• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

VPN durch SUSE-Gateway routen

A

Anonymous

Gast
Hallo Leute,

Ich hab ein Gateway (OSS 10.2) aufgesetzt, auf dem Proxies und Mailserver laufen und einzelne Dienste geroutet werde (z.B. SSH)
Internetverbindung wird per Dial-Up über DSL-Provider hergestellt (on demand)
Im Lan hängen ein paar Clients dran (WIN, MAC, LINux).

Ein WIN-Client soll nun über VPN Verbindung zu meiner Firma aufnehmen. Als VPN-Client steht mir nur der Cisco-Client zur Verfügung.
Dort ist alles voreingestellt:
Transport:
* Enable Transparent Tunneling
* IPSec over UDP (NAT / PAT)
* Allow Local LAN Access

Beim Verbindungsversuch wird u.a. Folgendes geloggt:
Code: 
557    13:59:17.812  06/12/08  Sev=Info/4	CM/0x63100002
Begin connection process

558    13:59:17.812  06/12/08  Sev=Info/4	CM/0x63100004
Establish secure connection using Ethernet

559    13:59:17.812  06/12/08  Sev=Info/4	CM/0x63100024
Attempt connection with server "XXX.XXX.XXX.XXX"

560    13:59:18.812  06/12/08  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with XXX.XXX.XXX.XXX.

561    13:59:18.812  06/12/08  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Nat-T), VID(Frag), VID(Unity)) to XXX.XXX.XXX.XXX

562    13:59:18.812  06/12/08  Sev=Info/4	IPSEC/0x63700008
IPSec driver successfully started

563    13:59:18.812  06/12/08  Sev=Info/4	IPSEC/0x63700014
Deleted all keys

564    13:59:24.125  06/12/08  Sev=Info/4	IKE/0x63000017
Marking IKE SA for deletion  (I_Cookie=3037EE22875D6713 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

565    13:59:24.625  06/12/08  Sev=Info/4	IKE/0x6300004A
Discarding IKE SA negotiation (I_Cookie=3037EE22875D6713 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

566    13:59:24.625  06/12/08  Sev=Info/4	CM/0x63100014
Unable to establish Phase 1 SA with server "XXX.XXX.XXX.XXX" because of "DEL_REASON_PEER_NOT_RESPONDING"

So sieht meine Firewall-Config aus:
Code: 
FW_DEV_EXT="eth-id-XX:XX:XX:XX:XX:XX dsl0 any"

FW_DEV_INT="eth-id-YY:YY:YY:YY:YY:YY"

FW_DEV_DMZ=""

FW_ROUTE="yes"

FW_MASQUERADE="yes"

FW_MASQ_DEV="$FW_DEV_EXT"

FW_MASQ_NETS="0/0"

FW_PROTECT_FROM_INT="no"

FW_SERVICES_EXT_TCP=""

FW_SERVICES_EXT_UDP="ipsec-nat-t isakmp"

FW_SERVICES_EXT_IP="esp gre"

FW_SERVICES_EXT_RPC=""

FW_CONFIGURATIONS_EXT=""

FW_SERVICES_DMZ_TCP=""

FW_SERVICES_DMZ_UDP=""

FW_SERVICES_DMZ_IP=""

FW_SERVICES_DMZ_RPC=""

FW_CONFIGURATIONS_DMZ=""

FW_SERVICES_INT_TCP="ftp ndl-aas domain ipp pop3 smtp ssh socks svn cvspserver pserver"

FW_SERVICES_INT_UDP="fsp ndl-aas domain ntp socks svn cvspserver pserver ipsec-nat-t isakmp"

FW_SERVICES_INT_IP="esp gre"

FW_SERVICES_INT_RPC=""

FW_CONFIGURATIONS_INT=""

FW_SERVICES_DROP_EXT="0/0,tcp,113 0/0,tcp,135 0/0,udp,137 0/0,tcp,139 0/0,tcp,445 0/0,udp,4662 0/0,tcp,4662"

FW_SERVICES_REJECT_EXT=""

FW_SERVICES_ACCEPT_EXT=""

FW_TRUSTED_NETS="192.168.0.0/24"

FW_ALLOW_INCOMING_HIGHPORTS_TCP=""

