OpenSwan + SuSEfirewall2 - Left - Right Subnet Problem

[WGB]

Hallo,

Erstmal bitte um Entschuldigung wenn ich das falsche Forum (Security) erwischt haben sollte, aber es geht hier um ein VPN Problem mit SuSEfirewall2 und hoffe dennoch hier richtig zu sein.

Ich habe unter SuSE Linux 9.2 mittels OpenSwan ein VPN konfiguriert. OpenSwan ist Version 2.2.0.

Kernel: (uname –a)

Linux doretthe 2.6.8-24-default #1 Wed Oct 6 09:16:23 UTC 2004 i686 i686 i386 GNU/Linux

/etc/ipsec.conf sieht folgendermaßen aus:

version 2.0     # conforms to second version of ipsec.conf specification


# basic configuration

config setup

        # Debug-logging controls:  "none" for (almost) none, "all" for lots.

        klipsdebug=none

        #plutodebug="control parsing"

        plutodebug=none

        # Certificate Revocation List handling

        #crlcheckinterval=600

        #strictcrlpolicy=yes

        # Change rp_filter setting, default = 0 (switch off)

        #rp_filter=%unchanged

        # Switch on NAT-Traversal (if patch is installed)

        #nat_traversal=yes

        interfaces="ipsec0=eth0"


# default settings for connections

conn %default

        # Default: %forever (try forever)

        #keyingtries=3

        # Sig keys (default: %dnsondemand)

        #leftrsasigkey=%cert

        #rightrsasigkey=%cert

        # Lifetimes, defaults are 1h/8hrs

        #ikelifetime=20m

        #keylife=1h

        #rekeymargin=8m


conn vpncardis

        type=tunnel

        authby=secret

        auto=add

        left=80.120.3.150

        leftsubnet=10.33.1.0/25

        #leftupdown=/_updown_custom

        leftnexthop=80.120.3.145

        right=80.120.3.152

        rightsubnet=10.33.2.0/25

        rightnexthop=80.120.3.145

        esp=3des-md5

        ike=3des-md5

        keylife=3600

        pfs=no

        keyexchange=ike

        auth=esp


#Disable Opportunistic Encryption

include /etc/ipsec.d/examples/no_oe.conf

/etc/ipsec.secrets ist vorhanden. Bei Aufbau des Tunnels bei deaktivierter SuSEfirewall2 mittels dem Befehl ipsec auto --up vpncardis Wird der Tunnel erfolgreich aufgebaut:

ipsec auto --up vpncardis

112 "vpncardis" #2: STATE_QUICK_I1: initiate

004 "vpncardis" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x75d2c6c8 <0x7ff27920}

Die Gegenstelle WAN Adresse ist: 80.120.3.152 Gegenstelle LAN ist 10.33.2.0/25 Auf dem SuSE 9.2 ist eth0 als 10.33.1.93 eingerichtet und eth1 als 80.120.3.150. ping vom rechten Subnet ins linke Subnet + Datenübertragung (SSH) klappt. Von links nach rechts klappt es ebenfalls problemlos. Soweit so gut. iptables -L liefert:

Chain INPUT (policy ACCEPT)

target     prot opt source               destination


Chain FORWARD (policy ACCEPT)

target     prot opt source               destination


Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

route liefert:

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

80.120.3.144    *               255.255.255.240 U     0      0        0 eth1

10.33.1.0       *               255.255.255.128 U     0      0        0 eth0

10.33.2.0       80.120.3.145    255.255.255.128 UG    0      0        0 eth1

link-local      *               255.255.0.0     U     0      0        0 eth0

loopback        *               255.0.0.0       U     0      0        0 lo

default         80.120.3.145    0.0.0.0         UG    0      0        0 eth1

Sobald ein "rcSuSEfirewall2 start" ausgeführt wird, können pings / Daten von links nach Rechts nicht mehr gesendet werden. D.h. ping 10.33.2.94 (von 10.33.1.94) klappt nicht mehr. Umgekehrt von Rechts nach links klappt es - 10.33.2.94 auf 10.33.1.94 klappt ohne Probleme. /etc/sysconfig/SuSEfirewall2 sieht folgendermaßen aus:

FW_QUICKMODE="no"

FW_DEV_EXT="eth1"

FW_DEV_INT="eth0"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_DEV="$FW_DEV_EXT"

FW_MASQ_NETS="0/0 10.33.1.0/25 10.33.2.0/25"

FW_PROTECT_FROM_INTERNAL="no"

FW_AUTOPROTECT_SERVICES="no"

FW_SERVICES_EXT_TCP="domain pop3 smtp netbios-ns netbios-dgm netbios-ssn microsoft-ds 23 3389 5900 www 135:139 445 500"

FW_SERVICES_EXT_UDP="domain 23 3389 5900 isakmp smtp 135:139 445 500"

FW_SERVICES_EXT_IP="esp icmp 50 51 47"

FW_SERVICES_EXT_RPC=""

FW_SERVICES_DMZ_TCP="500 5900"

FW_SERVICES_DMZ_UDP="domain syslog 500 5900"

FW_SERVICES_DMZ_IP="50 51 47"

FW_SERVICES_DMZ_RPC=""

FW_SERVICES_INT_TCP="ssh smtp domain pop3 ftp www 10000 3128 3389 23 3306 500 5900"

FW_SERVICES_INT_UDP="domain smtp 3389 23 500 5900"

FW_SERVICES_INT_IP="esp icmp 50 51 47"

FW_SERVICES_INT_RPC=""

FW_SERVICES_DROP_EXT=""

FW_SERVICES_REJECT_EXT="0/0,tcp,113"

FW_SERVICES_QUICK_TCP=""

FW_SERVICES_QUICK_UDP=""

FW_SERVICES_QUICK_IP=""

FW_TRUSTED_NETS="10.33.2.0/25,tcp,0:65535 10.33.1.0/25,tcp,0:65535"

FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"

FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

FW_FORWARD="10.33.2.0/25,10.33.1.0/25,,,ipsec \ 10.33.1.0/25,10.33.2.0/25,,,ipsec"

FW_FORWARD_MASQ=""

FW_REDIRECT=""

FW_LOG_DROP_CRIT="yes"

FW_LOG_DROP_ALL="yes"

FW_LOG_ACCEPT_CRIT="yes"

FW_LOG_ACCEPT_ALL="no"

FW_LOG_LIMIT=""

FW_LOG=""

FW_KERNEL_SECURITY="no"

FW_ANTISPOOF="no"

FW_STOP_KEEP_ROUTING_STATE="no"

FW_ALLOW_PING_FW="yes"

FW_ALLOW_PING_DMZ="yes"

FW_ALLOW_PING_EXT="yes"

FW_ALLOW_FW_TRACEROUTE="yes"

FW_ALLOW_FW_SOURCEQUENCH="yes"

FW_ALLOW_FW_BROADCAST="yes"

FW_IGNORE_FW_BROADCAST="no"

FW_ALLOW_CLASS_ROUTING="no"

FW_CUSTOMRULES=""

FW_REJECT="no"

FW_HTB_TUNE_DEV=""

FW_IPv6=""

FW_IPv6_REJECT_OUTGOING="yes"

FW_IPSEC_TRUST="ext"

FW_IPSEC="yes"

FW_IPSEC_LOCALNET="10.33.1.0/25"

FW_IPSEC_REMOTENET="10.33.2.0/25"

Der Output von iptables -L bei aktivierter Firewall befindet sich im Textanhang iptables2.txt

Für Tipps / Hilfestellungen würde ich mich sehr freuen.

MfG,

Herbert Hackelsberger

iptables2.txt