[hannover] Probleme mit VPN (IPSec?) Connections

[Oliver Krüger]

> Stimmt. Allerdings ja „nur“ incoming auf den Supernodes vom GroßenBösenInternet aus. Intern kann ja 500/udp Traffic auf den Batman-Interfaces fließen, was will. Und auf den Exitnodes wird das eigentlich auch nicht speziell behandelt.
> Ich sollte aber vorsichtshalber nochmal in die Firewallregeln auf den Supernodes schauen…

Okay, die Regeln auf den Supernodes sind ein wenig weit gefasst. Das könnte der Grund sein, warum es nicht funktioniert.

-A PREROUTING -p udp -m udp --dport 500 -j REDIRECT --to-ports 10023

könnte/sollte man auf eth0 einschränken. Die Änderung werde ich vorbereiten, aber erst zusammen mit Bernd am Donnerstag ausrollen. Ich würde gerne vermeiden, dass das FlüWo versehentlich dann ohne Netz dasteht.

Gruß,
Oliver

PS: Solange der sn01 noch nicht neu aufgesetzt ist, könnte es auf dem zZ klappen, da die obige Regel dort nicht ausgerollt ist. (Wird sich Ende des Monats aber hoffentlich ändern.)