FW_ALLOW_INCOMING_HIGHPORTS_UDP=""

FW_FORWARD=""

FW_FORWARD_MASQ=""

FW_REDIRECT="192.168.0/24,0/0,tcp,21,2121"

FW_LOG_DROP_CRIT="yes"

FW_LOG_DROP_ALL="no"

FW_LOG_ACCEPT_CRIT="yes"

FW_LOG_ACCEPT_ALL="no"

FW_LOG_LIMIT=""

FW_LOG=""

FW_KERNEL_SECURITY="yes"

FW_STOP_KEEP_ROUTING_STATE="no"

FW_ALLOW_PING_FW="no"

FW_ALLOW_PING_DMZ="no"

FW_ALLOW_PING_EXT="yes"

FW_ALLOW_FW_SOURCEQUENCH="yes"

FW_ALLOW_FW_BROADCAST_EXT=""

FW_ALLOW_FW_BROADCAST_INT=""

FW_ALLOW_FW_BROADCAST_DMZ=""

FW_IGNORE_FW_BROADCAST_EXT="yes"

FW_IGNORE_FW_BROADCAST_INT="yes"

FW_IGNORE_FW_BROADCAST_DMZ="yes"

FW_ALLOW_CLASS_ROUTING="no"

FW_CUSTOMRULES=""

FW_REJECT=""

FW_REJECT_INT="yes"

FW_HTB_TUNE_DEV=""

FW_IPv6="drop"

FW_IPv6_REJECT_OUTGOING="yes"

FW_IPSEC_TRUST="ext"

FW_ZONES=""

FW_USE_IPTABLES_BATCH="auto"

FW_LOAD_MODULES=""

FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_DMZ=""

Die SuSEfirewall Logs zeigen mir diesbezüglich nix an.
Hab' schon alle möglichen Einstellungen in der SuSEfirewall ausprobiert, aber erfolglos.
Hier im Forum uind beim Googeln hab ich nix Passendes gefunden.

Kann mir jemand sagen welche Einstellungen ich in der SuSEfirewall wie setzen muss?

Dank im Vorraus
Gruß
 
OP
A

Anonymous

Gast
spoensche schrieb:
Wenn ich micht nicht irre, müsstest du noch ipsec-nat-t in
Code: 
FW_SERVICES_EXT_TCP
eintragen.
Zum Vergrößern anklicken....

Hat leider auch nicht geholfen.
Hätte mich aber auch gewundert, den im Cisco-VPN-Client steht unter Transport: IPSec/UDP

:(
 
OP
A

Anonymous

Gast
Könnte es vielleicht sein, dass neben den Firewall-Einstellungen noch irgendwelche Kernel-Module oder gar Software-Pakete benötigt werden?

Oder müssen vielleicht irgendwelche Routen manuell gesetzt werden?

Wenn ja, was brauch ich?

Gruß
 
S

spoensche

Moderator
Teammitglied
Das IPSec Paket muss installiert sein. Wenn ich mich nicht irre, gibt es auch noch ein Paket für Cisco. Das kannst du aber herausfinden, wenn du im Paketmanager mal danach suchst.

Hast du IPSec installiert? Müsstest du eigentlich.
 
OP
A

Anonymous

Gast
Welches IPSec-Paket?

Bei einer Suche nach verfügbaren Paketen (die den Begriff 'IPSec' enthalten), bekomme ich:
ipsec-tools
openswan
vpnc

vpnc ist für cisco-clients, was mir definitiv nicht weiterhilft, denn den hab ich ja auf meiner WIN-Box im Lan.
Es geht vielmehr darum, den VPN-Verkehr zwischen der WIN-Box und dem entfernten Firmen-Netzwerk durch mein Gateway zu routen, so wie es Routerboxen wie z.B. die Fritzbox tun würden.

Was können denn die IPSec-tools?

Wenn ich das ergoogelte richtig verstanden habe, gibt es keinen Proxy der sowas leistet, noch kommt eine NAT-Lösung (Masquerading) in Betracht (wenn die Absenderadresse nicht mehr die des ursprünglichen Clients ist, stimmt u.U. Key / Authentifizierung nicht mehr. Zusätzlich blocken die Antispoofing Regeln der Firewall den Verkehr).

