hallo

habe auf meiner linux SuSE 8.2 ein freeswan gateway erfolgreich eingerichtet.
dort habe 2 interfaces:
externes eth0 195.X.X.10 ( offizielle internetadresse )
internes eth1 192.168.115.1
internes netz ( trusted ) 192.168.115.0/24

remote:
extern 195.X.X.2
intern 192.168.0.0/24

bei eingeschalteter firewall:
# ipsec verify
Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for ext [FAILED]
Looking for TXT in reverse map: X.X.X.195.in-addr.arpa [OK]
Does the machine have at least one non-private address [OK]

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
195.X.X.0 * 255.255.255.240 U 0 0 0 eth0
195.X.X.0 * 255.255.255.240 U 0 0 0 ipsec0
192.168.0.0 gw.net.x 255.255.255.0 UG 0 0 0 ipsec0
192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
default gw.net.x 0.0.0.0 UG 0 0 0 eth0

freeswan funktioniert , aber wenn ich SuSEfirewall2 auf gleicher
linux kiste starte, dann ist es fertig lustig:
keine verbinung zum remote netz, pings funktionieren nicht mehr usw.

im log habe viele solche meldungen gesehen:

"SuSE-FW-ILLEGAL-TARGET IN=ipsec0 OUT=
MAC=00:02:b3:3f:41:9f:00:91:7f:04:41:2ab:09:00 SRC=192.168.0.1
DST=192.168.115.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=24827
PROTO=ICMP TYPE=0 CODE=0 ID=4115 SEQ=1345"

bei SuSEfirewall habe ungefähr solche konfigurationen:

FW_DEV_EXT="eth0 ipsec0"
FW_DEV_INT="eth1"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="no"
FW_SERVICES_EXT_UDP="500"
FW_SERVICES_EXT_IP="50 51"
FW_TRUSTED_NETS=192.168.115.0/24 192.68.0.0/24
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_KERNEL_SECURITY="no"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_REJECT="no"
FW_CUSTOMRULES=""
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_REJECT="no"

wo liegt der da Hund begraben ?
set 2 wochen bin ich dran und kein schritt weiter.

gruss
ccc

FW_DEV_EXT="eth0 ipsec0"

Du hast ipsec als externes device definiert -> Dh: da gelten die gleichen Regeln wie für eth0.

Möcht ja nicht herummotzen -- aber für was verwendest Du VPN, wenn es für Dich genauso eingestuft ist wie das Internet?

danke, aber es hilft nicht

wenn ich ändere auf

FW_DEV_INT="eth1 ipsec0"

bekomme folgende meldung im log:

SuSE-FW-DROP-ANTI-SPOOF IN=eth0 OUT= MAC=X.X.X..................
SRC=195.X.X.2 DST=195.X.X.10 LEN=108 TOS=0x00
PREC=0x00 TTL=64 ID=23443 PROTO=UDP SPT=500 DPT=500 LEN=88

gruss
ccc