Hallo Freunde,
Vorgeschichte:
Ich nutze schon seit mehreren openSUSE-Versionen das integrierte IPSec-VPN der Fritz!Box und den IKE-Client der Fa. Schrew-Soft. Unter anderem route ich darüber bei ext. WLAN-Nutzung den gesamten Traffic über meine heimische Box. (In meinem Lieblings-Urlaubsland DK hat niemand etwas gegen die Mitnutzung seines offenen WLAN! Selbst wenn ich frage, wird nur gelächelt und "du darfst" ... .)
Um den bestehenden Tunnel nutzen zu können ist es (nach langer Suche und gefundenen Informationen aus mehreren Foren) erforderlich, den Wert für "rp_filter" auf "0" zu setzen. Damit wird erreicht: "disable route verification on all interfaces"
Ergo: VPN, Routing usw. alles "kein Thema". Es funktioniert eben.
Problem ("gelöst", aber trotzdem eine Frage!):
Seit irgend einem Update (schon auf 11.4 oder auf Kernel 2.6.39-30-desktop, oder ???) funktioniert das nicht mehr.
=> die Datei "/etc/sysctl.d/10-network-security.conf", welche ich sonst editiert habe, existiert nicht mehr.
Kein Problem (dachte ich), dafür gibt es die "/etc/sysctl.conf, wo dieser Wert auch drin steht, und den ich von 1 auf 0 geändert habe:
Aber es funktioniert nicht! Unter /proc/sys/net/ipv4/conf/all/rp_filter wird dieser Wert weiterhin mit "1" angezeigt.
"Gelöst" habe ich das Problem, indem ich mit Hilfe des Startscriptes, welches als root den iked startet ("Vorstart VPN") den Wert direkt ändere:
Kurioserweise klappt es mit der Schnittstelle "all" immer noch nicht. Deshalb setze ich nacheinander mit dem Script die Werte für alle Schnittstellen auf 0 => und jetzt (erst) funktioniert es.
Ich habe dieses Problem zwar "gelöst" und kann beruhigt in Urlaub fahren, aber mich befriedigt das nicht.
Deshalb hier meine eigentlichen Fragen an die Wissenden:
1.) Warum wird der Eintrag in /etc/sysctrl.conf nicht beim Start übernommen, so wie das früher bei der "/etc/sysctl.d/10-network-security.conf" war?
2.) Welche Gründe mag es geben, dass der geänderte Wert für "all" nicht mehr ausreicht?
(Ja, ich weiß, meine Fragen sind immer recht kompliziert ... ;-) )
Mit den besten Wünschen für einen schönen Tag!
Peter
Vorgeschichte:
Ich nutze schon seit mehreren openSUSE-Versionen das integrierte IPSec-VPN der Fritz!Box und den IKE-Client der Fa. Schrew-Soft. Unter anderem route ich darüber bei ext. WLAN-Nutzung den gesamten Traffic über meine heimische Box. (In meinem Lieblings-Urlaubsland DK hat niemand etwas gegen die Mitnutzung seines offenen WLAN! Selbst wenn ich frage, wird nur gelächelt und "du darfst" ... .)
Um den bestehenden Tunnel nutzen zu können ist es (nach langer Suche und gefundenen Informationen aus mehreren Foren) erforderlich, den Wert für "rp_filter" auf "0" zu setzen. Damit wird erreicht: "disable route verification on all interfaces"
Ergo: VPN, Routing usw. alles "kein Thema". Es funktioniert eben.
Problem ("gelöst", aber trotzdem eine Frage!):
Seit irgend einem Update (schon auf 11.4 oder auf Kernel 2.6.39-30-desktop, oder ???) funktioniert das nicht mehr.
=> die Datei "/etc/sysctl.d/10-network-security.conf", welche ich sonst editiert habe, existiert nicht mehr.
Kein Problem (dachte ich), dafür gibt es die "/etc/sysctl.conf, wo dieser Wert auch drin steht, und den ich von 1 auf 0 geändert habe:
Code:
# Disable response to broadcasts.
# You don't want yourself becoming a Smurf amplifier.
net.ipv4.icmp_echo_ignore_broadcasts = 1
# enable route verification on all interfaces
net.ipv4.conf.all.rp_filter = 0
# disable IPv6 completely
net.ipv6.conf.all.disable_ipv6 = 1
# enable IPv6 forwarding
#net.ipv6.conf.all.forwarding = 1
# increase the number of possible inotify(7) watches
fs.inotify.max_user_watches = 65536
# avoid deleting secondary IPs on deleting the primary IP
net.ipv4.conf.default.promote_secondaries = 1
net.ipv4.conf.all.promote_secondaries = 1Aber es funktioniert nicht! Unter /proc/sys/net/ipv4/conf/all/rp_filter wird dieser Wert weiterhin mit "1" angezeigt.
"Gelöst" habe ich das Problem, indem ich mit Hilfe des Startscriptes, welches als root den iked startet ("Vorstart VPN") den Wert direkt ändere:
Code:
sysctl net.ipv4.conf.all.rp_filter=0Kurioserweise klappt es mit der Schnittstelle "all" immer noch nicht. Deshalb setze ich nacheinander mit dem Script die Werte für alle Schnittstellen auf 0 => und jetzt (erst) funktioniert es.
Ich habe dieses Problem zwar "gelöst" und kann beruhigt in Urlaub fahren, aber mich befriedigt das nicht.
Deshalb hier meine eigentlichen Fragen an die Wissenden:
1.) Warum wird der Eintrag in /etc/sysctrl.conf nicht beim Start übernommen, so wie das früher bei der "/etc/sysctl.d/10-network-security.conf" war?
2.) Welche Gründe mag es geben, dass der geänderte Wert für "all" nicht mehr ausreicht?
(Ja, ich weiß, meine Fragen sind immer recht kompliziert ... ;-) )
Mit den besten Wünschen für einen schönen Tag!
Peter