Das Log sieht auch interessant aus:
Das klappt noch nicht:
"cougar": cannot initiate connection without knowing peer IP address (kind=CK_TEMPLATE)
Vielleicht nur right=cougar.tvdr.de, also ohne % in der ipsec.conf.
Ggf. /etc/init.d/ipsec reload vor restart.
Albert
"aggressive" kennt OpenVpn nicht, und bei den anderen kommt im Log
Geht das?
aggrmode=yes
pfs=yes
ike=aes128-sha1;modp1024
esp=aes128-sha1;modp1024
Albert
Der Tunner zwischen panther und racoon funktioniert damit nach wie vor einwandfrei, aber es kommt offensichtlich kein Tunnel zwischen cougar und panther zustande ("prospective erouted" statt "erouted").
Versuch's mal in der ipsec.conf unter cougar (oder %default) flogendes:
aggressive=yes
ike=aes128-sha1-modp2048
esp=aes128-sha1-modp2048Ich frage mich auch, woher panther wissen soll, daß er den Tunnel zu cougar "über racoon" leiten muß.
Bei iptables wäre es ein Eintrag in der /etc/config/firewall -> option subnet '88.xxx.xx.220/32 192.168.1.0/24' bei der Zone vpn. Du hast aber ein virtuelles Interface, nicht wahr? Das ginge dann über die Routing Tabelle.
Albert
Klaus, ein FW restart blockt bei mir den Datenfluss wieder. Das heißt, der FW ist das Problem und ich bin in der Bringschuld. 
Albert
I can ping by hostname of remote site.
I can't ping by hostname of remote site PC and server.
I assume that your second statement is correct.
You have two options for a name resolution from the remote site.
1. If you have a few PCs without domain, than put each name and its IP address from the remote site into the OpenWRT local hosts file.
2. Exists both on local and remote site a real dns server with domains, than fill out the dnsmasq forward settings in LuCI.
Albert
Somit ist also deine einfache Installationsanleitung verifiziert.
Nun wäre es nur noch schön, wenn ich ohne den "initialen Ping" auskommen könnte...
Tja Klaus, schon klar.
Auch ich habe noch einmal meine Anleitung verifiziert. Festplatte aus der VM gelöscht und den Original Image neu eingebunden. Alles laut Anleitung aus der Post 194. Zusätzlich habe ich noch die luci-app-ddns installiert und arbeite jetzt mit echten DynDNS Einträgen an allen Seiten um weiter Fehler auszuschließen. Einen zweiten Standort habe ich noch hinzugefügt (zwei IPSec Tunnels). Alles funktioniert soweit. ABER:
Ich muss einen traceroute oder ping absetzen, bevor die Gegenseite auch pingen kann. Es genügt von einem PC in meinem Subnet den ping abzusetzen, es muss nicht unbedingt am Router erfolgen. Noch unerklärlicher ist es, dass nur die angesprochene Seite funktioniert. Das bedeutet, dass ich für jeden Tunnel einzeln agieren muss, erst danach ist alles OK.
Ich habe Vermutungen aufgestellt, woran es liegen könnte, aber ich kann momentan nur sagen, woran es nicht liegen kann.
- Die Gegenseite ist es nicht. Beide unterschiedliche Router arbeiten mit virtuellen Interfaces, kein FW. Beide bedienen über 20 IPSec Tunnels ohne Probleme.
- Der locale NAT ist es auch nicht, denn wenn da was fehlt, dann wäre es mit dem ersten ping in irgendeiner Richtung alles erledigt.
- Der Firewall/Forwarding kann es auch nicht sein, sie sind statisch und funktional.
- IPSec baut den Tunnel auf, also auch nicht schuldig.
Wie auch immer, mein Image ist BETA 2. Ich werde einfach abwarten, wie Deine Ergebnisse aussehen, denn momentan habe ich keinen Ansatz für das "Problem" nur Workaround. Also melde Dich, nachdem Du auch panther angebunden hast.
