wie konfiguriere ich SuSEfirewall2 für freeswan

#0
05.02.2004, 01:39
Member

Beiträge: 31
#1 hallo

habe enormes problem
mit meiner linux SuSE 8.2 kiste habe ein freeswan gateway
erfogreich eingerichtet:
extern eth0 195.X.X.10 und
intern eth1 192.168.115.1
internes netz ( trusted ) 192.168.115.0/24

remote:
extern 195.X.X.2
intern 192.168.0.0/24

bei eingeschalteter firewall:
# ipsec verify
Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for ext [FAILED]
Looking for TXT in reverse map: X.X.X.195.in-addr.arpa [OK]
Does the machine have at least one non-private address [OK]

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.X.X.0 * 255.255.255.240 U 0 0 0 eth0
195.X.X.0 * 255.255.255.240 U 0 0 0 ipsec0
192.168.0.0 gw.net.x 255.255.255.0 UG 0 0 0 ipsec0
192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
default gw.net.x 0.0.0.0 UG 0 0 0 eth0

freeswan funktioniert , aber wenn ich SuSEfirewall2 auf gleicher
linux kiste starte, dann ist es fertig lustig:
keine verbinung zum remote netz, pings funktionieren nicht mehr usw.

im log habe viele solche meldungen gesehen:

"SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
DST=192.168.115.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

bei SuSEfirewall habe ungefähr solche konfigurationen:

FW_DEV_EXT="eth0 ipsec0"
FW_DEV_INT="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_TRUSTED_NETS=192.168.115.0/24 192.68.0.0/24
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_CLASS_ROUTING="yes"

weiss jemand an was es liegt ?
ich habe schon fast alles mögliche probiert, komme aber nicht weiter.

gruss
cc
Dieser Beitrag wurde am 07.02.2004 um 17:23 Uhr von cc editiert.
Seitenanfang Seitenende
06.02.2004, 23:25
Member
Avatar framp

Beiträge: 326
#2 Bei mir laeuft zwar kein freeswan gateway aber ich musste auch meinem SuSE FW beibringen VPN Sessions zu routen.
Mein Tip: Benutze tcpdump/ethereal und das system log um hearsuzufinden welche ports bzw protokolle geblocked werden und schalte die successive mit iptables frei. Wenn Du es hast kannst Du die rules ins SuSE FW custom.script zur Permanenz einbauen.
Meine Erfahrung mit SuSE FW ist, dass es zwar fuer Normalfaelle gut funktioniert - aber in einem VPN Fall ungeeignet ist.
In Deinem Fall schein Protokoll 0 geblocked zu werden. Freischlalten und den naechsten Versuch. Einfach den interativen Ansatz waehlen ;)
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
07.02.2004, 12:54
Member

Themenstarter

Beiträge: 31
#3 hallo framp

danke.
aber wo finde ich genau SuSE FW custom.script
und wie kann ich mit SuSE FW Protokoll 0 freisetzen ?

gruss
cc
Seitenanfang Seitenende
07.02.2004, 13:47
Member
Avatar framp

Beiträge: 326
#4

Zitat

aber wo finde ich genau SuSE FW custom.script
Am Ende von /etc/sysconfig/SuSEFirewall2 steht wie das file heisst. Soweit ich weiss ist es standardmaessig auskommentiert.

Zitat

und wie kann ich mit SuSE FW Protokoll 0 freisetzen ?
/usr/sbin/iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport $SPORT -j ACCEPT
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Dieser Beitrag wurde am 07.02.2004 um 13:48 Uhr von framp editiert.
Seitenanfang Seitenende
07.02.2004, 14:08
Member

Themenstarter

Beiträge: 31
#5 bekomme aber fehlermeldung:

# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport $SPORT -h ACCEPT
iptables v1.2.7a: invalid TCP port/service `-h' specified
Try `iptables -h' or 'iptables --help' for more information.
Seitenanfang Seitenende
07.02.2004, 14:39
Member
Avatar framp

Beiträge: 326
#6

Zitat

# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport $SPORT -h ACCEPT
Man iptables hilft ;)

Fuer $SPORT musst Du Deine SourceAdresse Deine Counterparts eingeben sofern Du sie kennst. Ansonsten weglassen. Dann koennen allerdings alle Prot 0 benutzen.
Es muss -j nicht -h ACCEPT heissen.

Wenn Du diesen Weg beschreitest musst Du Dich wohl ein wenig mit iptables auseinandersetzen ;)
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
07.02.2004, 17:19
Member

Themenstarter

Beiträge: 31
#7 hallo framp

danke, aber

# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport 195.X.X.X -j ACCEPT
iptables v1.2.7a: invalid TCP port/service `195.X.X.X' specified
Try `iptables -h' or 'iptables --help' for more information.
# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -j ACCEPT
iptables v1.2.7a: invalid TCP port/service `-j' specified
Try `iptables -h' or 'iptables --help' for more information.
# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -h ACCEPT
iptables v1.2.7a: invalid TCP port/service `-h' specified
Try `iptables -h' or 'iptables --help' for more information.

auch wenn ich $SPORT weglasse mein linux hat grosse mühe mit diesen eintrag.
und mit man iptables komme ich nicht weiter.

gruss
cc
Dieser Beitrag wurde am 07.02.2004 um 17:20 Uhr von cc editiert.
Seitenanfang Seitenende
07.02.2004, 18:31
Member
Avatar framp

Beiträge: 326
#8 Sorry,

habe das nur abgetippt und nicht kopiert. Muss -s 195.x.x.x heissen.

Nobody ist perfect ;)
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
07.02.2004, 19:14
Member

Themenstarter

Beiträge: 31
#9 auch error

# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -s 195.x.x.x -j ACCEPT
iptables v1.2.7a: invalid TCP port/service `-s' specified
Seitenanfang Seitenende
07.02.2004, 19:21
Member
Avatar framp

Beiträge: 326
#10

Zitat

cc postete
auch error

# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --sport -s 195.x.x.x -j ACCEPT
iptables v1.2.7a: invalid TCP port/service `-s' specified
--sport x.y.z => -s x.y.z, also --sport noch weg.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds
Seitenanfang Seitenende
07.02.2004, 20:04
Member

Themenstarter

Beiträge: 31
#11 geht auch nicht

# iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp -s 195.x.x.x -s ACCEPT
iptables v1.2.7a: multiple -s flags not allowed
Seitenanfang Seitenende
04.11.2004, 14:50
...neu hier

Beiträge: 2
#12 Hei Jungs,

habe bei mir fast das gleiche Problem. Bei mir aber mit einem VPN mit pptpd auf einem SuSE 8.0 Server. Der Tunnel steht soweit schon nur das Routing funktioniert nicht (sprich kein Ping möglich) wenn ich die Firewall aktiviert habe. Wenn ich sie deaktiviere funktioniert es. Port TCP 1723 und Protokoll GRE sind eigentlich freigegeben.

Wie kann ich das Problem mit der Firewall beheben?

Grüße
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: