Hi,
das Problem hatte ich auch gehabt bzw immernoch:
ich kann nur von meinen Clients einen Ping auf den entfernten Server oder Client absetzen und musste mir dafür eigene Firewall Regeln erstellen da ich das Masquerading mit der SuSEfirewall nicht hinbekommen habe.
Außerdem musst Du noch die entfernten IPŽs in der Firewall freigeben, da diese sonst geblockt werden.
Gruß Frank Haedicke
--- Markus.Sl@t-online.de (Markus Sladkowski) schrieb:
Hallo
ich möchte meinen SuSE Rechner als VPN Gateway mit ipSec einrichten. Ich habe alles so eingerichtet wie in der c't 10/03 steht, und die Rechner wählen sich auch ein und die routingstables sind auch richtig aber ich kann keinen Rechner einpingen. Beide Rechner haben DSL. Es sieht so aus als ob die pakete ärgendwo nicht weitergeleitet werden. Ich habe das netztwerk 192.168.1.0/24 und möchte ein externes netzwerk per VPN einbinden 192.168.2.0/124. Das ist die Routingtable: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 217.5.98.59 * 255.255.255.255 UH 0 0 0 ppp0 217.5.98.59 * 255.255.255.255 UH 0 0 0 ipsec0 192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 192.168.1.0 217.5.98.59 255.255.255.0 UG 0 0 0 ipsec0 192.168.10.0 * 255.255.255.0 U 0 0 0 eth0 default 217.5.98.59 0.0.0.0 UG 0 0 0 ppp0
Ich habe in beiden Firewalls von den Rechnern ( sind zwi mit SuSE 8.2) in der SuSEfirewall die Ports 50 und 500 UDP freigegeben. Hat jemand eine Idee wodran das liegen kann ??
Gruß
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
[linux@haedicke.homelinux.com]:
Hi,
das Problem hatte ich auch gehabt bzw immernoch:
ich kann nur von meinen Clients einen Ping auf den entfernten Server oder Client absetzen und musste mir dafür eigene Firewall Regeln erstellen da ich das Masquerading mit der SuSEfirewall nicht hinbekommen habe.
Ist ja auch normal. Der VPN-Server "sieht" ja den anderen VPN-Server über das Zwischennetz, eine Ping von Server zu Server würde also nicht über ipsec geroutet werden, sondern direkt abgeschickt. Um auch Daten zwischen den Servern direkt via VPN zu übertragen, muss das IMHO über den Paketfilter entsprechend umgeleitet werden (für die via VPN zu übertragenden Dienste an ipsec forwarden).
Hallo
Matthias Houdek schrieb:
[linux@haedicke.homelinux.com]:
Hi,
das Problem hatte ich auch gehabt bzw immernoch:
ich kann nur von meinen Clients einen Ping auf den entfernten Server oder Client absetzen und musste mir dafür eigene Firewall Regeln erstellen da ich das Masquerading mit der SuSEfirewall nicht hinbekommen habe.
Ist ja auch normal. Der VPN-Server "sieht" ja den anderen VPN-Server über das Zwischennetz, eine Ping von Server zu Server würde also nicht über ipsec geroutet werden, sondern direkt abgeschickt. Um auch Daten zwischen den Servern direkt via VPN zu übertragen, muss das IMHO über den Paketfilter entsprechend umgeleitet werden (für die via VPN zu übertragenden Dienste an ipsec forwarden).
Hmm, wirden nicht wenn ipsec gestartet alle Pakete die an das Entfernte netzt gerichtet sind automatisch von ipsec geroutet ?? Muss man noch zusätzliche routes manuell setzten ??
[Markus Sladkowski]:
Hallo
Matthias Houdek schrieb:
[linux@haedicke.homelinux.com]:
Hi,
das Problem hatte ich auch gehabt bzw immernoch:
ich kann nur von meinen Clients einen Ping auf den entfernten Server oder Client absetzen und musste mir dafür eigene Firewall Regeln erstellen da ich das Masquerading mit der SuSEfirewall nicht hinbekommen habe.
Ist ja auch normal. Der VPN-Server "sieht" ja den anderen VPN-Server über das Zwischennetz, eine Ping von Server zu Server würde also nicht über ipsec geroutet werden, sondern direkt abgeschickt. Um auch Daten zwischen den Servern direkt via VPN zu übertragen, muss das IMHO über den Paketfilter entsprechend umgeleitet werden (für die via VPN zu übertragenden Dienste an ipsec forwarden).
Hmm, wirden nicht wenn ipsec gestartet alle Pakete die an das Entfernte netzt gerichtet sind automatisch von ipsec geroutet ??
Ja, aber IIRC nur zum [left/right]subnet. Anders darf es auch nicht sein, sonst könnte IPSec die getunnelten Pakete nicht über ethx an das andere IPSec-Gate schicken. Die würden ja dann wieder zurück an den Anfang des Tunnels (ipsec) geroutet werden.
Muss man noch zusätzliche routes manuell setzten ??
Nein, das geht IMHO nur über IP-Tables-Regeln. Steht auch irgendwo in der Doku.
-
linux@haedicke.homelinux.com -
Markus.Sl@t-online.de -
Matthias Houdek