Albert
Dabei fällt auf, daß in der alten Version in /etc/strongswan.d/charon deutlich mehr Dateien vorhanden sind als in der Neuen.
Sie sind aber nur für den Tunnel und er steht doch.
login as: root
root@192.168.220.1's password:
BusyBox v1.23.2 (2015-07-25 06:35:11 CEST) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (15.05, r46767)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:~# cd /etc/strongswan.d/charon
root@OpenWrt:/etc/strongswan.d/charon# ls -l
-rw-r--r-- 1 root root 130 Sep 8 16:26 aes.conf
-rw-r--r-- 1 root root 362 Sep 8 16:26 attr.conf
-rw-r--r-- 1 root root 138 Sep 8 16:26 constraints.conf
-rw-r--r-- 1 root root 130 Sep 8 16:26 des.conf
-rw-r--r-- 1 root root 133 Sep 8 16:26 dnskey.conf
-rw-r--r-- 1 root root 135 Sep 8 16:26 fips-prf.conf
-rw-r--r-- 1 root root 130 Sep 8 16:26 gmp.conf
-rw-r--r-- 1 root root 131 Sep 8 16:26 hmac.conf
-rw-r--r-- 1 root root 1510 Sep 8 16:26 kernel-netlink.conf
-rw-r--r-- 1 root root 130 Sep 8 16:26 md5.conf
-rw-r--r-- 1 root root 132 Sep 8 16:26 nonce.conf
-rw-r--r-- 1 root root 130 Sep 8 16:26 pem.conf
-rw-r--r-- 1 root root 130 Sep 8 16:26 pgp.conf
-rw-r--r-- 1 root root 132 Sep 8 16:26 pkcs1.conf
-rw-r--r-- 1 root root 133 Sep 8 16:26 pubkey.conf
-rw-r--r-- 1 root root 425 Sep 8 16:26 random.conf
-rw-r--r-- 1 root root 130 Sep 8 16:26 rc2.conf
-rw-r--r-- 1 root root 340 Sep 8 16:26 resolve.conf
-rw-r--r-- 1 root root 137 Sep 8 16:26 revocation.conf
-rw-r--r-- 1 root root 131 Sep 8 16:26 sha1.conf
-rw-r--r-- 1 root root 131 Sep 8 16:26 sha2.conf
-rw-r--r-- 1 root root 402 Sep 8 16:26 socket-default.conf
-rw-r--r-- 1 root root 133 Sep 8 16:26 sshkey.conf
-rw-r--r-- 1 root root 986 Sep 8 16:26 stroke.conf
-rw-r--r-- 1 root root 297 Sep 8 16:26 updown.conf
-rw-r--r-- 1 root root 131 Sep 8 16:26 x509.conf
-rw-r--r-- 1 root root 140 Sep 8 16:26 xauth-generic.conf
-rw-r--r-- 1 root root 131 Sep 8 16:26 xcbc.conf
root@OpenWrt:/etc/strongswan.d/charon#
Albert
Hast du ganz sicher keine der Dateien in /etc/strongswan.d/charon verändert?
Definitiv nein.
login as: root
root@192.168.220.1's password:
BusyBox v1.23.2 (2015-07-25 06:35:11 CEST) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (15.05, r46767)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:~# cat /etc/strongswan.conf
# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
root@OpenWrt:~# cat /etc/ipsec.conf
#/etc/ipsec.conf
# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
# Add connections here.
conn racoon
left=%defaultroute
leftsubnet=192.168.220.0/24
leftid=@cougar
leftfirewall=no
right=%xxx.dyndns.org
rightid=@racoon
rightsubnet=192.168.8.0/24
keyexchange=ikev1
aggressive=yes
authby=secret
ike=aes128-sha1-modp1024
esp=aes128-sha1-modp1024
auto=start
root@OpenWrt:~#
Albert
Fehler gefunden. Ich bin immer so vorgegangen, dass ich an dem OpenWRT traceroute/ping probiert habe, dann die Gegenseite und zuletzt der Linux im eigenen Subnet.
