Ich werde dann wohl mal mein Glück im OpenWRT-Forum versuchen...
Ja, auch mit.
Jedenfalls nochmal danke für deine Mühe.
Klaus, vielleicht dankst Du zu früh.
Ich habe gerade CHAOS CALMER (15.05, r46767) auf einem ESXi 6 als VM aufgesetzt. Es ging leichter, als ich dachte. Ich habe vor, den offiziellen Weg zu folgen, also Zone und LuCI. Mal sehen, was dabei herauskommt.
Erwarte aber nicht gleich heute Abend den Durchbruch. 
Albert
Klaus, ein kleiner Zwischenbericht. In der VM habe ich nachstellen können, dass auf dem offiziellen Weg die /etc/init.d/ipsec mit einem entsprechenden /etc/config/ipsec ohne Änderung doch funktioniert. Es legt die drei Dateien für strongSwan für ein net2net Konfiguration vernünftig an. KA, warum es bei Dir nicht funktionierte.
Auf der anderen Seite hat sich leider bewahrheitet, dass die /etc/ipsec/firewall.sh nicht ohne Anpassung unter CC funktionieren kann. Unter BB mag es gegangen sein, aber ab eine bestimmte Version von Iptables brauchte es eine Generalüberholung. In Iptables sind prinzipiell alle Sachen vorhanden, wonach er sucht, aber sie heißen geringfügig anders oder aber fehlen Einträge, die sonst keinen Nutzinhalt haben.
Aber zu der Frage, wie legst Du die Zone vpn an:
1. Mit dem sehr gelungenen LuCI: Network -> Firewall -> ADD. Die Zone nennst Du vpn, Output auf accept, Input und Forward auf reject. Der Rest bleibt leer! Dort in der dritten Tab musst Du noch einen Traffic Rule von lan nach vpn mit der Zieladresse anlegen. In dem vierten Tab fütterst Du dann die /etc/firewall.user.
ODER
2. Du nimmst die zwei Dateien von hier und startest anschließend den Firewall neu:
Der firewall.user sieht gut aus, alle Entsprechungen in der gefüllten Iptables sind zumindest vorhanden. Die syn_flood und lan würde ich sogar restriktiver gestalten (kann sogar notwendig sein), aber lasse es erstmal so, nicht dass Du Dich aussperrst.
Albert
Klaus, es geht doch weiter, wenn Dir schon in dem OpenWRT Forum nicht geholfen wird.
Ich "studiere" den Script, verändern mag ich es vorerst nicht. Ich schließe es nicht einmal aus, dass es mit irgendeinem Kernelmodul sogar sofort funktionieren würde, wir wissen nur nicht welches es ist.
Wir haben drei Fehlermeldungen bei Treffer: zone_vpn_nat, zone_vpn_REJECT und zone_vpn. Sorgen wir also dafür, dass sie angelegt werden. Die restlichen Fehlermeldungen beziehen sich auf IPv6, die interessieren mich jetzt erstmal nicht sonderlich. Tausche die
komplett aus.
Zeige noch mal Deine /etc/config/ipsec!
PS.: Ich wollte gestern Abend schon antworten, aber das Board war offline. 
Albert
Ich fürchte, unsere Voraussetzungen driften etwas auseinander.
Dann bringen wir sie auf dem gemeinsamen Nenner. Deswegen habe ich nach Deinem /etc/config/ipsec gefragt.
Das Script bedient sich zum Teil von /etc/config/ipsec. Seine Aufgabe ist es, die vpn Rules vor dem wan forward zu platzieren. Der Autor versucht als erstes diesen Eintrag zu tätigen:
iptables -t nat -A zone_${zone}_nat -d $remote_subnet -j ACCEPT
Es ist ein add an einem nicht vorhandenen Eintrag in der FW und deshalb wird es abgewiesen. Dieser Eintrag gab es mal (vermutlich) bei früheren Versionen, aber es gibt sie nicht mehr. Deswegen legen wir es vor dem Ausführen des Scripts mit -N an.
Klaus, Du hast ohne den Script keine Chance die statische FW Einträge so zu modifizieren, dass die Pakete ordnungsgemäß abgeliefert werden. Es kommt auf die Reihenfolge an. Behalte es immer in den Augen, dass wir nicht mit virtuellen Interfaces arbeiten. Iptables schiebt die Pakete zwischen die Zonen hin und her. Ein Fehler und sie werden vernichtet oder nehmen den falschen Weg. Momentan bist Du soweit, dass Deine Pakete passieren, sie werden vermutlich verschlüsselt, aber sie gehen über den wan und nicht über den Tunnel. Das ist nicht das, was wir wollen.
