Der Linux ShrewSoft-Client stellt eine Verbindung her, leitet aber keinen Datenverkehr weiter.

tag-icon tag-icon linux vpn ipsec
Der Linux ShrewSoft-Client stellt eine Verbindung her, leitet aber keinen Datenverkehr weiter.

Ein Kunde hat vor Kurzem seinen VPN-Server gewechselt und empfiehlt nun ShrewSoft als geeigneten Client.

Unter Windows funktioniert die bereitgestellte Konfiguration. Unter Linux funktioniert sie aucherscheinttap0um eine Verbindung herzustellen und einen Netzwerkadapter mit einem Gerät im richtigen Netzwerk einzurichten . Allerdings kann anscheinend überhaupt kein Datenverkehr durchgelassen werden.

Der Kunde sagt:

Oct 16 11:24:42 vpn-lbe ikec[10887]: >> : esp proposal configured
Oct 16 11:24:42 vpn-lbe ikec[10887]: >> : client configured
Oct 16 11:24:42 vpn-lbe ikec[10887]: >> : local id configured
Oct 16 11:24:42 vpn-lbe ikec[10887]: >> : remote id configured
Oct 16 11:24:42 vpn-lbe ikec[10887]: >> : pre-shared key configured
Oct 16 11:24:42 vpn-lbe ikec[10887]: ii : bringing up tunnel ...
Oct 16 11:24:42 vpn-lbe ikec[10887]: >> : network device configured
Oct 16 11:24:42 vpn-lbe ikec[10887]: ii : tunnel enabled

Außerdem wird eine Schnittstelle mit einer IP-Adresse eingerichtet tap0und im richtigen Netzwerk gesendet:

tap0: flags=67<UP,BROADCAST,RUNNING>  mtu 1380                             
        inet 192.168.5.213  netmask 255.255.255.0  broadcast 192.168.5.255 
        inet6 fe80::f09b:eaff:feb1:8548  prefixlen 64  scopeid 0x20<link>  
        ether f2:9b:ea:b1:85:48  txqueuelen 1000  (Ethernet)               
        RX packets 0  bytes 0 (0.0 B)                                      
        RX errors 0  dropped 0  overruns 0  frame 0                        
        TX packets 0  bytes 0 (0.0 B)                                      
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

(Beachten Sie, dass hier keinerlei Pakete angezeigt werden.)

Dies scheint ein weit verbreitetes Problem zu sein, für das es keine klare Lösung gibt. Beispielsweisediese ServerFault-Frage erwähnt das Deaktivierenrp_filter, so tat ich:

$ sysctl -a | grep -i rp_filter
net.ipv4.conf.all.rp_filter = 0          
net.ipv4.conf.default.arp_filter = 0     
net.ipv4.conf.default.rp_filter = 0      
net.ipv4.conf.eth0.arp_filter = 0        
net.ipv4.conf.eth0.rp_filter = 0         
net.ipv4.conf.lo.arp_filter = 0          
net.ipv4.conf.lo.rp_filter = 0

Dies scheint darauf hinzudeuten, dass etwas im ShrewSoft-Code geändert werden muss, um ihn mit neueren Linux-Versionen kompatibel zu machen. Ist das richtig? Hat jemand versucht, ihn zu forken und/oder gibt es einen alternativen IPSec-Client?

verwandte Informationen