ipsec "irgendwie weiß", daß die VPN-Verbindung zwischen panther und cougar "über racoon" läuft
Nein, das funktioniert so nicht. IPSec ist immer ein Punkt-zu-Punkt Verbindung. Prinzipiell könnte man das schon auf racoon mit einer Route regeln. Da wir aber auf racoon iptables haben und nicht einmal einen Subnet hinter der public IP oder einen virtuellen Interface, wird es nahezu unmöglich. Ein direkter Tunnel zwischen cougar und panther wäre um Größenordnungen einfacher zu bewerkstelligen. Versuche Dich lieber mit dem Gedanken eines DDNS zu befreunden.
Meine /etc/firewall.user hatte noch die zwei Zeilen
Sie sind überflüssig. Die Regeln aus der erste Zeile werden beim abarbeiten von /etc/config/firewall bereits erzeugt (anlegen der Zone vpn mit Subnets, bzw. forward vpn -> lan). Wenn Du diese Zeile verwendest, dann entsteht lediglich eine zweite, identische Regel. Die zweite Zeile bewirkt nichts, dafür habe ich die Neue eingefügt. Somit wird esp auch kommend akzeptiert. Die zwei weiteren Zeilen mit dem NAT Einträgen sind dagegen Pflicht!
Sollte die Verbindung doch mal wieder nicht hochkommen, werde ich die "esp"-Zeile von dir aktivieren.
Das passiert spätestens wenn auf racoon der FW neu gestartet wird, glaube ich. Nimm lieber die drei Regeln für racoon und auch für cougar. Alle drei erlauben nur, keine von denen verbietet etwas. Du hast nichts zu verlieren, es kann nichts schief gehen.
Ja, das ist erledigt und ich habe inzwischen meine ganze Entwicklungsumgebung hierher verlegt :-).
Es war doch ein Spaziergang.
Nachdem ich endlich meinen Glauben an die Anleitung bei OpenWRT verloren habe, bzw. mit Hilfe der VM mit OpenWRT und eine reelle Umgebung ging es doch recht zügig voran.
Nochmals recht vielen Dank für deine unermüdliche und kompetente Hilfe!
Für Dich immer sehr gerne. Es hat Spaß gemacht und der "Lernfaktor" kam auch nicht zu kurz.
Albert