Schick doch mal einen Ausschnitt von deinem Firewall-log. Machst du Masquerading auf das externe Interface? Wenn ja solltest du das zumindest für den Tunnel ausschalten, wie das mit den variablen /etc/sysconfig/SuSEfirewall2 geht hab ich nicht rausbekommen und auch nicht versucht, ich mache die Rules von Hand bzw fwbuilder ... Gruß Helmut -----Ursprüngliche Nachricht----- Von: Peter Ophey [mailto:peter.ophey@fh-duesseldorf.de] Gesendet: Dienstag, 11. Januar 2005 21:51 An: suse-linux@suse.com Betreff: Suse Firwall blockt IPsec Hallo Liste! Meine Suse Firwall blockiert ins LAN rausgehende ESP & AH Pakete. Ein Ping von der Firewall auf den "Client" geht, aber bei einem Ping vom "Client" auf die Firewall kommen keine Replies zum Client durch. Bei abgeschalteter Firewall geht alles. Welche Optionen im Editor für die /etc/sysconfig sind zu benutzen? Die Firewall hat ein externes Iface eth0 und ein internes eth1 und macht masquerading für das LAN auf eth0. IPsec aus dem LAN wird z.Zt. im transport mode betrieben, endet also auf der Firewall. Ich dachte ich müsse im Script /etc/sysconfig/SuSEfirewall2 einfach FW_SERVICES_INT_IP auf "AH ESP TCP UDP ICMP" setzen, doch das hilft leider nicht. Ansonsten habe ich nichts im Script /etc/sysconfig/SuSEfirewall2 am Setup von Yast2 geändert. Gruß Peter Ophey -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Also das Syslog zeigt außer dem gedroppten SMB Traffic auf dem externen Iface die gedroppten Echo Replies an: Jan 13 19:52:35 suse kernel: SFW2-OUT-ERROR IN= OUT=eth1 SRC=172.16.123.1 DST=172.16.123.112 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=57702 PROTO=ICMP TYPE=0 CODE=0 ID=19756 SEQ=41 Ansonsten gibt es kein extra Firwall log. Ein tcpdump -i eth1 -nv '! port ssh' auf der Firewall zeigt die ankommenden Echo Requests: tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 19:58:49.670976 IP (tos 0x0, ttl 64, id 414, offset 0, flags [DF], length: 132) 172.16.123.112 > 172.16.123.1: AH(spi=0x00005fb6,sumlen=16,seq=0x19f): ESP(spi=0x00005fb7,seq=0x19f) So langsam weiß ich auch nicht mehr was ich im Script /etc/sysconfig/SuSEfirewall noch machen soll. Ich habe mir gerade mal fwbuilder installiert und versuche mir ein simples NAT setup zu stricken. Mal sehen ... Gruß Peter Helmut Zengerling schrieb:
Schick doch mal einen Ausschnitt von deinem Firewall-log. Machst du Masquerading auf das externe Interface? Wenn ja solltest du das zumindest für den Tunnel ausschalten, wie das mit den variablen /etc/sysconfig/SuSEfirewall2 geht hab ich nicht rausbekommen und auch nicht versucht, ich mache die Rules von Hand bzw fwbuilder ...
Gruß Helmut
-----Ursprüngliche Nachricht----- Von: Peter Ophey [mailto:peter.ophey@fh-duesseldorf.de] Gesendet: Dienstag, 11. Januar 2005 21:51 An: suse-linux@suse.com Betreff: Suse Firwall blockt IPsec
Hallo Liste!
Meine Suse Firwall blockiert ins LAN rausgehende ESP & AH Pakete. Ein Ping von der Firewall auf den "Client" geht, aber bei einem Ping vom "Client" auf die Firewall kommen keine Replies zum Client durch. Bei abgeschalteter Firewall geht alles. Welche Optionen im Editor für die /etc/sysconfig sind zu benutzen?
Die Firewall hat ein externes Iface eth0 und ein internes eth1 und macht masquerading für das LAN auf eth0. IPsec aus dem LAN wird z.Zt. im transport mode betrieben, endet also auf der Firewall. Ich dachte ich müsse im Script /etc/sysconfig/SuSEfirewall2 einfach FW_SERVICES_INT_IP auf "AH ESP TCP UDP ICMP" setzen, doch das hilft leider nicht. Ansonsten habe ich nichts im Script /etc/sysconfig/SuSEfirewall2 am Setup von Yast2 geändert.
Gruß
Peter Ophey
participants (2)
-
Helmut Zengerling
-
Peter Ophey