeglichen Optionen rumgespielt in der /etc/sysconfi/SuSEfirwall2, komme aber nicht weiter. ipsec0 ist jeweils als externes interface (zusammen mit ppp0 und eth0) definiert. Wenn ich ppp0 nicht als extern definiere, komme ich gar nicht mehr raus. Kann man einfach eth0 als internes interface definieren? Das ist aber doch dann ein Scheunentor, oder?
Diesselbe Fehlermeldung bekomme ich uebrigens auch wenn ich von einem Gateway auf einen Rechner HINTER dem anderen Gateway pinge. Nur wenn beide Rechner hinter dem Gateway sitzen, funzt es.
Gibt es da eine IPTABLES roule die man einfuegen kann, damit die verbindung zwischen den gateways klappt? Bei lauft naemlich z.B. ein mailserver und ich wuerde da gerne rankommen...
danke fuer die tipps!
Folgende Lösungsansätze könnte man wählen: 1. In /etc/sysconfig/scripts/SuSEfirewall2-custom auf Gate 192.168.1.20 # Für das Weiterleiten zwischen den Netzen: iptables -A FORWARD -i ipsec0 -o eth1 -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -i eth1 -o ipsec0 -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT # Ankommende Pings zulassen: iptables -A INPUT -i ipsec0 -p ICMP -d 192.168.1.20 -j ACCEPT # Dienste auf dem Gate über VPN erreichbar: iptables -A INPUT -i ipsec0 -p TCP -s 192.168.2.0/24 -d 192.168.1.20 --dport 25 -j ACCEPT Die Regeln solltest Du auch auf dem anderen Gate (..2.1) anpassen. 2. Einen Artikel auf Pro-Linux befasst sich mit diesem Thema: http://www.pro-linux.de/news/2003/5364.html 3. ipsec0 als FW_DEV_INT deklarieren. Das kann ich aber nicht gut empfehlen. Viel Erfolg, Bernd
Am Mittwoch, 9. Juni 2004 09:52 schrieb Bernd Walda:
1. In /etc/sysconfig/scripts/SuSEfirewall2-custom auf Gate 192.168.1.20
das werde ich mal probieren. arg viel hoffnung habe ich zwar nicht aber...
2. Einen Artikel auf Pro-Linux befasst sich mit diesem Thema: http://www.pro-linux.de/news/2003/5364.html
bringt nix. so was mache ich geht aber nur in verbindung mit ipsec0 als internes interface. das aergerliche ist halt, das der firewall dann auch immer neugeladen werden muss, wenn eine neue IPSec verbindung zu stande kommt (z.B. wenn sich die IP aendert). danke fuer die tipps! ciao T
participants (2)
-
Bernd Walda
-
Dr. Thorsten Brandau