SuSEfirewall2 und freeswan

C

ccc

Routinier
hallo

habe mit meiner linux kiste SuSE 8.2 ein freeswan gateway
erfolgreich eingerichtet.
freeswan funktioniert , aber wenn ich SuSEfirewall2 aktiviere,
dann geht es nicht mehr.

im log habe ich:
"SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
DST=192.168.2.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

bei SuSEfirewall habe ich folgendes eingetragen:
FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_TRUSTED_NETS=192.168.2.0/24 192.68.0.0/24
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_REJECT="no"
FW_IPSEC="yes"
FW_DEV_IPSEC="ipsec0"
FW_IPSEC_LOCALNET="192.168.2.0/24"
FW_IPSEC_REMOTENET="192.168.0.0/24"

weiss jemand woran es liegt ?

gruss
ccc
 
Zuletzt bearbeitet:
moin

versuch mal ipsec0 aus FW_MASQ_DEV="$FW_DEV_EXT" rauszunehmen, also ändern in

FW_MASQ_DEV="eth0"


Gruß HL
 
habe gemacht, hilft aber nicht

bekomme im log:

SuSE-FW-ILLEGAL-TARGET IN=ipsec0
OUT= MAC=XXXXXXXXXXXXXX
SRC=192.168.0.1
DST=192.168.2.1
LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=18703 PROTO=ICMP TYPE=0 CODE=0 ID=13843 SEQ=11

gruss
ccc
 
Zuletzt bearbeitet:
hm, hast du es nur mit pings versucht? meine *susefirewall-zeit* liegt zwar schon etwas zurück, aber folgendes dürfte das versenden von pings verhindern

FW_ALLOW_PING_EXT="no"


ansonsten sieht deine config imho gut aus.


ps: sorry für die blöde frage ;), aber neu gestartet haste die firewall schon?


Gruß HL
 
firewall restarte ich immer nach jeder änderung mit:

rcSuSEfirewall2 restart

habe geändert aber immer die gleichen log meldungen bei ping:

SuSE-FW-ILLEGAL-TARGET IN=ipsec0......................

gruss
ccc
 
hm, sorry bin mit meinem latein dann erstmal am ende.


Gruß HL
 
Tjaja die gute alte SuSe Firewall :D

Solche Probleme kenne ich auch noch ... aber ich hab die SuSE Firewall dann sein lassen ....
 
hi devilz

welche software firewall anstatt SuSEfirewall hast du denn im einsatz ?

welche open source firewalls sonst würdest du für SuSE empfehlen ?

gruss
ccc
 
Iptable ist eine Alternative, wenn du ein programm zur einfachen Konfiguration suchst, würde ich dir Kmyfirewall empfehlen (läuft unter KDE).

Wenn du Ganz sicher gehen willst, solltest du dich natürlich in iptables einarbeiten und dir das Firewallscript selbst erstellen (Beispiele findest du hier im Forum)
 
damit mit SuSEfirewall2 funktioniert, muss man folgendes machen:

# cp /usr/lib/ipsec/_updown _updown_custom

_updown_custom mit einem editor öffnen,
suchen nach up-client:) und down-client:)
und folgendes einfügen:
Code:
up-client:)
# connection to my client subnet coming up
# If you are doing a custom version, firewall commands go here.
iptables -I FORWARD 1 -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
iptables -I FORWARD 1 -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
;;

down-client:)
# connection to my client subnet going down
# If you are doing a custom version, firewall commands go here.
iptables -D FORWARD -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
iptables -D FORWARD -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
-s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT

und in in /etc/ipsec.conf die Zeile:
Code:
leftupdown=/usr/lib/ipsec/_updown_custom
unbedingt hinfügen, wie z.B:
Code:
conn vpn

left=X.X.X.X
leftnexthop=X.X.X.X
leftsubnet=192.168.2.0/24
leftupdown=/usr/lib/ipsec/_updown_custom
right=X.X.X.X
rightnexthop=X.X.X.X
rightsubnet=192.168.0.0/24
auto=start

gruss
ccc
 
Zuletzt bearbeitet:
das problem war eben schon lange in meinem letzten posting gelöst !
hast du nicht gesehen ?

p.s.
übrigens seit mehr als 1,5 jahre benutze debian.
suse finito banana
 
dd if=/dev/zero of=/dev/nul
merkst Du noch etwas?


Jeder lernt anders. Jeder hat die möglichkeit selbst zu entscheiden.
Für jedes Problem gibt es verschiedene Lösungsansätze.
Deine Wut zeigt Deine Schwächen.

Technik ist nichts für unausgewogene Menschen,
denn diese drücken auf den roten Knopf.
 
Zuletzt bearbeitet:
dd if=/dev/zero of=/dev/nul
merkst Du noch etwas?


Jeder lernt anders. Jeder hat die möglichkeit selbst zu entscheiden.
Für jedes Problem gibt es verschiedene Lösungsansätze.
Deine Wut zeigt Deine Schwächen.

Technik ist nichts für unausgewogene Menschen,
denn diese drücken auf den roten Knopf.

Du solltest weniger kiffen.

CCC hat dich in keinster Weise angegriffen.
 

Ähnliche Themen

Festplatte stirbt, dd funktioniert nicht

Ubuntu X / dbus problem

OpenSuse 11.1 USB Festplatte wird nicht erkannt

Festplatte friert ein nach suspend/resume

Was für Pakete sind das?

Zurück
Oben