A
Anonymous
Gast
Hallo Leute,
Ich hab ein Gateway (OSS 10.2) aufgesetzt, auf dem Proxies und Mailserver laufen und einzelne Dienste geroutet werde (z.B. SSH)
Internetverbindung wird per Dial-Up über DSL-Provider hergestellt (on demand)
Im Lan hängen ein paar Clients dran (WIN, MAC, LINux).
Ein WIN-Client soll nun über VPN Verbindung zu meiner Firma aufnehmen. Als VPN-Client steht mir nur der Cisco-Client zur Verfügung.
Dort ist alles voreingestellt:
Transport:
* Enable Transparent Tunneling
* IPSec over UDP (NAT / PAT)
* Allow Local LAN Access
Beim Verbindungsversuch wird u.a. Folgendes geloggt:
So sieht meine Firewall-Config aus:
Die SuSEfirewall Logs zeigen mir diesbezüglich nix an.
Hab' schon alle möglichen Einstellungen in der SuSEfirewall ausprobiert, aber erfolglos.
Hier im Forum uind beim Googeln hab ich nix Passendes gefunden.
Kann mir jemand sagen welche Einstellungen ich in der SuSEfirewall wie setzen muss?
Dank im Vorraus
Gruß
Ich hab ein Gateway (OSS 10.2) aufgesetzt, auf dem Proxies und Mailserver laufen und einzelne Dienste geroutet werde (z.B. SSH)
Internetverbindung wird per Dial-Up über DSL-Provider hergestellt (on demand)
Im Lan hängen ein paar Clients dran (WIN, MAC, LINux).
Ein WIN-Client soll nun über VPN Verbindung zu meiner Firma aufnehmen. Als VPN-Client steht mir nur der Cisco-Client zur Verfügung.
Dort ist alles voreingestellt:
Transport:
* Enable Transparent Tunneling
* IPSec over UDP (NAT / PAT)
* Allow Local LAN Access
Beim Verbindungsversuch wird u.a. Folgendes geloggt:
Code:
557 13:59:17.812 06/12/08 Sev=Info/4 CM/0x63100002
Begin connection process
558 13:59:17.812 06/12/08 Sev=Info/4 CM/0x63100004
Establish secure connection using Ethernet
559 13:59:17.812 06/12/08 Sev=Info/4 CM/0x63100024
Attempt connection with server "XXX.XXX.XXX.XXX"
560 13:59:18.812 06/12/08 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with XXX.XXX.XXX.XXX.
561 13:59:18.812 06/12/08 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Nat-T), VID(Frag), VID(Unity)) to XXX.XXX.XXX.XXX
562 13:59:18.812 06/12/08 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started
563 13:59:18.812 06/12/08 Sev=Info/4 IPSEC/0x63700014
Deleted all keys
564 13:59:24.125 06/12/08 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=3037EE22875D6713 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
565 13:59:24.625 06/12/08 Sev=Info/4 IKE/0x6300004A
Discarding IKE SA negotiation (I_Cookie=3037EE22875D6713 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING
566 13:59:24.625 06/12/08 Sev=Info/4 CM/0x63100014
Unable to establish Phase 1 SA with server "XXX.XXX.XXX.XXX" because of "DEL_REASON_PEER_NOT_RESPONDING"
So sieht meine Firewall-Config aus:
Code:
FW_DEV_EXT="eth-id-XX:XX:XX:XX:XX:XX dsl0 any"
FW_DEV_INT="eth-id-YY:YY:YY:YY:YY:YY"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP="ipsec-nat-t isakmp"
FW_SERVICES_EXT_IP="esp gre"
FW_SERVICES_EXT_RPC=""
FW_CONFIGURATIONS_EXT=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_CONFIGURATIONS_DMZ=""
FW_SERVICES_INT_TCP="ftp ndl-aas domain ipp pop3 smtp ssh socks svn cvspserver pserver"
FW_SERVICES_INT_UDP="fsp ndl-aas domain ntp socks svn cvspserver pserver ipsec-nat-t isakmp"
FW_SERVICES_INT_IP="esp gre"
FW_SERVICES_INT_RPC=""
FW_CONFIGURATIONS_INT=""
FW_SERVICES_DROP_EXT="0/0,tcp,113 0/0,tcp,135 0/0,udp,137 0/0,tcp,139 0/0,tcp,445 0/0,udp,4662 0/0,tcp,4662"
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_ACCEPT_EXT=""
FW_TRUSTED_NETS="192.168.0.0/24"
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT="192.168.0/24,0/0,tcp,21,2121"
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="yes"
FW_IGNORE_FW_BROADCAST_DMZ="yes"
FW_ALLOW_CLASS_ROUTING="no"
FW_CUSTOMRULES=""
FW_REJECT=""
FW_REJECT_INT="yes"
FW_HTB_TUNE_DEV=""
FW_IPv6="drop"
FW_IPv6_REJECT_OUTGOING="yes"
FW_IPSEC_TRUST="ext"
FW_ZONES=""
FW_USE_IPTABLES_BATCH="auto"
FW_LOAD_MODULES=""
FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_DMZ=""
Die SuSEfirewall Logs zeigen mir diesbezüglich nix an.
Hab' schon alle möglichen Einstellungen in der SuSEfirewall ausprobiert, aber erfolglos.
Hier im Forum uind beim Googeln hab ich nix Passendes gefunden.
Kann mir jemand sagen welche Einstellungen ich in der SuSEfirewall wie setzen muss?
Dank im Vorraus
Gruß