ipsec und routen zu clients

minimike

Berufsrevolutionär
Hi

Ich habe mehrere IPSEC Tunnel aufgebaut. Auf einer NIC habe ich eine Alias Adresse weil mir die Gegenstelle vorgibt das ich auf dem Router eine Adresse aus dem Subnetz zu verwenden habe

Code:
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=401bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,VLAN_HWTSO>
	ether a0:36:9f:1f:98:44
	inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
	inet 10.223.1.1 netmask 0xffffffff broadcast 10.253.1.1
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active

Die Routen habe ich der rc.conf eingetragen.

Code:
route_rz1="-net 192.168.28.0/24 10.223.1.1"
route_rz2="-net 192.168.39.0/24 10.223.1.1"
route_rz3="-net 192.168.45.0/24 10.223.1.1"

Und von der Firewall/Router komme in in jedes Netz. (Das wird später abgestellt)

Ich komme dank PF von dem einen LAN ins andere LAN über zwei verschiedene Subnetze. Aber was ich noch verstanden habe wie NATe ich das so das ich in die Netze von den Clients aus hineingelange?

Code:
table <tbl.r1> { 192.168.28.0/24 , 192.168.39.0/24 } 
table <tbl.r11.s> { 172.16.100.0/16 , 192.168.0.0/24 } 

nat on  igb0 from 192.168.0.0/24 to any -> (igb0) 
nat on  igb0 from 192.168.0.0/24 to <tbl.r1> -> (igb0)

Was mache ich falsch? Danke für Hilfe ;)
 
Wie wäre es damit GRE über ESP zu verwenden? Damit hättest du (Pseudo-)Interfaces fürs Routing ohne Workarounds.
 
Wie wäre es damit GRE über ESP zu verwenden? Damit hättest du (Pseudo-)Interfaces fürs Routing ohne Workarounds.

Da habe ich aber ein Verständnissproblem. Von 10.223.1.0/24 zu 192.168.39.0/24 gibt es keine festgelegten Gatewayadressen.

Die Gegenseite hat ein Device von Astaro. War schon fummelig IPSEC einzurichten.

Code:
ifconfig gre0 create
ifconfig gre0 tunnel 10.1.1.2 10.1.1.1
ifconfig gre0 192.168.1.2 192.168.1.1 netmask 255.255.255.0

Ich komme so nur bis zur zweiten Zeile. Da es intern auf der Gegenstelle keine IP gibt worauf ich das festnageln kann, weis ich nicht wie ich das machen soll.
 
setkey.conf:
Code:
spdadd LOCAL  REMOTE gre -P out ipsec esp/transport//require;
spdadd REMOTE LOCAL  gre -P in  ipsec esp/transport//require;
 
aber wie mache ich das mit der Adresse? Auf der Gegenseite gibt es nichts. Die routed direkt von dem vorgegebenen Subnetz 10.253.1.0/24 in ihre Subnetze. Und ich kann da nichts machen weil ich da niemals Zugriff darauf erhalten werde.

Mit LOCAL und REMOTE meinst Du sicher die nicht öffentlichen Adressen.

Ich habe ein gre so eingerichtet und es funktioniert nicht. Es kann auch so nicht funktionieren.
 
Last edited:
Also nochmal zur Ausgangsituation

Ich kann mit racoon erfolgreich einen IPSEC-VPN-Tunnel mit einer Phase eins und 5 x Phase 2 zu 5 Netzen an einer Gegenstelle die Astaro (Strongswan) verwendet aufbauen. Der VPN Server soll als Router zu diesen Netzen fungieren. Eins meiner Netze ist das 192.168.0.0/24. Die remote Netze z.B. 192.168.39/24, 192.168.45/24 kann ich aus dem Netz 10.253.1.0/24 erreichen. Aus dem Grund habe ich auf der Nic die das Netz 192.168.0.0/24 bedient noch zusätzlich (alias) die Adresse 10.253.1.1 gemapped. Bisher habe ich leider keine Erfolge verbuchen können die Netze 192.168.39/24, 192.168.45/24 via IPSEC zu 192.168.0.0/24 NATen
 
Nein mit LOCAL und REMOTE meine ich die äußeren Adressen des GRE Tunnels aufm Wire sieht das nachher so aus:
Code:
| ... | IP | ESP | GRE | IP | Payload |
.
 
Nein mit LOCAL und REMOTE meine ich die äußeren Adressen des GRE Tunnels aufm Wire sieht das nachher so aus:
Code:
| ... | IP | ESP | GRE | IP | Payload |
.

Ich bin heute nicht im Büro. Aber was ist mit der Adresse die ich auf der Gegenstelle nicht habe?
 
Mit GRE Interface bekomme ich die Phase1 nicht hin. Und danch kommt noch 5 mal Phase 2 über die Verbindung
 
Back
Top