Hm. Es fehlt ein wenig Hintergrund, um mit den paar Schnipseln was anfangen zu können. Vor allem weiß ich immer noch nicht, wo da IPSec mit im Spiel ist.
Gut. Ich habe eine funktionierende Firewall die im internen Netz alles erlaubt was entweder NEW,RELATED oder ESTABLISHED als Status hat. Aktiviere ich zusätzlich IPsec, dann haben alle TCP-Pakete die den Rechner verlassen wollen den Status INVALID (das konnte ich gestern noch herausfinden). Aktiviere ich NUR IPsec, funktioniert es natürlich auch.
Es hatten schon einige ähnliche Probleme: http://www.linuxforen.de/forums/showthread.php?t=157141
Jedoch haben alle das Problem mit aktivem Masquerading. Das habe ich aber nicht aktiv. Ich habe (noch) einen ganz normalen Rechner nur mit eth0 und lo ohne Forwarding o.ä. Ein/Ausgehende Verbindungen von/nach 192.168.1.0/24 laufen ausschliesslich über IPsec.
Selbst mit dieser einfachen firewall bekomme ich keine Verbindung hin:
iptables -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INVALID State INPUT "
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "INVALID State OUTPUT "
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "INVALID State FORWARD "
iptables -A FORWARD -m state --state INVALID -j DROP
Im log steht dann:
Oct 30 14:40:18 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17523 DF PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN URGP=0
Oct 30 14:41:11 gigabyte kernel: INVALID State OUTPUT IN= OUT=eth0 SRC=192.168.1.2 DST=192.168.1.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=17525 DF PROTO=TCP SPT=34246 DPT=22 WINDOW=2372 RES=0x00 ACK PSH FIN URGP=0
Ich bin am Rechner 192.168.1.2 eingeloggt und versuche eine ssh Verbindung zu 192.168.1.1 aufzubauen. Hoffe das sind jetzt ausreichend Informationen... ;)
-- Mit freundlichen Gruessen Bjoern Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)