Es funktioniert, ABER nur dann, wenn zuerst von cougar Richtung racoon ein traceroute oder ping abgegeben wurde. Sonst geht nichts über den Tunnel!
Das wäre erstmal ein Workaround mit Deiner "neuen" Konfiguration.
Wie es dann weitergeht, das werde ich heute nicht sagen können.
Albert
Das Beste wird wohl sein, wenn ich morgen mal auf die alte Konfiguration zurückgehe um zu sehen, ob die wenigstens noch läuft.
Bevor Du das machst, prüfe bitte direkt an cougar (SSH) ob Du racoon mit Ping oder traceroute erreichst. Wenn ja, dann anschließend alles prüfen.
Albert
Nur wenn ich ipsec stoppe und die Zeile "option subnet '88.198.76.220/32 192.168.100.0/24'" in /etc/config/firewall auskommentiere, kann ich racoon erreichen - dann allerdings freilich nicht über das VPN.
1. Internet geht immer?
2. Wenn Du nach racoon willst, dann immer über seine IP.
3. Laut Zitat kommst Du an racoon über das Internet ran, wenn ipsec und die IP aus dem FW raus ist. Die Pakete gehen nicht über den Tunnel.
4. Ist ipsec an und FW mit der IP versehen, dann kommst Du gar nicht mehr an racoon, weil die Pakete an racoon ausschließlich über den Tunnel geroutet werden!
Das sagt uns relativ klar, was passiert. Beim Punkt 4 haben die Pakete nur eine Chance und das ist der Tunnel. Wenn die Gegenseite nicht antwortet, dann gibt es auch keine Rückmeldung. Mein Bauchgefühl sagt mir, dass es doch racoon ist. Es erscheint mir einfach logisch. Restbestände in FW Cache von der vorhergehenden Installation. Also Neustart.
Albert
OK. Die kernel-libipsec.conf nicht vorhanden, kernel-netlink.conf und kernel-netlink.conf unverändert?
Was, wenn es doch auf der Gegenseite klemmt? Ausschließen können wir es nicht. Entweder wir senden keine Pakete ODER die Gegenseite beantwortet sie nicht.
Inwiefern ist ein reboot auf racoon problematisch?
Albert
Moment. Ganz am Anfang hast Du diffutils. Verwendest Du die drei diffs von dir? Ich habe sie nicht gebraucht.
Vielleicht sollten wir diese drei Dateien unter die Lupe nehmen!?
Albert
root@OpenWrt:~# opkg list_installed
base-files - 157-r46767
busybox - 1.23.2-1
dnsmasq - 2.73-1
dropbear - 2015.67-1
firewall - 2015-07-27
fstools - 2015-05-24-09027fc86babc3986027a0e677aca1b6999a9e14
ip - 4.0.0-1
ip6tables - 1.4.21-1
ipset - 6.24-1
iptables - 1.4.21-1
iptables-mod-ipsec - 1.4.21-1
jshn - 2015-06-14-d1c66ef1131d14f0ed197b368d03f71b964e45f8
jsonfilter - 2014-06-19-cdc760c58077f44fc40adbbe41e1556a67c1b9a9
