Hallo linux-club,
Überblick:
192.168.200.1/24 [ host ] 192.168.1.2/24
<-----
192.168.1.1/24 [ router ] 192.168.2.254/24
Der Router initiert die VPN Verbindung zum host im Internet.
host details:
OS: OpenSuSE 10.0 Kernel 2.6.13-15-default mit OpenS/WAN das mit Yast installiert
ipsec.conf:
ipsec.secrets:
netstat -rn :
router details:
Typ: LANCOM DSL/I-1611 Office
der router blockt jede Verbindung vom Internet (192.168.1.0/24) ausser:
udp 500
udp 4500
ip proto 50
ausgehende Verbindungen vom LAN (192.168.2.0/24) werden auf IP 192.168.1.1 geNATet .
Problem Beschreibung:
Die VPN Verbindung baut ohne Fehler auf und bleibt auch bestehen.
Der Pluto Daemon fügt in die Routingtabelle vom host die Route zum 192.168.2.0/24 Netz korrekt hinzu. Ein ping auf host ins 192.168.2.0/24 funtioniert mit folgendem Parameter problemlos:
Da das Problem schon vorher bestand, habe ich bisher unter SuSE 9.0 mit Kernel 2.4 folgende Lösung gehabt:
Nachdem ip_forwarding eingeschaltet wurde, funktionierte das wunderbar.
Allerdings hat sich im Kernel Kode Version 2.6 der NAT und IPSEC Teil geändert. Es gibt kein ipsec0 Interface mehr.
wenn ich jetzt vom host aus die 192.168.2.123 anpinge, antwortet der Router (192.168.1.1) mit "Destination Net unreachable".
Kennt jemand eine Lösung für das Problem ?
Downgrade ist keine Lösung!
Vielen dank
rogx
Überblick:
192.168.200.1/24 [ host ] 192.168.1.2/24
<-----
192.168.1.1/24 [ router ] 192.168.2.254/24
Der Router initiert die VPN Verbindung zum host im Internet.
host details:
OS: OpenSuSE 10.0 Kernel 2.6.13-15-default mit OpenS/WAN das mit Yast installiert
ipsec.conf:
Code:
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
nat_traversal=yes
uniqueids=yes
conn host2router
right=%any
rightsubnet=192.168.2.0/24
left=192.168.1.2
leftid=%myid
leftsubnet=192.168.200.0/24
type=tunnel
auth=esp
authby=secret
compress=no
auto=add
pfs=no
keyingtries=0
ipsec.secrets:
Code:
0.0.0.0: PSK "Passwort"
netstat -rn :
Code:
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 dummy0
192.168.2.0 192.168.1.1 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.1.110 255.255.255.0 UG 0 0 0 eth0
router details:
Typ: LANCOM DSL/I-1611 Office
der router blockt jede Verbindung vom Internet (192.168.1.0/24) ausser:
udp 500
udp 4500
ip proto 50
ausgehende Verbindungen vom LAN (192.168.2.0/24) werden auf IP 192.168.1.1 geNATet .
Problem Beschreibung:
Die VPN Verbindung baut ohne Fehler auf und bleibt auch bestehen.
Der Pluto Daemon fügt in die Routingtabelle vom host die Route zum 192.168.2.0/24 Netz korrekt hinzu. Ein ping auf host ins 192.168.2.0/24 funtioniert mit folgendem Parameter problemlos:
Code:
ping -I 192.168.200.1 192.168.2.123
Da das Problem schon vorher bestand, habe ich bisher unter SuSE 9.0 mit Kernel 2.4 folgende Lösung gehabt:
Code:
echo 200 host_2_router >> /etc/iproute2/rt_tables
ip rule add fwmark 1 table host_2_router
ip route add 192.168.2.0/24 dev ipsec0 table host_2_router
iptables -t mangle -I PREROUTING -d 192.168.2.0/24 -j MARK --set-mark 1
iptables -t nat -I POSTROUTING -o ipsec0 -j SNAT --to-source 192.168.200.1
Nachdem ip_forwarding eingeschaltet wurde, funktionierte das wunderbar.
Allerdings hat sich im Kernel Kode Version 2.6 der NAT und IPSEC Teil geändert. Es gibt kein ipsec0 Interface mehr.
wenn ich jetzt vom host aus die 192.168.2.123 anpinge, antwortet der Router (192.168.1.1) mit "Destination Net unreachable".
Kennt jemand eine Lösung für das Problem ?
Downgrade ist keine Lösung!
Vielen dank
rogx
Code: