Eine Frage noch. Bei mir in der VM ist /var ein Link auf /tmp. Ist das bei Dir auch so? Wenn ja, dann bedeutet es, dass die Beschreibung von Basic bezüglich der strongSwan Implementierung hinfällig ist.
Albert
Eine Frage noch. Bei mir in der VM ist /var ein Link auf /tmp. Ist das bei Dir auch so? Wenn ja, dann bedeutet es, dass die Beschreibung von Basic bezüglich der strongSwan Implementierung hinfällig ist.
Albert
Klaus, sorry, ich habe eine Pause einlegen müssen (Zeitprobleme).
Eine Gute Idee von Dir, dass modifizieren des Skriptes. Ich habe es jetzt nur flüchtig überflogen, morgen Nachmittag hoffe ich auf mehr Zeit. Wenn Du es noch veröffentlichen könntest!?
Hast du eine Idee, woran das liegen könnte?
Ja, teilweise. Auf Fehler bei -F gehe ich nicht ein, weil es nur Regel löscht (flush). Man kann trivialer weise nichts löschen, was nicht vorhanden ist.
Betrachten wir mal den ersten Fehler, wo nicht geflusht wird:
53 iptables -N zone_vpn_gateway
54 iptables -I input -j zone_vpn_gateway
iptables: No chain/target/match by that name.
53 wird akzeptiert. Mit -N (NEW) wird zone_vpn_gateway angelegt.
In der Zeile 54 versucht er den neu angelegten zone_vpn_gateway die Kette input einzufügen.
Die Kette input gibt es nicht, kann es auch nicht geben. Es heißt INPUT! Jetzt gib mal in der Console folgendes ein:
Sieht schon besser aus.
VORSICHT mit der Option -N! Die Einträge sind persistent UND können mehrfach (sogar beliebig oft) angelegt/vorhanden werden/sein. Es gilt unbedingt zu testen, ob sie nach einem Neustart auch noch mehrfach vorhanden sind, denn das führt zum Chaos.
Albert
root@OpenWrt:~# opkg list_installed | grep libipsec
strongswan-mod-kernel-libipsec - 5.3.3-1
Genau das sieht bei mir gänzlich anders aus. Ich werde OpenWRT besser neu aufsetzen. Dann geht's weiter.
login as: root
root@192.168.220.1's password:
BusyBox v1.23.2 (2015-07-25 06:35:11 CEST) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (15.05, r46767)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:~# df
Filesystem 1K-blocks Used Available Use% Mounted on
rootfs 47636 13940 32716 30% /
/dev/root 47636 13940 32716 30% /
tmpfs 512044 68 511976 0% /tmp
tmpfs 512 0 512 0% /dev
root@OpenWrt:~# opkg list_installed | grep libipsec
root@OpenWrt:~# opkg update && opkg install strongswan-mod-kernel-libipsec
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/base/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_base.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/base/Packages.sig.
Signature check passed.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/luci/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_luci.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/luci/Packages.sig.
Signature check passed.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/packages/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_packages.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/packages/Packages.sig.
Signature check passed.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/routing/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_routing.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/routing/Packages.sig.
Signature check passed.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/telephony/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_telephony.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/telephony/Packages.sig.
Signature check passed.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/management/Packages.gz.
Updated list of available packages in /var/opkg-lists/chaos_calmer_management.
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/management/Packages.sig.
Signature check passed.
Installing strongswan-mod-kernel-libipsec (5.3.3-1) to root...
Downloading http://downloads.openwrt.org/chaos_calmer/15.05/x86/64/packages/packages/strongswan-mod-kernel-libipsec_5.3.3-1_x86_64.ipk.
Collected errors:
* wfopen: //usr/lib/opkg/info/strongswan-mod-kernel-libipsec.postinst: No space left on device.
* wfopen: //usr/lib/opkg/info/strongswan-mod-kernel-libipsec.control: Read-only file system.
* wfopen: //usr/lib/opkg/info/strongswan-mod-kernel-libipsec.prerm: Read-only file system.
* wfopen: /etc/strongswan.d/charon/kernel-libipsec.conf: Read-only file system.
* wfopen: /usr/lib/ipsec/plugins/libstrongswan-kernel-libipsec.so: Read-only file system.