kernel - 3.18.20-1-30da46d39f906146155850351fa0acd9
kmod-crypto-aead - 3.18.20-1
kmod-crypto-authenc - 3.18.20-1
kmod-crypto-cbc - 3.18.20-1
kmod-crypto-core - 3.18.20-1
kmod-crypto-deflate - 3.18.20-1
kmod-crypto-des - 3.18.20-1
kmod-crypto-hash - 3.18.20-1
kmod-crypto-hmac - 3.18.20-1
kmod-crypto-iv - 3.18.20-1
kmod-crypto-manager - 3.18.20-1
kmod-crypto-md5 - 3.18.20-1
kmod-crypto-pcompress - 3.18.20-1
kmod-crypto-rng - 3.18.20-1
kmod-crypto-sha1 - 3.18.20-1
kmod-crypto-wq - 3.18.20-1
kmod-e1000 - 3.18.20-1
kmod-e1000e - 3.18.20-1
kmod-ip6tables - 3.18.20-1
kmod-ipsec - 3.18.20-1
kmod-ipsec4 - 3.18.20-1
kmod-ipsec6 - 3.18.20-1
kmod-ipt-conntrack - 3.18.20-1
kmod-ipt-core - 3.18.20-1
kmod-ipt-ipsec - 3.18.20-1
kmod-ipt-ipset - 3.18.20-1
kmod-ipt-nat - 3.18.20-1
kmod-iptunnel4 - 3.18.20-1
kmod-iptunnel6 - 3.18.20-1
kmod-ipv6 - 3.18.20-1
kmod-lib-crc-ccitt - 3.18.20-1
kmod-lib-zlib - 3.18.20-1
kmod-mii - 3.18.20-1
kmod-nf-conntrack - 3.18.20-1
kmod-nf-conntrack6 - 3.18.20-1
kmod-nf-ipt - 3.18.20-1
kmod-nf-ipt6 - 3.18.20-1
kmod-nf-nat - 3.18.20-1
kmod-nf-nathelper - 3.18.20-1
kmod-nfnetlink - 3.18.20-1
kmod-ppp - 3.18.20-1
kmod-pppoe - 3.18.20-1
kmod-pppox - 3.18.20-1
kmod-pps - 3.18.20-1
kmod-ptp - 3.18.20-1
kmod-r8169 - 3.18.20-1
kmod-slhc - 3.18.20-1
libblobmsg-json - 2015-06-14-d1c66ef1131d14f0ed197b368d03f71b964e45f8
libc - 0.9.33.2-1
libgcc - 4.8-linaro-1
libgmp - 6.0.0-1
libip4tc - 1.4.21-1
libip6tc - 1.4.21-1
libiwinfo - 2015-06-01-ade8b1b299cbd5748db1acf80dd3e9f567938371
libiwinfo-lua - 2015-06-01-ade8b1b299cbd5748db1acf80dd3e9f567938371
libjson-c - 0.12-1
libjson-script - 2015-06-14-d1c66ef1131d14f0ed197b368d03f71b964e45f8
liblua - 5.1.5-1
libmnl - 1.0.3-2
libnl-tiny - 0.1-4
libpthread - 0.9.33.2-1
libubox - 2015-06-14-d1c66ef1131d14f0ed197b368d03f71b964e45f8
libubus - 2015-05-25-f361bfa5fcb2daadf3b160583ce665024f8d108e
libubus-lua - 2015-05-25-f361bfa5fcb2daadf3b160583ce665024f8d108e
libuci - 2015-04-09.1-1
libuci-lua - 2015-04-09.1-1
libxtables - 1.4.21-1
lua - 5.1.5-1
luci - git-15.245.46763-b179283-1
luci-app-firewall - git-15.245.46763-b179283-1
luci-base - git-15.245.46763-b179283-1
luci-lib-ip - git-15.245.46763-b179283-1
luci-lib-nixio - git-15.245.46763-b179283-1
luci-mod-admin-full - git-15.245.46763-b179283-1
luci-proto-ipv6 - git-15.245.46763-b179283-1
luci-proto-ppp - git-15.245.46763-b179283-1
luci-theme-bootstrap - git-15.245.46763-b179283-1
mtd - 21
