PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VPN Verbindung "hängt"



Turock
12.07.02, 15:02
Ich habe eine VPN Verbindung mit ipsec eingerichtet. Auf dem Rechner läuft auch iptables. Die Verbindung kann problemlos aufgebaut werden udn ich kann auch dann Verbindungen über das VPN aufbauen. Bin ich dann Beispielsweise per ssh auf dem Rechner funktioniert Anfangs alles problemlos. Nach einigen Sekunden/Minuten jedoch hängt sich die Verbindung einfach auf. Die VPN Verbindung steht zwar noch aber es werden keine Daten mehr übertragen. Kennt vielleicht jemand das Problem? Das ganze liegt höchstwarscheinlich an den Firewalleinstellungen. Das Passiert mit meinen Einstellungen, wenn ich alle Pakete akzeptiere, tritt dieses Problem nicht auf.

Folgende Regeln wurden für ipsec festgelegt:

iptables -A INPUT -s 194.25.218.160/255.255.255.224 -i eth0 -p udp -m udp --dport 500 -j ACCEPT
iptables -A INPUT -s 194.25.218.160/255.255.255.224 -i ipsec0 -p udp -m udp --dport 500 -j ACCEPT
iptables -A OUTPUT -d 194.25.218.160/255.255.255.224 -o eth0 -p udp -m udp --sport 500 -j ACCEPT
iptables -A OUTPUT -d 194.25.218.160/255.255.255.224 -o ipsec0 -p udp -m udp --sport 500 -j ACCEPT

iptables -A INPUT -s xxx.xxx.218.160/255.255.255.224 -i eth0 -p 50 -j ACCEPT
#iptables -A INPUT -s xxx.xxx.218.160/255.255.255.224 -i ipsec0 -p icmp -j ACCEPT
iptables -A INPUT -s xxx.xxx.218.160/255.255.255.224 -i ipsec0 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s xxx.xxx.218.160/255.255.255.224 -i ipsec0 -p tcp -m tcp --dport 4242 -j ACCEPT

iptables -A OUTPUT -d xxx.xxx.218.160/255.255.255.224 -o eth0 -p 50 -j ACCEPT
iptables -A OUTPUT -d xxx.xxx.218.160/255.255.255.224 -o ipsec0 -j ACCEPT

iptables -A FORWARD -s xxx.xxx.218.160/255.255.255.224 -d 192.168.2.0/255.255.255.0 -i ipsec0 -j ACCEPT
iptables -A FORWARD -d xxx.xxx.218.160/255.255.255.224 -s 192.168.2.0/255.255.255.0 -o ipsec0 -j ACCEPT

#iptables -A OUTPUT -s xxx.xxx.218.160/255.255.255.224 -d 192.168.2.0/255.255.255.0 -o eth1 -j ACCEPT
iptables -A OUTPUT -s 192.168.2.100 -d 192.168.2.0/255.255.255.0 -o eth1 -j ACCEPT

Hab ich da vielleicht itrgendwas vergessen? Ich versteh das einfach nicht, die Verbindung funktioniert problemlos, bis zu einem Bestimmten Punkt. Dann kommen einfach keine Daten mehr durch. Meisst wenn größere Datenmengen mit einmal übertragen werden sollen. Wenn man nur einzelne Befehle absetzt passiert das nicht.

bom
13.07.02, 20:16
Zu was für einem VPN-Device machst Du denn VPN???

Ich vermute mal, dass der Tunnel aufgrund unterschiedlicher SA lifetimes zusammenbricht.

Turock
15.07.02, 07:29
Das VPN ist mit Hilfe von Freeswan. Ich benutze dazu Shared secrets, da ich auch von Windowsrechnern mittels SSH Sentinel darauf zugreifen möchte. Das mit dem hängen bleiben passiert aber bei Verbindungen mit Windows und auch bei Verbindungen mit anderen Freeswan Rechnern.
Ich bekomme auch keinen Fehler, dass der Tunnel zusammenbricht. Ich bekomme einfach nur keine Daten mehr raus. Wenn ich beispielsweise eine SSH Verbindung durch den Tunnel mache, bleibt die ewig offen, solange ich nur Befehle absetze, die nicht viel scrollen, also nicht viel Datentransfer mit einmal verursachen. Sobald ich mir darüber aber eine Datei mit less anschaue hängt das schon nach einigen Byte.
Kann das irgendwas mit den MTUs zu tun haben?

Turock
16.07.02, 09:08
Ok, das Problem hat sich geklärt. Man muss dafür in der Firewall das ICMP Protokoll freigeben. Da darüber Informationen ausgetauscht werden, ob Pakete geteilt werden. :)