![](https://seccdn.libravatar.org/avatar/6a520b278b324ca462d9ca6f08e9ae7c.jpg?s=120&d=mm&r=g)
Hi! Ich habe da folgendes Problem: Wenn ich einen ipsec Tunnel ewischen zwei Rechner aufbaue und im SuSEfirewall2 ipsec0 jeweils als internes Interface definiere, kommt zwar eine Fehlermeldung bzgl. Anti Spoofing, aber ich kann von den Aufbauenden Rechner aus aufeinander zugreifen (ping, nfs etc.). Wenn ich jetzt aber aus Sicherheitsgruenden ipsec als extern definiere, so geht das nicht mehr. Jeder Rechner HINTER den aufbauenden Rechnern kann aber problemlos miteinander kommunizieren. Fowarding ist eingerichtet. Die Route ist auch entsprechend umgestellt. --->->-> ip rule add iif lo table from.this.host priority 500 ip route add 192.168.2.0/24 table from.this.host dev ipsec0 src 192.168.1.20 ip route flush cache <-<-<--- Aber irgendwie kriege ich es nicht hin, das die beiden aufbauenden Rechner miteinander sprechen. Ich bin sicher das ist evtl. nur eine kleine Firewall rule oder sowas. Kann mir da jemand mal einen Tipp geben? Danke T
![](https://seccdn.libravatar.org/avatar/edc0122553a27c096f61eb17106711c7.jpg?s=120&d=mm&r=g)
Dr. Thorsten Brandau, Samstag, 5. Juni 2004 17:56:
Hi!
Ich habe da folgendes Problem:
Wenn ich einen ipsec Tunnel ewischen zwei Rechner aufbaue und im SuSEfirewall2 ipsec0 jeweils als internes Interface definiere, kommt zwar eine Fehlermeldung bzgl. Anti Spoofing, aber ich kann von den Aufbauenden Rechner aus aufeinander zugreifen (ping, nfs etc.). Wenn ich jetzt aber aus Sicherheitsgruenden ipsec als extern definiere, so geht das nicht mehr. Jeder Rechner HINTER den aufbauenden Rechnern kann aber problemlos miteinander kommunizieren. Fowarding ist eingerichtet. Die Route ist auch entsprechend umgestellt.
--->->-> ip rule add iif lo table from.this.host priority 500 ip route add 192.168.2.0/24 table from.this.host dev ipsec0 src 192.168.1.20 ip route flush cache <-<-<---
Aber irgendwie kriege ich es nicht hin, das die beiden aufbauenden Rechner miteinander sprechen.
Jepp, das ist auch korrekt so. Die beiden aufbauenden Rechner leiten alle Pakete, die über die ausgewählte Netzwerkkarte (eigenes LAN) reinkommen und an das Zielnetz (entferntes LAN) adressiert sind (beide Bedingungen müssen erfüllt sein!), in den Tunnel über das Protokoll 50 (bzw. 51) an das andere IPSEC-Gateway. Du kannst das System überlisten, indem du alle Pakete von lokalhost an das entfernte LAN ebenfalls in den Tunnel schickst (und zurück). Wie das in der SuSE-Firewall konkret angegeben wird, weiß ich nicht. Aber vielleicht hilft dir dieser Tipp. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
participants (2)
-
Dr. Thorsten Brandau
-
Matthias Houdek