netifd - 2015-06-08-8795f9ef89626cd658f615c78c6a17e990c0dcaa
odhcp6c - 2015-07-13-024525798c5f6aba3af9b2ef7b3af2f3c14f1db8
odhcpd - 2015-05-21-2ebf6c8216287983779c8ec6597d30893b914a7c
opkg - 9c97d5ecd795709c8584e972bfdf3aee3a5b846d-7
ppp - 2.4.7-6
ppp-mod-pppoe - 2.4.7-6
procd - 2015-08-16-0da5bf2ff222d1a499172a6e09507388676b5a08
r8169-firmware - 2014-03-16-f8c22c692bdee57a20b092e647464ff6176df3ed-1
rpcd - 2015-05-17-3d655417ab44d93aad56a6d4a668daf24b127b84
strongswan - 5.3.3-1
strongswan-charon - 5.3.3-1
strongswan-default - 5.3.3-1
strongswan-mod-aes - 5.3.3-1
strongswan-mod-attr - 5.3.3-1
strongswan-mod-constraints - 5.3.3-1
strongswan-mod-des - 5.3.3-1
strongswan-mod-dnskey - 5.3.3-1
strongswan-mod-fips-prf - 5.3.3-1
strongswan-mod-gmp - 5.3.3-1
strongswan-mod-hmac - 5.3.3-1
strongswan-mod-kernel-netlink - 5.3.3-1
strongswan-mod-md5 - 5.3.3-1
strongswan-mod-nonce - 5.3.3-1
strongswan-mod-pem - 5.3.3-1
strongswan-mod-pgp - 5.3.3-1
strongswan-mod-pkcs1 - 5.3.3-1
strongswan-mod-pubkey - 5.3.3-1
strongswan-mod-random - 5.3.3-1
strongswan-mod-rc2 - 5.3.3-1
strongswan-mod-resolve - 5.3.3-1
strongswan-mod-revocation - 5.3.3-1
strongswan-mod-sha1 - 5.3.3-1
strongswan-mod-sha2 - 5.3.3-1
strongswan-mod-socket-default - 5.3.3-1
strongswan-mod-sshkey - 5.3.3-1
strongswan-mod-stroke - 5.3.3-1
strongswan-mod-updown - 5.3.3-1
strongswan-mod-x509 - 5.3.3-1
strongswan-mod-xauth-generic - 5.3.3-1
strongswan-mod-xcbc - 5.3.3-1
strongswan-utils - 5.3.3-1
ubox - 2015-07-14-907d046c8929fb74e5a3502a9498198695e62ad8
ubus - 2015-05-25-f361bfa5fcb2daadf3b160583ce665024f8d108e
ubusd - 2015-05-25-f361bfa5fcb2daadf3b160583ce665024f8d108e
uci - 2015-04-09.1-1
uhttpd - 2015-08-17-f91788b809d9726126e9cf4384fedbbb0c5b8a73
uhttpd-mod-ubus - 2015-08-17-f91788b809d9726126e9cf4384fedbbb0c5b8a73
usign - 2015-05-08-cf8dcdb8a4e874c77f3e9a8e9b643e8c17b19131
root@OpenWrt:~#
Albert
Abgeglichen, sieht gut aus. Entferne testweise in der /etc/config/firewall den IP Subnet von panther, also nur noch option subnet '88.xxx.xxx.220/32' und FW restart.
Albert
Da stimmt schon was nicht! Ich kann keinen Eintrag auf racoon erkennen!
In /etc/config/firewall ist bei der zone vpn der Eintrag der IP Adresse von racoon Pflicht. Ob nur die Adresse oder als Subnet, das müsstest Du selbst ausprobieren. Ohne das kann kein Forwarding funktionieren.
In der /etc/ipsec.conf gilt dasselbe, damit strongSwan weiß, was verschlüsselt werden soll.
Chain delegate_forward (1 references)
pkts bytes target prot opt in out source destination
0 0 forwarding_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 zone_vpn_forward all -- * * 192.168.8.0/24 0.0.0.0/0
0 0 zone_lan_forward all -- br-lan * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- pppoe-wan * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain delegate_input (1 references)
pkts bytes target prot opt in out source destination
22 2018 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
357 45195 input_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
221 20084 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
6 332 syn_flood tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
25 1932 zone_vpn_input all -- * * 192.168.8.0/24 0.0.0.0/0
79 18859 zone_lan_input all -- br-lan * 0.0.0.0/0 0.0.0.0/0
32 4320 zone_wan_input all -- pppoe-wan * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_input all -- eth1 * 0.0.0.0/0 0.0.0.0/0
Chain delegate_output (1 references)
pkts bytes target prot opt in out source destination
22 2018 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
267 27406 output_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
126 16790 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
25 1872 zone_vpn_output all -- * * 0.0.0.0/0 192.168.8.0/24
1 40 zone_lan_output all -- * br-lan 0.0.0.0/0 0.0.0.0/0
115 8704 zone_wan_output all -- * pppoe-wan 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_output all -- * eth1 0.0.0.0/0 0.0.0.0/0
Chain zone_vpn_dest_ACCEPT (3 references)
pkts bytes target prot opt in out source destination
25 1872 ACCEPT all -- * * 0.0.0.0/0 192.168.8.0/24
Chain zone_vpn_src_ACCEPT (1 references)
pkts bytes target prot opt in out source destination
25 1932 ACCEPT all -- * * 192.168.8.0/24 0.0.0.0/0
Albert
Hast Du was auf racoon geändert, bzw. besteht die Möglichkeit racoon neu zu starten? Wer weiß, ob auf der Gegenseite etwas klemmt.
Albert
Gib mir mal eine Komplettausgabe unter Spoiler mit iptables -nvL.
Albert
Das ist doch, bis auf das -I statt -A in der letzten Zeile, genau das, was in der /etc/firwall.user steht, oder?
Sorry, natürlich -A nicht -I.
Wo wir noch Unterschiede hatten, das war strongswan-mod-kernel-libipsec. Bei mir ist es NICHT installiert.
login as: root
root@192.168.220.1's password:
BusyBox v1.23.2 (2015-07-25 06:35:11 CEST) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
CHAOS CALMER (15.05, r46767)
-----------------------------------------------------
* 1 1/2 oz Gin Shake with a glassful
* 1/4 oz Triple Sec of broken ice and pour
* 3/4 oz Lime Juice unstrained into a goblet.
* 1 1/2 oz Orange Juice
* 1 tsp. Grenadine Syrup
-----------------------------------------------------
root@OpenWrt:~# opkg list_installed strongswan*
strongswan - 5.3.3-1
strongswan-charon - 5.3.3-1
strongswan-default - 5.3.3-1
strongswan-mod-aes - 5.3.3-1
strongswan-mod-attr - 5.3.3-1
strongswan-mod-constraints - 5.3.3-1
strongswan-mod-des - 5.3.3-1
strongswan-mod-dnskey - 5.3.3-1
strongswan-mod-fips-prf - 5.3.3-1
strongswan-mod-gmp - 5.3.3-1
strongswan-mod-hmac - 5.3.3-1
strongswan-mod-kernel-netlink - 5.3.3-1
strongswan-mod-md5 - 5.3.3-1
strongswan-mod-nonce - 5.3.3-1
strongswan-mod-pem - 5.3.3-1
strongswan-mod-pgp - 5.3.3-1
strongswan-mod-pkcs1 - 5.3.3-1
strongswan-mod-pubkey - 5.3.3-1
strongswan-mod-random - 5.3.3-1
strongswan-mod-rc2 - 5.3.3-1
strongswan-mod-resolve - 5.3.3-1
strongswan-mod-revocation - 5.3.3-1
strongswan-mod-sha1 - 5.3.3-1
strongswan-mod-sha2 - 5.3.3-1
strongswan-mod-socket-default - 5.3.3-1
strongswan-mod-sshkey - 5.3.3-1
strongswan-mod-stroke - 5.3.3-1
strongswan-mod-updown - 5.3.3-1
strongswan-mod-x509 - 5.3.3-1
strongswan-mod-xauth-generic - 5.3.3-1
strongswan-mod-xcbc - 5.3.3-1
strongswan-utils - 5.3.3-1
root@OpenWrt:~#
Bitte abgleichen.
Albert
Gib mal die folgenden vier Befehle an der Console ein, aber bitte nur ein einziges mal und dann nie wieder!
iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j zone_vpn_forward
iptables -I input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j ACCEPT
und /etc/init.d/firewall restart.
Albert