Eine Frage noch. Bei mir in der VM ist /var ein Link auf /tmp. Ist das bei Dir auch so? Wenn ja, dann bedeutet es, dass die Beschreibung von Basic bezüglich der strongSwan Implementierung hinfällig ist.
Albert
Beiträge von ATD
-
-
Klaus, sorry, ich habe eine Pause einlegen müssen (Zeitprobleme).
Eine Gute Idee von Dir, dass modifizieren des Skriptes. Ich habe es jetzt nur flüchtig überflogen, morgen Nachmittag hoffe ich auf mehr Zeit. Wenn Du es noch veröffentlichen könntest!?
Hast du eine Idee, woran das liegen könnte?
Ja, teilweise. Auf Fehler bei -F gehe ich nicht ein, weil es nur Regel löscht (flush). Man kann trivialer weise nichts löschen, was nicht vorhanden ist.Betrachten wir mal den ersten Fehler, wo nicht geflusht wird:
Code53 iptables -N zone_vpn_gateway 54 iptables -I input -j zone_vpn_gateway iptables: No chain/target/match by that name.
53 wird akzeptiert. Mit -N (NEW) wird zone_vpn_gateway angelegt.
In der Zeile 54 versucht er den neu angelegten zone_vpn_gateway die Kette input einzufügen.
Die Kette input gibt es nicht, kann es auch nicht geben. Es heißt INPUT! Jetzt gib mal in der Console folgendes ein:Codeiptables -I INPUT -j zone_vpn_gateway
Sieht schon besser aus.
VORSICHT mit der Option -N! Die Einträge sind persistent UND können mehrfach (sogar beliebig oft) angelegt/vorhanden werden/sein. Es gilt unbedingt zu testen, ob sie nach einem Neustart auch noch mehrfach vorhanden sind, denn das führt zum Chaos.
Albert
-
root@OpenWrt:~# opkg list_installed | grep libipsec
strongswan-mod-kernel-libipsec - 5.3.3-1
Genau das sieht bei mir gänzlich anders aus. Ich werde OpenWRT besser neu aufsetzen. Dann geht's weiter.
Wenn Du Dich einmal im OpenWRT Forum angemeldet hast, dann besteht ggf. die Möglichkeit den User "birnenschnitzel" direkt anzusprechen, dass er seinen firewall.sh überarbeitet!?Albert
-
Wie hast Du die kernel-libipsec installiert? Wenn ich es über die strongswan-mod-kernel-libipsec versuche, lauft das Filesystem voll, obwohl 70% von 50 MB frei sind.
Albert
-
Klaus, nur zum Sicherheit:
1. Dein Archer C7 CHAOS CALMER befindet sich bereits im produktivem Einsatz?
2. Du erreichst Racoon auf einem Weg, der so aussieht, als hättest Du einen Tunnel?
3. Du erreichst Racoon, weil Du in seinem Firewall Löcher mit Portforwards geschossen hast?
4. Du erreichst Racoon nicht und umgehst momentan die Sache irgendwie?Was trifft zu?
Albert
-
Siehst du dabei noch Probleme/Fehler?
Wenn alles so funktioniert, wie Du es Dir vorstellst, dann passt es schon. Ich würde noch mit einem traceroute den Tunnelverkehr überprüfen. Es sollten genau zwei Hops auf dem Weg des Paketes vorhanden sein, die zwei Tunnelenden.Albert
-
So, mit der /etc/ipsec/firewall.sh von hier, sowie deiner /etc/firewall.user von hier und dieser /etc/config/ipsec
Das ist soweit alles korrekt. Die dritte Zeile in der /etc/config/ipsec (option 'zone' 'vpn') ist überflüssig.Die /etc/config/firewall gehört auch noch dazu, dort ist die Zieladresse als Forward drin.
Was sagt mit dem neuen /etc/config/firewall ein traceroute?Die noch vorhandene Fehler bei dem Firewall restart könnten aussagekräftiger sein.
Bitte VORHER Deine Konfiguration mit LuCI sichern!
Albert
-
Ich fürchte, unsere Voraussetzungen driften etwas auseinander.
Dann bringen wir sie auf dem gemeinsamen Nenner. Deswegen habe ich nach Deinem /etc/config/ipsec gefragt.Das Script bedient sich zum Teil von /etc/config/ipsec. Seine Aufgabe ist es, die vpn Rules vor dem wan forward zu platzieren. Der Autor versucht als erstes diesen Eintrag zu tätigen:
Codeiptables -t nat -A zone_${zone}_nat -d $remote_subnet -j ACCEPT
Es ist ein add an einem nicht vorhandenen Eintrag in der FW und deshalb wird es abgewiesen. Dieser Eintrag gab es mal (vermutlich) bei früheren Versionen, aber es gibt sie nicht mehr. Deswegen legen wir es vor dem Ausführen des Scripts mit -N an.Klaus, Du hast ohne den Script keine Chance die statische FW Einträge so zu modifizieren, dass die Pakete ordnungsgemäß abgeliefert werden. Es kommt auf die Reihenfolge an. Behalte es immer in den Augen, dass wir nicht mit virtuellen Interfaces arbeiten. Iptables schiebt die Pakete zwischen die Zonen hin und her. Ein Fehler und sie werden vernichtet oder nehmen den falschen Weg. Momentan bist Du soweit, dass Deine Pakete passieren, sie werden vermutlich verschlüsselt, aber sie gehen über den wan und nicht über den Tunnel. Das ist nicht das, was wir wollen.
Die meisten in der OpenWRT Forum haben es vermutlich gar nicht mit einem Trace überprüft, was Fakt ist. Solange das Verkehr da ist, sind sie glücklich.
