• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

SuSEFirewall2 mit mehreren Routen->Hilfe

Guten Tag zusammen,

also ich habe folgende Problem mit SuSE 9.2 und der SuSEFirewall2.

Konfiguration :

->Internet (feste IPs) --> SuseFirewall -> internes Netz
|
|-> LANCOM VPN-Router -> internes Netz
|
|-> VPN-Tunnel zu 5 Aussenstellen



Nun es ist folgende Umgebung :

Das interne Netz hat das Subnet 192.168.100.0, die SFW 192.168.100.6 und der VPN-Router 192.168.100.21 und die Rechner und Server haben als Standardgateway die 192.168.100.6 also die SFW.

Dazu haben wir in dem Netzwerk noch einen Lancom VPN-Router 1711, der die fünf Ausstellen anbindet, was auch prima kennt.

Auf der Linuxfirewall habe ich folgende Routen zugefügt :

192.168.101.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.102.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.103.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.105.0 MASK 255.255.255.0 GW 192.168.100.21
192.168.99.0 MASK 255.255.255.0 GW 192.168.100.21


So nun zu meinem Problem :

Wenn ich von einem Rechner aus dem Netz 192.168.100.x in ein anderes z.B. 192.168.99.1 pinge geht es, wenn ich aber von Netz 192.168.99.x nach 192.168.100.5 ( Server ) anpinge, bekomme ich die Fehlermeldung die folgende Meldung im Log :


Oct 27 17:20:46 mail kernel: SFW2-OUT-ERROR IN= OUT=eth1 SRC=192.168.100.6 DST=192.168.100.5 LEN=120 TOS=0x00 PREC=0xC0 TTL=64 ID=57601 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=192.168.100.21 [SRC=192.168.100.5 DST=192.168.99.9 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=1667 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=53775 ]
Oct 27 17:20:46 mail kernel: SFW2-FWDint-DROP-DEFLT-INV IN=eth1 OUT=eth1 SRC=192.168.100.5 DST=192.168.99.9 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=1667 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=53775

Sobald ich Firewall beende, geht es!
Ich kapiere es nicht, in die eine Richtung geht es.

Das ist meine Konfiguration:
FW_QUICKMODE="no"
FW_DEV_EXT="eth-id-00:12:79:90:94:33"
FW_DEV_INT="eth-id-00:12:79:90:94:35"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="25 443 80"
FW_SERVICES_EXT_UDP="isakmp"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_INT_TCP="domain ssh smtp 80 110 10000 1812 3128 8080 10025"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP="esp"
FW_SERVICES_INT_RPC=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_QUICK_TCP="25 80 443"
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.100.3,tcp,80 0/0,192.168.100.3,tcp,443"
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="yes"
FW_LOG_ACCEPT_CRIT="no"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_ANTISPOOF="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="no"
FW_ALLOW_FW_BROADCAST="yes"
FW_IGNORE_FW_BROADCAST="no"
FW_ALLOW_CLASS_ROUTING="yes"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_HTB_TUNE_DEV=""
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="int"

Also ich weiß leider bald nicht mehr weiter ...
Ich hoffe von euch hat noch eine Idee.

Falls mehr Infos benötigt ... bitte schreiben.

danke, Henry
 
OP
S

sir.henry.k

Newbie
Der LANCOM Router baut die Tunnel auf, was auch im allgemeinen prima läuft.

Wenn ich auf den Rechner eine Route hinzufüge, laufen die Verbindungen auch, nur das möchte ich vermeiden, da das default Gateway die Firewall seinen soll.
 

Martin Breidenbach

Ultimate Guru
Der bräuchte eine Regel die Pakete die auf der internen Schnittstelle reingehen auch auf der internen Schnittstelle wieder rausläßt. Ob es da in SuSEFirewall2 eine vorkonfigurierte Regel gibt weiß ich jetzt nicht. Es gibt wohl die Möglichkeit eigene Regeln einzufügen. Damit sollte das gehen.
 
OP
S

sir.henry.k

Newbie
Ja so ähnlich vermute ich es auch. Bei SuSEFirwall hat man die Möglichkeit customrules einzufügen.

Ich bin leider nicht so standfest mit den iptables regeln, kann mir einer so eine Regel mal schreiben?
 

framp

Moderator
Teammitglied
Wie ist es damit?

Code:
#           - "192.168.1.0/24,10.10.0.0/16,,,ipsec \
#              10.10.0.0/16,192.168.1.0/24,,,ipsec" permit traffic
#              from 192.168.1.0/24 to 10.10.0.0/16 and vice versa
#              provided that both networks are connected via an
#              IPsec tunnel.
FW_FORWARD=""
 
OP
S

sir.henry.k

Newbie
So ich habe jetzt dieses eingetragen :

FW_FORWARD = "192.168.99.0/24,192.168.100.0/24,,,ipsec 192.168.100.0/24,192.168.99.0,,,ipsec"

aber leider ohne Erfolg ... die Firewall weiss eigentlich gar nichts von den VPN-Tunneln, sondern die Firewall soll eigentlich nur das Gateway für das entsprechende Subnet zurückgeben ...

komisch, komsich ...
 

framp

Moderator
Teammitglied
Hm - forwarding bringt auch nichts da ja beide dasselbe NIC benutzen. Sorry.
Wie ist es mit
Code:
/usr/sbin/iptables -I INPUT -i eth1 -s 192.168.100.0/24 -d 192.168.101.0/24 -j ACCEPT
/usr/sbin/iptables -I OUTPUT -o eth1 -d 192.168.100.0/24 -s 192.168.101.0/24 -j ACCEPT
in der SuSEFWcustom.
Dieselbe Regeln dann natuerlich auch noch fuer die anderen VPNs.
 

Martin Breidenbach

Ultimate Guru
Die VPNs macht doch der LANCOM Router... dann sollte das soch eher sowas sein:

Code:
/usr/sbin/iptables -I FORWARD -i eth1 -o eth1 -j ACCEPT

um an ein anderes gateway weiterzuleiten.
 
OP
S

sir.henry.k

Newbie
Ja, das war es Martin. Vielen Dank!!!!!

Ich habe es jetzt in die SuSEfirewall_custom datei geschrieben und selbst beim neustarten ist alles gut.

Nochmals Danke und ein schönes Wochenende ...

Henry
 

framp

Moderator
Teammitglied
Martin Breidenbach schrieb:
Die VPNs macht doch der LANCOM Router... dann sollte das soch eher sowas sein:

Code:
/usr/sbin/iptables -I FORWARD -i eth1 -o eth1 -j ACCEPT

um an ein anderes gateway weiterzuleiten.

@Breidy: Ich dachte forwarding geht nur zwischen zwei verschiedenen NICS. Hat das was mit den VPNs zu tun? Ich habe OpenVPN und da wird ja das VPN als weiteres NIC dargestellt (tun0) und es geht dann mit forwarding.
 

Martin Breidenbach

Ultimate Guru
Bei den Clients ist die Linux-Kiste Standardgateway. Die VPNs macht aber der LANCOM. Also muß die Linux-Kiste die Pakete zum LANCOM weiterrouten. Genau das erlaubt diese Regel.

Bei Dir macht VPN der Linuxrechner und da muß der natürlich nichts 'zurückschicken'.
 
OP
S

sir.henry.k

Newbie
Stimmt Martin, so ist bei mir die Konfiguration.

Als VPN-Router setzen wir hier grundsätzlich Lancom ein, da die sehr stabil auch dynamischen adressen arbeiten.
 
Oben