FAQ - Navigation

Start FAQ's Netzwerk Probleme VPN mit IPSEC Kernel 2.6
VPN mit IPSEC Kernel 2.6 PDF Drucken E-Mail
Benutzerbewertung: / 0
SchwachPerfekt 
Geschrieben von: Helge Klug   
Donnerstag, den 12. Februar 2009 um 00:00 Uhr

 

######################################
#
# VPN mit IPSEC
# Version 0.1
#
#######################################

$IPTABLES -N FROM_VPN
$IPTABLES -N TO_VPN
$IPTABLES -N my_drop


# Elaube ESP (Protokol 50)
$IPTABLES -I OUTPUT -p 50 -j ACCEPT
$IPTABLES -I INPUT -p 50 -j ACCEPT


# Erlaube AH (Protokol 51)
$IPTABLES -I OUTPUT -p 51 -j ACCEPT
$IPTABLES -I INPUT -p 51 -j ACCEPT


#Erlaube ike (Port UDP/500)
$IPTABLES -N ike
$IPTABLES -A OUTPUT -p udp -m state --state NEW --dport 500 -j ike
$IPTABLES -A INPUT -p udp -m state --state NEW -s $LOC_NET --dport 500
-d $IP_LAN -j ike
$IPTABLES -A INPUT -p udp -m state --state NEW -d $IP_INET --dport 500
-j ike
$IPTABLES -A ike -j ACCEPT


# Erlaube Nat Travelvers (Port UDP/4500)
$IPTABLES -N nat-t
$IPTABLES -A OUTPUT -p udp -m state --state NEW --dport 4500 -j nat-t
$IPTABLES -A INPUT -p udp -m state --state New -s $LOC_NET --dport 4500
-d $IP_LAN -j nat-t
$IPTABLES -A INPUT -p udp -m state --state NEW -d $IP_INET --dport 4500
-j nat-t
$IPTABLES -A nat-t -j ACCEPT


## Filtern des IPSEC Verkehrs


# Eintreffende ESP-Pakete auf ppp0 in PREROUTING markieren
$IPTABLES -t mangle -A PREROUTING -i $DEV_INET -p ESP
-j MARK --set-mark 5

# Eintreffende AH-Pakete auf ppp0 in PREROUTING markieren
$IPTABLES -t mangle -A PREROUTING -i $DEV_INET -p AH
-j MARK --set-mark 10

# Markierte Parket in den Chain FROM_VPN leiten
$IPTABLES -A FORWARD -i $DEV_INET -o $DEV_LAN -m mark --mark 5 -j FROM_VPN
$IPTABLES -A FORWARD -i $DEV_INET -o $DEV_LAN -m mark --mark 10 -j FROM_VPN

# Erlaube alle ausgehenden Verbindungen
$IPTABLES -A FORWARD -i $DEV_LAN -o $DEV_INET
-m state --state ESTABLISHED,RELATED -j ACCEPT

# Erlaube bestehende Verbindungen
$IPTABLES -A TO_VPN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FROM_VPN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Erlaube alle verbindung in das vpn
$IPTABLES -A TO_VPN -m state --state NEW -p TCP -j ACCEPT
$IPTABLES -A TO_VPN -m state --state NEW -p UDP -j ACCEPT
$IPTABLES -A TO_VPN -j my_drop

# Erlaube alle Verbindung aus dem VPN
$IPTABLES -A FROM_VPN -m state --state NEW -p TCP -j ACCEPT
$IPTABLES -A FROM_VPN -m state --state NEW -p UDP -j ACCEPT
$IPTABLES -A FROM_VPN -j my_drop

 

Letzte Änderung des Artikels: 2005-08-16 19:17
Verfasser des Artikels: Helge Klug

< Zurück
Zuletzt aktualisiert am Donnerstag, den 12. Februar 2009 um 16:33 Uhr