Also: /etc/config/ipsec?
Albert
-
Warum maskierst Du den Tunnel?
Codeiptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Weg damit.Albert
-
Klaus, es geht doch weiter, wenn Dir schon in dem OpenWRT Forum nicht geholfen wird.
Ich "studiere" den Script, verändern mag ich es vorerst nicht. Ich schließe es nicht einmal aus, dass es mit irgendeinem Kernelmodul sogar sofort funktionieren würde, wir wissen nur nicht welches es ist.
Wir haben drei Fehlermeldungen bei Treffer: zone_vpn_nat, zone_vpn_REJECT und zone_vpn. Sorgen wir also dafür, dass sie angelegt werden. Die restlichen Fehlermeldungen beziehen sich auf IPv6, die interessieren mich jetzt erstmal nicht sonderlich. Tausche die
komplett aus.Zeige noch mal Deine /etc/config/ipsec!
PS.: Ich wollte gestern Abend schon antworten, aber das Board war offline.
Albert
-
Klaus, ein kleiner Zwischenbericht. In der VM habe ich nachstellen können, dass auf dem offiziellen Weg die /etc/init.d/ipsec mit einem entsprechenden /etc/config/ipsec ohne Änderung doch funktioniert. Es legt die drei Dateien für strongSwan für ein net2net Konfiguration vernünftig an. KA, warum es bei Dir nicht funktionierte.
Auf der anderen Seite hat sich leider bewahrheitet, dass die /etc/ipsec/firewall.sh nicht ohne Anpassung unter CC funktionieren kann. Unter BB mag es gegangen sein, aber ab eine bestimmte Version von Iptables brauchte es eine Generalüberholung. In Iptables sind prinzipiell alle Sachen vorhanden, wonach er sucht, aber sie heißen geringfügig anders oder aber fehlen Einträge, die sonst keinen Nutzinhalt haben.
Aber zu der Frage, wie legst Du die Zone vpn an:
1. Mit dem sehr gelungenen LuCI: Network -> Firewall -> ADD. Die Zone nennst Du vpn, Output auf accept, Input und Forward auf reject. Der Rest bleibt leer! Dort in der dritten Tab musst Du noch einen Traffic Rule von lan nach vpn mit der Zieladresse anlegen. In dem vierten Tab fütterst Du dann die /etc/firewall.user.
ODER
2. Du nimmst die zwei Dateien von hier und startest anschließend den Firewall neu:
Der firewall.user sieht gut aus, alle Entsprechungen in der gefüllten Iptables sind zumindest vorhanden. Die syn_flood und lan würde ich sogar restriktiver gestalten (kann sogar notwendig sein), aber lasse es erstmal so, nicht dass Du Dich aussperrst.Albert
-
könnte jemand mit einem Q1900M mal bitte die Einstellungen angeben, finde kein HPET oder so... bei mir ist auch kein BIOS sondern eine UEFI FW drauf. Oder kann man das irgendwo umstellen, das habe ich aber auch nicht gesehen.
HPET spielt hier keine Rolle. Im BIOS oder nenne es UEFI FW die Zeit gaaanz einfach eine Stunde zurücksetzen. Wenn wir also jetzt 22:55 haben, dann im BIOS/ UEFI FW die Uhr auf 21:55 stellen.Edit: Wenn Du aus welchem Grund immer HPET unbedingt abschalten willst, dann tust Du es über grub.
Albert
-
Ich werde dann wohl mal mein Glück im OpenWRT-Forum versuchen...
Ja, auch mit.Jedenfalls nochmal danke für deine Mühe.
Klaus, vielleicht dankst Du zu früh.Ich habe gerade CHAOS CALMER (15.05, r46767) auf einem ESXi 6 als VM aufgesetzt. Es ging leichter, als ich dachte. Ich habe vor, den offiziellen Weg zu folgen, also Zone und LuCI. Mal sehen, was dabei herauskommt.
Erwarte aber nicht gleich heute Abend den Durchbruch.
Albert
-
Klaus, hier noch ein Versuch.
iptables-save ?Bitte den Ping beidseitig versuchen.
Hilft es auch nicht, dann schließe ich mich M-Reimer (Post 144) an.
Siehst Du oder irgendwer eine Möglichkeit OpenWRT in eine VM irgendwie soweit zu bekommen, dass ich die LuCI Oberfläche nutzen könnte? Ohne LuCI kann ich die Zone/Rule Einträge in der /etc/config/firewall nicht nachvollziehen und damit ist mir der "ofizieller" Weg versperrt.
Albert
-
-
Zeige mal eine aktuelle iptables-save > /etc/iptables/rules.v4.
Albert
-
Nein, auch 'ping' geht damit nicht. Aber zumindest ist laut Log und 'ipsec statusall' der Tunnel komplett aufgebaut.
Ja, der Tunnel steht. Wir laufen aber bei der Adresse in einem REJECT rein oder das Paket nimmt die Adresse der NAT an.Geht der Ping von dem gemieteten Server aus auf die Lokale Adresse?
Albert
-
Allerdings brechen dann bestehende ssh-Verbindungen zum Server ab und es ist auch nicht mehr möglich, neue aufzubauen oder den Server zu pingen.
Heißt es, dass mit Deinem neuen Konfiguration das pingen funktioniert hat?Albert
-
Vielleicht hat ja noch jemand den entscheidenden Hinweis ;-).
Aber nur vielleicht. Versuch über /etc/firewall.user:
Albert -
Schade, dass es mit strongSwan nicht geklappt hat, lag aber bestimmt an uns. Mit OpenVPN hast Du wenigstens einen Interface und eine gute Anleitung.
Albert