* extract_archive: Cannot create symlink from ./usr/lib/ipsec/libipsec.so.0 to 'libipsec.so.0.0.0': Read-only file system.
* wfopen: /usr/lib/ipsec/libipsec.so.0.0.0: Read-only file system.
* set_flags_from_control: Failed to open //usr/lib/opkg/info/strongswan-mod-kernel-libipsec.control: No such file or directory.
* pkg_write_filelist: Failed to open //usr/lib/opkg/info/strongswan-mod-kernel-libipsec.list: Read-only file system.
* opkg_install_pkg: Failed to extract data files for strongswan-mod-kernel-libipsec. Package debris may remain!
* opkg_install_cmd: Cannot install package strongswan-mod-kernel-libipsec.
root@OpenWrt:~# df
Filesystem 1K-blocks Used Available Use% Mounted on
rootfs 47636 47616 0 100% /
/dev/root 47636 47616 0 100% /
tmpfs 512044 620 511424 0% /tmp
tmpfs 512 0 512 0% /dev
root@OpenWrt:~#
Alles anzeigen
Wenn Du Dich einmal im OpenWRT Forum angemeldet hast, dann besteht ggf. die Möglichkeit den User "birnenschnitzel" direkt anzusprechen, dass er seinen firewall.sh überarbeitet!?
Albert
Wie hast Du die kernel-libipsec installiert? Wenn ich es über die strongswan-mod-kernel-libipsec versuche, lauft das Filesystem voll, obwohl 70% von 50 MB frei sind.
Albert
Klaus, nur zum Sicherheit:
1. Dein Archer C7 CHAOS CALMER befindet sich bereits im produktivem Einsatz?
2. Du erreichst Racoon auf einem Weg, der so aussieht, als hättest Du einen Tunnel?
3. Du erreichst Racoon, weil Du in seinem Firewall Löcher mit Portforwards geschossen hast?
4. Du erreichst Racoon nicht und umgehst momentan die Sache irgendwie?
Was trifft zu?
Albert
Siehst du dabei noch Probleme/Fehler?
Wenn alles so funktioniert, wie Du es Dir vorstellst, dann passt es schon. Ich würde noch mit einem traceroute den Tunnelverkehr überprüfen. Es sollten genau zwei Hops auf dem Weg des Paketes vorhanden sein, die zwei Tunnelenden.
Albert
So, mit der /etc/ipsec/firewall.sh von hier, sowie deiner /etc/firewall.user von hier und dieser /etc/config/ipsec
Das ist soweit alles korrekt. Die dritte Zeile in der /etc/config/ipsec (option 'zone' 'vpn') ist überflüssig.
Die /etc/config/firewall gehört auch noch dazu, dort ist die Zieladresse als Forward drin.
#/etc/config/firewall
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-esp'
option src 'wan'
option dest 'lan'
option proto 'esp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-UDP-500'
option src 'wan'
option dest 'lan'
option proto 'udp'
option dest_port '500'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-forwart_to_vpn'
option enabled '1'
option src 'lan'
option dest 'vpn'
option dest_ip '88.198.76.220/32'
option family 'ipv4'
option target 'ACCEPT'
config defaults
option syn_flood '1'
option input 'REJECT'
option output 'REJECT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config zone
option name 'vpn'
option network ' '
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
config forwarding
option src 'lan'
option dest 'wan'
config include
option path '/etc/firewall.user'
option reload 1
Alles anzeigen
Was sagt mit dem neuen /etc/config/firewall ein traceroute?
Die noch vorhandene Fehler bei dem Firewall restart könnten aussagekräftiger sein.
Bitte VORHER Deine Konfiguration mit LuCI sichern!
Albert
Ich fürchte, unsere Voraussetzungen driften etwas auseinander.
Dann bringen wir sie auf dem gemeinsamen Nenner. Deswegen habe ich nach Deinem /etc/config/ipsec gefragt.
Das Script bedient sich zum Teil von /etc/config/ipsec. Seine Aufgabe ist es, die vpn Rules vor dem wan forward zu platzieren. Der Autor versucht als erstes diesen Eintrag zu tätigen:
Es ist ein add an einem nicht vorhandenen Eintrag in der FW und deshalb wird es abgewiesen. Dieser Eintrag gab es mal (vermutlich) bei früheren Versionen, aber es gibt sie nicht mehr. Deswegen legen wir es vor dem Ausführen des Scripts mit -N an.
