Freeswan auf SuSE 7.1

Klaus_R_rig · 8. November 2019 um 10:08

Hallo zusamman,

ich möchte auf meiner SuSE-Kiste (7.1 mit Kernel 2.4.26) ein IpSec/ Freeswan Server aufsetzten, also für Roadwarrior, zur Einwahl übers Internet.

Ich habe mir aus mehreren Howtos die nötige Konfiguration zusammen gesucht. Aber was muss ich jetzt in der SuSEfirewall eintragen, damit ich jetzt auch vom Internet connecten kann?

Ich habe jetzt folgende Enträge gesetzt, aber damit klappts nicht:
FW_DEV_WORLD=„ippp0 ipsec0“
FW_SERVICES_EXTERNAL_UDP=„500“ # Common: domain
FW_SERVICES_EXTERNAL_IP=„50“ # For VPN/Routing which END at the firewall!!

Beim Restart der Firewall sagt er mir jetzt „ipsec0 not running“ und ein #ipsec verify sagt der Port 500 wäre nicht offen.

Danke für die Hilfe.

Klaus

Klaus_R_rig · 8. November 2019 um 10:08

Nachtrag
Ich habe keinen physischen Zugriff auf die Maschine. Ich kann mich nur per SSH an der Konsole einloggen.
Sobald ich aber jetzt ipsec starte, setzt der irgendwie die routen um, und ich hab mich quasi ausgesperrt.

Hier noch eben meine ipsec.conf:

version 2
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
#plutoload=yes
#plutostart=yes
uniqueids=yes

conn %default
keyingtries=%forever
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert

conn roadwarrior
right=%any
left=193.168.7.100
leftcert=gatewaycert.pem
rightid=„C=DE,ST=NRW,L=Remscheid,O=Leibniz-Gymnasium,OU=lgrs.dyndns.org,CN=Klaus R\xF6rig,Email=[email protected]“
auto=start
pfs=yes

Malte_4b1c84 · 8. November 2019 um 10:09

Ich habe keinen physischen Zugriff auf die Maschine. Ich kann
mich nur per SSH an der Konsole einloggen.
Sobald ich aber jetzt ipsec starte, setzt der irgendwie die
routen um, und ich hab mich quasi ausgesperrt.

Nur so als Schuß ins Blaue, hast Du daran gedacht, split tunneling zu confen, wenn Du neben IPsec auch noch andere Dienste benutzen willst?

Gruß,

Malte.

Klaus_R_rig · 8. November 2019 um 10:09

Ähm, nö, was ist das?

Sebastian · 8. November 2019 um 10:11

Hallo,

ich möchte auf meiner SuSE-Kiste (7.1 mit Kernel 2.4.26)

Das riecht nach einem selbst kompilierten Kernel.

ein
IpSec/ Freeswan Server aufsetzten, also für Roadwarrior, zur
Einwahl übers Internet.

Hast Du den neuen Kernel gepatcht?

Ich habe mir aus mehreren Howtos die nötige Konfiguration
zusammen gesucht. Aber was muss ich jetzt in der SuSEfirewall
eintragen, damit ich jetzt auch vom Internet connecten kann?

Warum schaltest Du dieses verhältnismäßig unsichere DIng nicht ersteinmal ab?

Total offtopic, aber ich muß mal

Malte_4b1c84 · 8. November 2019 um 10:11

Ähm, nö, was ist das?

„Split Tunneling“ beschreibt einen Mechanismus von IPsec-Implementationen, der es erlaubt, daß der betroffene Rechner nicht nur über den Tunnel kommunizieren darf, sondern gleichzeitig auch über die sonstigen vorhandenen Netzwerkinterfaces.

Das ist naheliegenderweise immer dann sinnvoll, wenn man nicht nur VPN fahren will, sondern bspw. auch noch eine SSH-Verbindung ohne Tunnelung aufrechterhalten möchte

Näheres dazu gibt’s bei Google und in der Dokumentation zu FreeS/WAN.
Ich selbst kenn mich mit Linux nicht so aus, deshalb kann ich da keine weiteren Details liefern.

Gruß,

Malte.