Die meisten in der OpenWRT Forum haben es vermutlich gar nicht mit einem Trace überprüft, was Fakt ist. Solange das Verkehr da ist, sind sie glücklich.
Also: /etc/config/ipsec?
Albert
So, mit der /etc/ipsec/firewall.sh von hier, sowie deiner /etc/firewall.user von hier und dieser /etc/config/ipsec
Das ist soweit alles korrekt. Die dritte Zeile in der /etc/config/ipsec (option 'zone' 'vpn') ist überflüssig.
Die /etc/config/firewall gehört auch noch dazu, dort ist die Zieladresse als Forward drin.
Was sagt mit dem neuen /etc/config/firewall ein traceroute?
Die noch vorhandene Fehler bei dem Firewall restart könnten aussagekräftiger sein.
Bitte VORHER Deine Konfiguration mit LuCI sichern!
Albert
Klaus, nur zum Sicherheit:
1. Dein Archer C7 CHAOS CALMER befindet sich bereits im produktivem Einsatz?
2. Du erreichst Racoon auf einem Weg, der so aussieht, als hättest Du einen Tunnel?
3. Du erreichst Racoon, weil Du in seinem Firewall Löcher mit Portforwards geschossen hast?
4. Du erreichst Racoon nicht und umgehst momentan die Sache irgendwie?
Was trifft zu?
Albert
Wie hast Du die kernel-libipsec installiert? Wenn ich es über die strongswan-mod-kernel-libipsec versuche, lauft das Filesystem voll, obwohl 70% von 50 MB frei sind.
Albert
root@OpenWrt:~# opkg list_installed | grep libipsec
strongswan-mod-kernel-libipsec - 5.3.3-1
Genau das sieht bei mir gänzlich anders aus. Ich werde OpenWRT besser neu aufsetzen. Dann geht's weiter.
Wenn Du Dich einmal im OpenWRT Forum angemeldet hast, dann besteht ggf. die Möglichkeit den User "birnenschnitzel" direkt anzusprechen, dass er seinen firewall.sh überarbeitet!?
Albert
Klaus, sorry, ich habe eine Pause einlegen müssen (Zeitprobleme).
Eine Gute Idee von Dir, dass modifizieren des Skriptes. Ich habe es jetzt nur flüchtig überflogen, morgen Nachmittag hoffe ich auf mehr Zeit. Wenn Du es noch veröffentlichen könntest!?
Hast du eine Idee, woran das liegen könnte?
Ja, teilweise. Auf Fehler bei -F gehe ich nicht ein, weil es nur Regel löscht (flush). Man kann trivialer weise nichts löschen, was nicht vorhanden ist.
Betrachten wir mal den ersten Fehler, wo nicht geflusht wird:
53 iptables -N zone_vpn_gateway
54 iptables -I input -j zone_vpn_gateway
iptables: No chain/target/match by that name.
53 wird akzeptiert. Mit -N (NEW) wird zone_vpn_gateway angelegt.
In der Zeile 54 versucht er den neu angelegten zone_vpn_gateway die Kette input einzufügen.
Die Kette input gibt es nicht, kann es auch nicht geben. Es heißt INPUT! Jetzt gib mal in der Console folgendes ein:
iptables -I INPUT -j zone_vpn_gateway
Sieht schon besser aus.
VORSICHT mit der Option -N! Die Einträge sind persistent UND können mehrfach (sogar beliebig oft) angelegt/vorhanden werden/sein. Es gilt unbedingt zu testen, ob sie nach einem Neustart auch noch mehrfach vorhanden sind, denn das führt zum Chaos.
Albert
Eine Frage noch. Bei mir in der VM ist /var ein Link auf /tmp. Ist das bei Dir auch so? Wenn ja, dann bedeutet es, dass die Beschreibung von Basic bezüglich der strongSwan Implementierung hinfällig ist.
Albert
Klaus, ich habe die Ausgabe doch noch genauer inspiziert. So schlecht sieht es nicht aus.
Die "config_get zone "cfg026e19" zone vpn" ist der fehlenden /etc/config/ipsec geschuldet, denke ich. Nimm sie aus der Post 100.
Für die:
iptables -F zone_vpn_ACCEPT
ip6tables -F zone_vpn_ACCEPT
trage erstmal einmalig auf der Console folgendes ein:
iptables -N zone_vpn_ACCEPT
ip6tables -N zone_vpn_ACCEPT
Bei -N gilt, was ich in der Post 177 unter VORSICHT geschrieben habe!
Danach ersetzt Du in der Script die:
-I input -> -I INPUT
-I forward -> -I FORWARD
Firewall restart!?
Albert
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!