SuSEfirewall und ipsec

[ccc]

hallo

habe mit meiner linux kiste SuSE 8.2 ein freeswan gateway
erfolgreich eingerichtet.

dort habe 2 interfaces:
externes eth0 195.X.X.10 und
internes eth1 192.168.115.1
internes netz ( trusted ) 192.168.115.0/24

remote:
extern 195.X.X.2
intern 192.168.0.0/24

bei eingeschalteter firewall:
# ipsec verify
Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for ext [FAILED]
Looking for TXT in reverse map: X.X.X.195.in-addr.arpa [OK]
Does the machine have at least one non-private address [OK]

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.X.X.0 * 255.255.255.240 U 0 0 0 eth0
195.X.X.0 * 255.255.255.240 U 0 0 0 ipsec0
192.168.0.0 gw.net.x 255.255.255.0 UG 0 0 0 ipsec0
192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
default gw.net.x 0.0.0.0 UG 0 0 0 eth0

freeswan funktioniert , aber wenn ich SuSEfirewall2 auf gleicher
linux kiste starte, dann ist es vorbei:
keine verbinung zum remote netz, pings funktionieren nicht mehr usw.

im log habe viele solche meldungen gesehen:

"SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
DST=192.168.115.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

bei SuSEfirewall habe ungefähr solche konfigurationen:

FW_QUICKMODE="no"
FW_DEV_EXT="eth0 ipsec0"
FW_DEV_INT="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_TRUSTED_NETS=192.168.115.0/24 192.68.0.0/24
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_REJECT="no"

FW_DEV_INT="eth1 ipsec0" habe auch ausprobiert und bringt auch nichts.

weiss jemand an was es liegt ?
habe schon fast alles mögliche seit ca. 2 wochen bis zum verzweifeln ausprobiert und es geht immer nicht.
in anderen foren konnte mir auch nicht geholfen werden und bitte nicht gerade
die nerven verlieren.

gruss
ccc

 

[central]

Hallo
musst schon die fw posten mit den variablen kann keiner was anfangen
da könnte schon dein problem liegen

Looking for forward key for ext [FAILED]

gruss

central

 

[ccc]

mit zusätzlichen einträgen in SuSEfirewall2 config:

# 19.) # Say yes, if you use IPSEC
# Defaults to "no" #

FW_IPSEC="yes"

#
# 20.) # IPSEC device # FW_DEV_IPSEC="ipsec0"

FW_DEV_IPSEC="ipsec0"

# 21.)
# local/remote network
# masquerading is disabled through the tunnel automatically,
# if you enabled it above

FW_IPSEC_LOCALNET="192.168.115.0/24"

FW_IPSEC_REMOTENET="192.168.0.0/24"


und


in /usr/lib/ipsec/_updown _updown_custom

up-client
# connection to my client subnet coming up
# If you are doing a custom version, firewall commands go here.
iptables -I FORWARD 1 -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
iptables -I FORWARD 1 -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
;;

down-client
# connection to my client subnet going down
# If you are doing a custom version, firewall commands go here.
iptables -D FORWARD -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
iptables -D FORWARD -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
;;

scheint zu funktionieren.

gruss
ccc