• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

freeswan gateway, keine einzige remote machine pingen?

cc

Member
hallo

habe ernstahftes problem mit freeswan gateway ( linux SuSE 8.2 ) ,
verbunden via ipsec tunnel mit Watchguard firewall.
Auf dem linux gateway habe 2 interfaces :
eth0 (externes) mit einer Internet adresse (212.X.X.X) und
eth1 (internes) mit einer privater adresse (192.168.115.1)

mein ipsec.conf :

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
forwardcontrol=yes

conn %default
keyingtries=0
disablearrivalcheck=no
authby=secret
#compress=yes
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand

conn roadwarrior
left=%any

conn me-to-anyone
#left=%defaultroute
#right=%opportunistic
#keylife=1h
#rekey=no
# for initiator only OE,
# after putting your key
#leftid=@myhostname.example.com
# uncomment this next line to enable it
# auto=route

conn Firebox1
left=195.X.X.X
leftnexthop=%defaultroute
leftsubnet=192.168.0.0/24
right=212.X.X.X
rightnexthop=%defaultroute
rightsubnet=192.168.115.0/24
leftupdown=/usr/lib/ipsec/_updown_custom
auto=start

Der tunnel funktioniert.

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
212.X.X.X * 255.255.255.240 U 0 0 0 eth0
212.X.X.X * 255.255.255.240 U 0 0 0 ipsec0
192.168.0.0 gw.xxx.net 255.255.255.0 UG 0 0 0 ipsec0
192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
default gw.xxx.net 0.0.0.0 UG 0 0 0 eth0

# ipsec verify
Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for ext [FAILED]
Looking for TXT in reverse map: X.X.X.212.in-addr.arpa [OK]
Does the machine have at least one non-private address [OK]

I kann von jeder remote maschine linux gateway anpingen,
aber NICHT umgekehrt !

auf der linux gateway seite läuft keine firewall.

auf der remote seite, sind alle ports "ANY to ANY" für linux erlaubt.

interessanterweise kann ich von jeder maschine hinter
dem linux gateway ( meine auf der gateway site ),
jede remote machine pingen, aber NICHT vom linux gateway direkt.

was ist da falsch ?

gruss
cc
 

basman

Member
Hi

ich habe mit sehr ähnlichen Problemen zu kämpfen. Ermittle bitte mit ethereal oder tcpdump, ob Deine Pings, die funktionieren, wirklich über den Tunnel gehen (ESP- oder AH-Protokoll-Pakete). Denn bei mir geht das Pingen des Roadworriors auch, nur von diesem ins VPN nicht. Diese Pings sind allerdings nicht getunnelt, sondern normale ICMP-Pakete.

tcpdump aufrufen in Deinem Fall mt:
Code:
tcpdump -i eth0 not tcp port 22

Mit der -w Option kann man die gesnifften Pakete auch in eine Datei schreiben lassen. Wenn Du sie mir dann zugänglich machst (per ftp oder http), fällt mir die Analyse leichter.

Untersuche des weiteren, ob in die Gegenrichtung (in die Pingen nicht geht) die Ping-Pakete überhaupt losgeschickt werden und ob die Antwort auf der Gegenseite losgeschickt wird.

Bei mir laufen nur die Ping-Pakete los, die Pongs werden jedoch gar nicht abgeschickt. Die Pings werden von der Linux-gw nicht ins LAN weitergeleitet.

Gruss basman
 

jado

Member
Wenn du von den remote Hosts dein Linux-GW anpingst sind SRC- und auch DST-IPs! Und erfüllen die Policy deines VPNs.
Wenn du von deinem Linux-GW auf einen remote Host pingst, ist die Frage, welche SRC-IP dein Linux-GW benutzt.
Wenn er die von eth0 nimmt, wird die VPN-Policy nicht erfüllt, da eine 192.168.115.x erwartet wird.
Schau mal in die Logs, ob du da violations findest.


PS: die 212.* route ist zweimal definiert.
Eine der beiden (ipsec0) könnte zu viel sein.
 
Oben