WGB

Hallo, Erstmal bitte um Entschuldigung wenn ich das falsche Forum (Security) erwischt haben sollte, aber es geht hier um ein VPN Problem mit SuSEfirewall2 und hoffe dennoch hier richtig zu sein. Ich habe unter SuSE Linux 9.2 mittels OpenSwan ein VPN konfiguriert. OpenSwan ist Version 2.2.0. Kernel: (uname –a) Linux doretthe 2.6.8-24-default #1 Wed Oct 6 09:16:23 UTC 2004 i686 i686 i386 GNU/Linux /etc/ipsec.conf sieht folgendermaßen aus: version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup # Debug-logging controls: "none" for (almost) none, "all" for lots. klipsdebug=none #plutodebug="control parsing" plutodebug=none # Certificate Revocation List handling #crlcheckinterval=600 #strictcrlpolicy=yes # Change rp_filter setting, default = 0 (switch off) #rp_filter=%unchanged # Switch on NAT-Traversal (if patch is installed) #nat_traversal=yes interfaces="ipsec0=eth0" # default settings for connections conn %default # Default: %forever (try forever) #keyingtries=3 # Sig keys (default: %dnsondemand) #leftrsasigkey=%cert #rightrsasigkey=%cert # Lifetimes, defaults are 1h/8hrs #ikelifetime=20m #keylife=1h #rekeymargin=8m conn vpncardis type=tunnel authby=secret auto=add left=80.120.3.150 leftsubnet=10.33.1.0/25 #leftupdown=/_updown_custom leftnexthop=80.120.3.145 right=80.120.3.152 rightsubnet=10.33.2.0/25 rightnexthop=80.120.3.145 esp=3des-md5 ike=3des-md5 keylife=3600 pfs=no keyexchange=ike auth=esp #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf /etc/ipsec.secrets ist vorhanden. Bei Aufbau des Tunnels bei deaktivierter SuSEfirewall2 mittels dem Befehl ipsec auto --up vpncardis Wird der Tunnel erfolgreich aufgebaut: ipsec auto --up vpncardis 112 "vpncardis" #2: STATE_QUICK_I1: initiate 004 "vpncardis" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x75d2c6c8 <0x7ff27920} Die Gegenstelle WAN Adresse ist: 80.120.3.152 Gegenstelle LAN ist 10.33.2.0/25 Auf dem SuSE 9.2 ist eth0 als 10.33.1.93 eingerichtet und eth1 als 80.120.3.150. ping vom rechten Subnet ins linke Subnet + Datenübertragung (SSH) klappt. Von links nach rechts klappt es ebenfalls problemlos. Soweit so gut. iptables -L liefert: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination route liefert: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 80.120.3.144 * 255.255.255.240 U 0 0 0 eth1 10.33.1.0 * 255.255.255.128 U 0 0 0 eth0 10.33.2.0 80.120.3.145 255.255.255.128 UG 0 0 0 eth1 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default 80.120.3.145 0.0.0.0 UG 0 0 0 eth1 Sobald ein "rcSuSEfirewall2 start" ausgeführt wird, können pings / Daten von links nach Rechts nicht mehr gesendet werden. D.h. ping 10.33.2.94 (von 10.33.1.94) klappt nicht mehr. Umgekehrt von Rechts nach links klappt es - 10.33.2.94 auf 10.33.1.94 klappt ohne Probleme. /etc/sysconfig/SuSEfirewall2 sieht folgendermaßen aus: FW_QUICKMODE="no" FW_DEV_EXT="eth1" FW_DEV_INT="eth0" FW_DEV_DMZ="" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="$FW_DEV_EXT" FW_MASQ_NETS="0/0 10.33.1.0/25 10.33.2.0/25" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="no" FW_SERVICES_EXT_TCP="domain pop3 smtp netbios-ns netbios-dgm netbios-ssn microsoft-ds 23 3389 5900 www 135:139 445 500" FW_SERVICES_EXT_UDP="domain 23 3389 5900 isakmp smtp 135:139 445 500" FW_SERVICES_EXT_IP="esp icmp 50 51 47" FW_SERVICES_EXT_RPC="" FW_SERVICES_DMZ_TCP="500 5900" FW_SERVICES_DMZ_UDP="domain syslog 500 5900" FW_SERVICES_DMZ_IP="50 51 47" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_TCP="ssh smtp domain pop3 ftp www 10000 3128 3389 23 3306 500 5900" FW_SERVICES_INT_UDP="domain smtp 3389 23 500 5900" FW_SERVICES_INT_IP="esp icmp 50 51 47" FW_SERVICES_INT_RPC="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="10.33.2.0/25,tcp,0:65535 10.33.1.0/25,tcp,0:65535" FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_FORWARD="10.33.2.0/25,10.33.1.0/25,,,ipsec \ 10.33.1.0/25,10.33.2.0/25,,,ipsec" FW_FORWARD_MASQ="" FW_REDIRECT="" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="no" FW_ANTISPOOF="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="yes" FW_ALLOW_FW_TRACEROUTE="yes" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="yes" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" FW_IPv6="" FW_IPv6_REJECT_OUTGOING="yes" FW_IPSEC_TRUST="ext" FW_IPSEC="yes" FW_IPSEC_LOCALNET="10.33.1.0/25" FW_IPSEC_REMOTENET="10.33.2.0/25" Der Output von iptables -L bei aktivierter Firewall befindet sich im Textanhang iptables2.txt Für Tipps / Hilfestellungen würde ich mich sehr freuen. MfG, Herbert Hackelsberger iptables2.txt