Als vorläufige Lösung könnte ich mir vorstellen, dass man eine statische Route setzt. Aber ich weiß nicht, wie ich das machen muss.
Längerfristig müsste das Ganze aber dynamisch passieren, dass ich nicht jedesmal, wenn ich zu einem neuen VPN verbinden will, neue Routing-Regeln erstellen muss.

Ich werd' mal mit den IPSec-tools experimentieren.
Würde mich aber trotzdem über weitere Anregungen sehr freuen.

Gruß
 
S

spoensche

Moderator
Teammitglied
Die IPSec Tools benötigst du nur, wenn du eine Verbindung herstellen willst, Du willst aber routen. Forwarde (FW_FORWARD) den VPN Verkehr mal durch die Firewall durch (Portweiterleitung). Das sollte dann eigentlich funktionieren.
 
OP
A

Anonymous

Gast
Das hatte ich auch schon probiert, mit folgenden Eintrag (entsprechend Kommentar der Original SuSEfirewall2):
Code: 
FW_FORWARD="192.168.0.0/24,0.0.0.0,,,ipsec 0.0.0.0,192.168.0.0/24,,,ipsec"

Hast Du das so gemeint, spoensche?
Oder wenn nicht, wie würdest Du's eintragen?
 
S

spoensche

Moderator
Teammitglied
Bevor wir uns jetzt hier weiter den Kopf zerbrechen. Lass das Forwarding mal weg und stell es so ein wie du es vorher hattest. Was steht den im Logfile /var/log/firewall wenn du die IPSec Verbindung aufbaust? Werden die Pakete verworfen?
 
W

whois

Ultimate Guru
Hi

Code: 
Unable to establish Phase 1 SA with server "XXX.XXX.XXX.XXX" because of "DEL_REASON_PEER_NOT_RESPONDING"
Grundsätzliche Frage, Schuss ins Blaue :wink: ,zur der letzten von spoensche,hast du irgendwas an den Subnet Masken verdreht oder ist das default?

http://www.cisco.com/en/US/docs/routers/access/800/826/software/configuration/guide/german/gadvcon.html#wp331693

cu
 
J

jengelh

Guru
Um mich nicht wiederholen zu müssen...
http://marc.info/?l=netfilter&m=121362973710443&w=2

aber wenn du aus dem internen Netz initiierst dann ist es doch wumpe, da doch standardmäßig vom internen alles erlaubt ist.
 
OP
A

Anonymous

Gast
Vielen Dank erstmal für die doch langsam rege werdende Beteiligung.

Ich werd' vorraussichtlich diese Woche wenig Zeit haben, eure Vorschläge im Detail auszuprobieren / zu befolgen.
Aber vorab erstmal soviel:

@spoensche:
Mein erster Versuch war genau was Du schreibst. Nix umgestellt und den WIN-Cisco-VPN-Client einfach mal losgelassen.
(Alles von der Firma vorkonfiguriert und so gelassen). In den Firewall-Logs tauchte der Rechner gar nicht auf, konnte sich aber per Browser problemlos in INet verbinden. Die Log-Einstellungen stehen auf Standard (vielleicht sollte ich zum Testen mal alles loggen).

@whois:
Am Firmenlaptop (wo der Cisco-client drauf ist) hab' ich nix verstellt, außer ihm in der "alternativen" Konfiguration der Netzwerkkarte 'ne Feste IP, und entsprechende Subnetzmaske, DNS-Server entsprechend meinem Lan verpasst. Danach konnte er ins INet. Dann denn Cisco-Client gestartet ohne was einzustellen und gescheitert.

@jengelh:
Das sieht für mich zumindest auf den ersten Blick auch so aus, wie die Sachen, die ich bereits ausprobiert habe. Aber ich werd's nochmal im Detail angehen.

@all:
Ich habe mittlerweile das Gefühl, dass ich einfach zu viel freigegeben hab, und nach dem ersten iptables-match (vielleicht Masquerading) finden die Pakete den Weg nicht zur eigentlich richtigen Chain (FW_FORWARD), oder sowas?

Ich melde mich wieder sobald ich Gelegenheit hatte Eure Ratschläge auszuprobieren.
Vielen Dank erstmal.

tisyb
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben