Ergebnis 1 bis 3 von 3
Thema: SuSEfirewall und ipsec hallo habe mit meiner linux kiste SuSE 8.2 ein freeswan gateway erfolgreich eingerichtet. dort habe 2 interfaces: externes eth0 195.X.X.10 ...
  1. #1
    ccc
    ccc ist offline
    treuer Stammgast
    Registriert seit
    04.10.03
    Beiträge
    133

    SuSEfirewall und ipsec

    hallo

    habe mit meiner linux kiste SuSE 8.2 ein freeswan gateway
    erfolgreich eingerichtet.

    dort habe 2 interfaces:
    externes eth0 195.X.X.10 und
    internes eth1 192.168.115.1
    internes netz ( trusted ) 192.168.115.0/24

    remote:
    extern 195.X.X.2
    intern 192.168.0.0/24

    bei eingeschalteter firewall:
    # ipsec verify
    Checking your system to see if IPsec was installed and started correctly
    Version check and ipsec on-path [OK]
    Checking for KLIPS support in kernel [OK]
    Checking for RSA private key (/etc/ipsec.secrets) [OK]
    Checking that pluto is running [OK]
    DNS checks.
    Looking for forward key for ext [FAILED]
    Looking for TXT in reverse map: X.X.X.195.in-addr.arpa [OK]
    Does the machine have at least one non-private address [OK]

    # route
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    195.X.X.0 * 255.255.255.240 U 0 0 0 eth0
    195.X.X.0 * 255.255.255.240 U 0 0 0 ipsec0
    192.168.0.0 gw.net.x 255.255.255.0 UG 0 0 0 ipsec0
    192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
    default gw.net.x 0.0.0.0 UG 0 0 0 eth0

    freeswan funktioniert , aber wenn ich SuSEfirewall2 auf gleicher
    linux kiste starte, dann ist es vorbei:
    keine verbinung zum remote netz, pings funktionieren nicht mehr usw.

    im log habe viele solche meldungen gesehen:

    "SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
    MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
    DST=192.168.115.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
    PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

    bei SuSEfirewall habe ungefähr solche konfigurationen:

    FW_QUICKMODE="no"
    FW_DEV_EXT="eth0 ipsec0"
    FW_DEV_INT="eth1"
    FW_ROUTE="yes"
    FW_MASQUERADE="yes"
    FW_MASQ_DEV="$FW_DEV_EXT"
    FW_MASQ_NETS="0/0"
    FW_PROTECT_FROM_INTERNAL="no"
    FW_AUTOPROTECT_SERVICES="no"
    FW_SERVICES_EXT_UDP="500"
    FW_SERVICES_EXT_IP="50 51"
    FW_TRUSTED_NETS=192.168.115.0/24 192.68.0.0/24
    FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
    FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
    FW_SERVICE_AUTODETECT="yes"
    FW_FORWARD=""
    FW_FORWARD_MASQ=""
    FW_REDIRECT=""
    FW_KERNEL_SECURITY="no"
    FW_STOP_KEEP_ROUTING_STATE="no"
    FW_ALLOW_PING_FW="yes"
    FW_ALLOW_PING_EXT="no"
    FW_ALLOW_CLASS_ROUTING="yes"
    FW_CUSTOMRULES=""
    FW_ALLOW_FW_BROADCAST="no"
    FW_IGNORE_FW_BROADCAST="yes"
    FW_REJECT="no"

    FW_DEV_INT="eth1 ipsec0" habe auch ausprobiert und bringt auch nichts.

    weiss jemand an was es liegt ?
    habe schon fast alles mögliche seit ca. 2 wochen bis zum verzweifeln ausprobiert und es geht immer nicht.
    in anderen foren konnte mir auch nicht geholfen werden und bitte nicht gerade
    die nerven verlieren.

    gruss
    ccc
    Geändert von ccc (07.02.04 um 13:13 Uhr)

  2.   Anzeige

     
  3. #2
    Herzlich willkommen! Avatar von central
    Registriert seit
    18.02.02
    Beiträge
    6

    AW: SuSEfirewall und ipsec

    Hallo
    musst schon die fw posten mit den variablen kann keiner was anfangen
    da könnte schon dein problem liegen
    Looking for forward key for ext [FAILED]
    gruss

    central

  4. #3
    ccc
    ccc ist offline
    treuer Stammgast
    Registriert seit
    04.10.03
    Beiträge
    133

    AW: SuSEfirewall und ipsec

    mit zusätzlichen einträgen in SuSEfirewall2 config:

    # 19.) # Say yes, if you use IPSEC
    # Defaults to "no" #

    FW_IPSEC="yes"

    #
    # 20.) # IPSEC device # FW_DEV_IPSEC="ipsec0"

    FW_DEV_IPSEC="ipsec0"

    # 21.)
    # local/remote network
    # masquerading is disabled through the tunnel automatically,
    # if you enabled it above

    FW_IPSEC_LOCALNET="192.168.115.0/24"

    FW_IPSEC_REMOTENET="192.168.0.0/24"


    und


    in /usr/lib/ipsec/_updown _updown_custom

    up-client
    # connection to my client subnet coming up
    # If you are doing a custom version, firewall commands go here.
    iptables -I FORWARD 1 -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    iptables -I FORWARD 1 -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    ;;

    down-client
    # connection to my client subnet going down
    # If you are doing a custom version, firewall commands go here.
    iptables -D FORWARD -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    iptables -D FORWARD -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
    -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
    ;;

    scheint zu funktionieren.

    gruss
    ccc

Ähnliche Themen

  1. Antworten: 0
    Letzter Beitrag: 14.10.03, 16:43

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Search Engine Friendly URLs by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55