IPSEC VPN mit mehr alseinem Tunnel Interface?

H

holm

Well-Known Member
Moin und noch ein gesundes neues Jahr Allen hier..

Ich habe wieder mal ein IPSEC VPN auf einem FreeBSD einzurichten, auf dem entsprechenden FreeBSD 9 Gateway laufen derzeit schon 2 IPSEC VPNs mit racoon.

Neu für mich ist aber nun das Anliegen 3 Tunnel zwischen 2 "äußeren" Adressen einzurichten, mit nur einer Authentifizierung etc... ich muß also 3 gif interfaces hoch ziehen..

Hat das schon mal Jemand gemacht? Was gibts da zu beachten?

Gruß,

Holm
 
Noch als Ergänzung, das was ich suche scheint bei Cisco unter "Tunnel Groups" zu laufen, geht das mit racoon als Gegenstelle überhaupt?

Gruß,

Holm
 
Whow...530 Lesezugriffe...

Ich erwarte ja nicht das Jeder hier dazu was weiß, aber gar Keiner?

Wasn da los?

Gruß,

Holm
 
Also.... du hast hier kein SLA deswegen wundere dich nicht, wenn kompetente Hilfe nicht binnen Minuten angeflogen kommt.

Ich würde gif (IP in IP) Tunnel nicht mit IPsec kombinieren um Router zu verbinden, weil du damit die IPsec Policies mit deinem Routing verbindest und dich so auf statisches Routing beschränkst. Ich würde dir raten IPsec im Transportmode statt im Tunnelmode zu verwenden und als Payload einen GRE Tunnel zu verwenden. Anschließend musst dir halt Gedanken machen, wie du dein VPN in dein IGP einbindest. Bei OSPF als IGP würde ich jedenfalls davon abraten das VPN zu einem Bestandteil der Backbonearea zu machen. Das Problem an dieser Einschränkung ist halt, dass du keine weiteren Areas mehr hinter dem VPN haben kannst, weil jede Area eine direkte Verbindung zur Backbonearea braucht (und nein virtual Links sind in der Praxis kein sinnvoller Ersatz).
 
Crest schrieb:
Also.... du hast hier kein SLA deswegen wundere dich nicht, wenn kompetente Hilfe nicht binnen Minuten angeflogen kommt.
Zum Vergrößern anklicken....

...ist hier evtl. noch Jemandem nach einer kleinen Chelmerei?
Da liegen 6 Tage zwischen meiner Frage und der Verwunderung das ich keine Antwort bekomme..ok, das sind auch nur Minuten, geschätzt freilich 8640 und was heißt hier "kompetente Hilfe" ..bis jetzt kam _gar_ _nichts_

Ich würde gif (IP in IP) Tunnel nicht mit IPsec kombinieren um Router zu verbinden, weil du damit die IPsec Policies mit deinem Routing verbindest und dich so auf statisches Routing beschränkst. Ich würde dir raten IPsec im Transportmode statt im Tunnelmode zu verwenden und als Payload einen GRE Tunnel zu verwenden. Anschließend musst dir halt Gedanken machen, wie du dein VPN in dein IGP einbindest. Bei OSPF als IGP würde ich jedenfalls davon abraten das VPN zu einem Bestandteil der Backbonearea zu machen. Das Problem an dieser Einschränkung ist halt, dass du keine weiteren Areas mehr hinter dem VPN haben kannst, weil jede Area eine direkte Verbindung zur Backbonearea braucht (und nein virtual Links sind in der Praxis kein sinnvoller Ersatz).
Zum Vergrößern anklicken....

Sorry das hilft mir nicht weil ich nämlich nicht machen kann was ich will sondern das tun muß was ich soll. Ich kenne nur die Cisco Appilance der Gegenstelle und deren Vorstellung von "Tunnel Groups" über IPSEC nicht.

Gruß,

Holm
 
Ich hätte wohl nicht nur auf die Uhrzeit sehen sollen. Ich sah beim überfliegen der Metadaten nur 9:30 und 9:33. Das Datum habe ich glatt übersehen.

Hast du Zugriff auf die Cisco Appliance auf der Gegenseite oder musst du notdürftige etwas kompatibles basteln? Was für eine Cisco Firmware läuft da?
 
Crest schrieb:
Ich hätte wohl nicht nur auf die Uhrzeit sehen sollen. Ich sah beim überfliegen der Metadaten nur 9:30 und 9:33. Das Datum habe ich glatt übersehen.
Zum Vergrößern anklicken....

...na gut, hast Schwein gehabt :-)

Hast du Zugriff auf die Cisco Appliance auf der Gegenseite oder musst du notdürftige etwas kompatibles basteln? Was für eine Cisco Firmware läuft da?
Zum Vergrößern anklicken....

Letzteres. Das Einzige was mit mitgeteilt wurde ist die Hardware: "Cisco ASA 5515" und die Parameter für Phase I und II sowie ein PSK.

Gruß,

Holm
 
...ist es nicht seltsam das Cisco da einen IPSEC Modus hat von dem hier noch Niemand was gehört hat?
Das ist keine Beschwerde sondern so gemeint wie ichs schreibe..

Gruß,

Holm
 
Leider nein. IPsec ist so schön erweiterbar und Hersteller verstehen teilweise unter IPsec VPN komplett unterschiedliche Dinge. Hol dir ne Spucktüte und lies ein paar der relevanten RFCs, wenn du nen guten Überblick über den dokumentieren Teil des Protokolls bekommen willst.
 
..läuft seit gestern.

Die Manualseite von gif(4) fördert bei genauem Lesen das hier zu Tage:
Parallel tunnels may be enabled by set‐
ting the sysctl(8) variable net.link.gif.parallel_tunnels to 1.
Zum Vergrößern anklicken....

Aha. Ich habe dann gesuchmaschient aber bis auf die gleichlautenden Manuals von gif(4) für Looser Unix und BSD ist da nicht viel zu finden,
diverser Ärger bei Pfsense noch, das wars.
Ich habe deshalb einfach experimentiert, den Sysctl gesetzt und weitere gif Interfaces mit identischen äußeren Adressen angelegt, in setkey.conf entsprechend eingetragen und statt "require" "unique" am Ende eingesetzt, die entsprechenden Phase 2 Einträge in racoon.conf ergänzt und 2 von 3 Tunneln funktionierten. Den Dritten brachte dann ein Telefonat beim Gegenüber mit der bitte die dortige Konfiguration zu überprüfen auch noch zum leben.

Gruß,

Holm
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben