# von freeswan gateway kann ich keine einzige remote machine anpingen



## ccc (29. Januar 2004)

hallo

habe ernstahftes problem mit freeswan gateway ( linux SuSE 8.2 ) ,
verbunden via ipsec tunnel mit Watchguard firewall.
Auf dem linux gateway habe 2 interfaces :
eth0 (externes) mit einer Internet adresse (212.X.X.X) und
eth1 (internes) mit einer privater adresse (192.168.115.1)

mein ipsec.conf :

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
forwardcontrol=yes

conn %default
keyingtries=0
disablearrivalcheck=no
authby=secret
#compress=yes
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand

conn roadwarrior
left=%any

conn me-to-anyone
#left=%defaultroute
#right=%opportunistic
#keylife=1h
#rekey=no
# for initiator only OE,
# after putting your key
#leftid=@myhostname.example.com
# uncomment this next line to enable it
# auto=route

conn Firebox1
left=195.X.X.X
leftnexthop=%defaultroute
leftsubnet=192.168.0.0/24
right=212.X.X.X
rightnexthop=%defaultroute
rightsubnet=192.168.115.0/24
leftupdown=/usr/lib/ipsec/_updown_custom
auto=start

Der tunnel funktioniert.

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
212.X.X.X * 255.255.255.240 U 0 0 0 eth0
212.X.X.X * 255.255.255.240 U 0 0 0 ipsec0
192.168.0.0 gw.xxx.net 255.255.255.0 UG 0 0 0 ipsec0
192.168.115.0 * 255.255.255.0 U 0 0 0 eth1
default gw.xxx.net 0.0.0.0 UG 0 0 0 eth0

# ipsec verify
Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for ext [FAILED]
Looking for TXT in reverse map: X.X.X.212.in-addr.arpa [OK]
Does the machine have at least one non-private address [OK]

I kann von jeder remote maschine linux gateway anpingen,
aber NICHT umgekehrt !

auf der linux gateway seite läuft keine firewall.

auf der remote seite, sind alle ports "ANY to ANY" für linux erlaubt.

interessanterweise kann ich von jeder maschine hinter
dem linux gateway ( meine auf der gateway site ),
jede remote machine pingen, aber NICHT vom linux gateway direkt.

was ist da falsch ?

gruss
ccc


----------



## Thomas Kuse (29. Januar 2004)

Doofe Frage aber hast Du den richtigen ping Befehl verwendet?
Ich muss bei meinen zwei interfaces das entsprechende angeben:

```
$ping -I ethX X.X.X.X #I ^= i
```


----------



## ccc (29. Januar 2004)

ja, hift aber NICHT

gruss
ccc


----------



## ccc (1. Februar 2004)

habe gefunden

mit

ping -I Locale_IP Remote_IP

funktioniert einwandfrei.

gruss
ccc


----------