Klaus, Du hast ohne den Script keine Chance die statische FW Einträge so zu modifizieren, dass die Pakete ordnungsgemäß abgeliefert werden. Es kommt auf die Reihenfolge an. Behalte es immer in den Augen, dass wir nicht mit virtuellen Interfaces arbeiten. Iptables schiebt die Pakete zwischen die Zonen hin und her. Ein Fehler und sie werden vernichtet oder nehmen den falschen Weg. Momentan bist Du soweit, dass Deine Pakete passieren, sie werden vermutlich verschlüsselt, aber sie gehen über den wan und nicht über den Tunnel. Das ist nicht das, was wir wollen.
Die meisten in der OpenWRT Forum haben es vermutlich gar nicht mit einem Trace überprüft, was Fakt ist. Solange das Verkehr da ist, sind sie glücklich.
Also: /etc/config/ipsec?
Albert
Klaus, es geht doch weiter, wenn Dir schon in dem OpenWRT Forum nicht geholfen wird.
Ich "studiere" den Script, verändern mag ich es vorerst nicht. Ich schließe es nicht einmal aus, dass es mit irgendeinem Kernelmodul sogar sofort funktionieren würde, wir wissen nur nicht welches es ist.
Wir haben drei Fehlermeldungen bei Treffer: zone_vpn_nat, zone_vpn_REJECT und zone_vpn. Sorgen wir also dafür, dass sie angelegt werden. Die restlichen Fehlermeldungen beziehen sich auf IPv6, die interessieren mich jetzt erstmal nicht sonderlich. Tausche die
komplett aus.
Zeige noch mal Deine /etc/config/ipsec!
PS.: Ich wollte gestern Abend schon antworten, aber das Board war offline.
Albert
Klaus, ein kleiner Zwischenbericht. In der VM habe ich nachstellen können, dass auf dem offiziellen Weg die /etc/init.d/ipsec mit einem entsprechenden /etc/config/ipsec ohne Änderung doch funktioniert. Es legt die drei Dateien für strongSwan für ein net2net Konfiguration vernünftig an. KA, warum es bei Dir nicht funktionierte.
Auf der anderen Seite hat sich leider bewahrheitet, dass die /etc/ipsec/firewall.sh nicht ohne Anpassung unter CC funktionieren kann. Unter BB mag es gegangen sein, aber ab eine bestimmte Version von Iptables brauchte es eine Generalüberholung. In Iptables sind prinzipiell alle Sachen vorhanden, wonach er sucht, aber sie heißen geringfügig anders oder aber fehlen Einträge, die sonst keinen Nutzinhalt haben.
Aber zu der Frage, wie legst Du die Zone vpn an:
1. Mit dem sehr gelungenen LuCI: Network -> Firewall -> ADD. Die Zone nennst Du vpn, Output auf accept, Input und Forward auf reject. Der Rest bleibt leer! Dort in der dritten Tab musst Du noch einen Traffic Rule von lan nach vpn mit der Zieladresse anlegen. In dem vierten Tab fütterst Du dann die /etc/firewall.user.
ODER
2. Du nimmst die zwei Dateien von hier und startest anschließend den Firewall neu:
#/etc/config/firewall
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option src 'wan'
option dest 'lan'
option proto 'esp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option src 'wan'
option dest 'lan'
option proto 'udp'
option dest_port '500'
option family 'ipv4'
option target 'ACCEPT'
config rule
option enabled '1'
option src 'lan'
option dest 'vpn'
option dest_ip '88.198.76.220/32'
option family 'ipv4'
option target 'ACCEPT'
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
config zone
option name 'vpn'
option network ' '
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
config forwarding
option src 'lan'
option dest 'wan'
config include
option path '/etc/firewall.user'
option reload 1
Alles anzeigen
#/etc/firewall.user
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
# Internal uci firewall chains are flushed and recreated on reload, so
# put custom rules into the root chains e.g. INPUT or FORWARD or into the
# special user chains, e.g. input_wan_rule or postrouting_lan_rule.
iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j zone_vpn_forward
iptables -A input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j ACCEPT
Alles anzeigen
Der firewall.user sieht gut aus, alle Entsprechungen in der gefüllten Iptables sind zumindest vorhanden. Die syn_flood und lan würde ich sogar restriktiver gestalten (kann sogar notwendig sein), aber lasse es erstmal so, nicht dass Du Dich aussperrst.
Albert
könnte jemand mit einem Q1900M mal bitte die Einstellungen angeben, finde kein HPET oder so... bei mir ist auch kein BIOS sondern eine UEFI FW drauf. Oder kann man das irgendwo umstellen, das habe ich aber auch nicht gesehen.
HPET spielt hier keine Rolle. Im BIOS oder nenne es UEFI FW die Zeit gaaanz einfach eine Stunde zurücksetzen. Wenn wir also jetzt 22:55 haben, dann im BIOS/ UEFI FW die Uhr auf 21:55 stellen.
Edit: Wenn Du aus welchem Grund immer HPET unbedingt abschalten willst, dann tust Du es über grub.
Albert
Ich werde dann wohl mal mein Glück im OpenWRT-Forum versuchen...
Ja, auch mit.
Jedenfalls nochmal danke für deine Mühe.
Klaus, vielleicht dankst Du zu früh.
Ich habe gerade CHAOS CALMER (15.05, r46767) auf einem ESXi 6 als VM aufgesetzt. Es ging leichter, als ich dachte. Ich habe vor, den offiziellen Weg zu folgen, also Zone und LuCI. Mal sehen, was dabei herauskommt.
Erwarte aber nicht gleich heute Abend den Durchbruch.
Albert
Klaus, hier noch ein Versuch.
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -i eth0 -s 88.198.76.220/32 -d 192.168.1.0/24 -m policy --dir in --pol ipsec -j ACCEPT
iptables -I FORWARD -o eth1 -s 192.168.1.0/24 -d 88.198.76.220/32 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I PREROUTING -s 88.198.76.220/32 -i eth0 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables-save ?
Bitte den Ping beidseitig versuchen.
Hilft es auch nicht, dann schließe ich mich M-Reimer (Post 144) an.
Siehst Du oder irgendwer eine Möglichkeit OpenWRT in eine VM irgendwie soweit zu bekommen, dass ich die LuCI Oberfläche nutzen könnte? Ohne LuCI kann ich die Zone/Rule Einträge in der /etc/config/firewall nicht nachvollziehen und damit ist mir der "ofizieller" Weg versperrt.
Albert
iptables -I INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -I FORWARD -i eth0 -s 88.198.76.220/32 -d 192.168.1.0/24 -m policy --dir in --pol ipsec -j ACCEPT
iptables -I FORWARD -o eth0 -s 192.168.1.0/24 -d 88.198.76.220/32 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I PREROUTING -s 88.198.76.220/32 -i eth0 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables-save ?
Albert
Zeige mal eine aktuelle iptables-save > /etc/iptables/rules.v4.
Albert
Nein, auch 'ping' geht damit nicht. Aber zumindest ist laut Log und 'ipsec statusall' der Tunnel komplett aufgebaut.
Ja, der Tunnel steht. Wir laufen aber bei der Adresse in einem REJECT rein oder das Paket nimmt die Adresse der NAT an.
Geht der Ping von dem gemieteten Server aus auf die Lokale Adresse?
Albert
Allerdings brechen dann bestehende ssh-Verbindungen zum Server ab und es ist auch nicht mehr möglich, neue aufzubauen oder den Server zu pingen.
Heißt es, dass mit Deinem neuen Konfiguration das pingen funktioniert hat?
Albert
Vielleicht hat ja noch jemand den entscheidenden Hinweis ;-).
Aber nur vielleicht. Versuch über /etc/firewall.user:
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -s 88.198.76.220/32 -j ACCEPT
iptables -I FORWARD -d 88.198.76.220/32 -j ACCEPT
Albert
Schade, dass es mit strongSwan nicht geklappt hat, lag aber bestimmt an uns. Mit OpenVPN hast Du wenigstens einen Interface und eine gute Anleitung.
Albert