Nat über IPSEC was mache ich falsch

minimike

minimike

Berufsrevolutionär
Hi

Ich versuche seit Wochen krampfhaft Netze die ich via IPSEC auf der Firewall erreichen kann in ein lokales Netz zu NATten

Hier im Beispiel will ich von 192.168.0.0/24 nach 192.168.39.0/24 mit Gateway 10.253.0.1 gelangen. Die Adressen vom Interface Intranet sind 192.168.0.2 und ein Alias 10.253.0.1.

Die Namen der Interfaces wurden umbenannt via rc.conf. Was mache ich falsch?
 
Zuletzt bearbeitet:
hi

funktioniert den die ipsec verbindung ohne nat ?

d.h. können die 2 192er netzer miteinander reden ?

holger
 
Das hilft Dir nichts, aber daran bin ich auch schon mal gescheiter ... :D
Hast Du gateway enabled und was sagt netstat -rn?
 
Hi

Also für Ideen wäre ich recht dankbar. Da die Büchse auch als Router dienen soll ist auch gateway_enabled="YES"
 
Zuletzt bearbeitet:
Es gibt setkey und racoonctl. Hilfreich um einen Überblick zu bekommen ist:
Code: 
setkey -D | awk 'NF==2' | sort
 
Also ich habe heute den ganzen Tag rumgeknobelt und kam schon mal weiter.

Es funktioniert wenn auch sehr hässlich ausschließlich wenn Anfragen aus dem LAN 10.253.1.0/24 kommen


Code: 
64 bytes from 192.168.39.22: icmp_seq=393 ttl=62 time=14.520 ms
36 bytes from 10.253.1.1: Redirect Host(New addr: 192.168.39.22)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 8105   0 0000  40  01 05e4 10.253.1.5  192.168.39.22

Unter OSX

ifconfig em0 alias 10.253.1.5 netmask 255.255.255.0
route -nv add -net 192.168.39.0/24 10.253.1.1


Unter Linux

ifconfig eth0:0 10.253.1.4 netmask 255.255.255.0
route add -net 192.168.39.0/24 gw 10.253.1.2

Allerdings musste ich für Linux noch einen weiteren Alias auf dem FreeBSD Router anlegen. Die 10.253.1.1 ist schon da und die 10.253.1.2 musste ich hinzufügen.

Also ich habe ein Device mit der IP 192.168.0.0/24 für das Netz 192.168.0.0/24 mit den Alias IP's 10.253.1.1 und 10.253.1.2 und das scheint auch ohne NAT zu gehen. Wie bekomme nun am besten ohne Alias auf den Clients vom netz 192.168.0.0/24 über das 10.253.1.0/24 netz zu dem 192.168.39.0/24?
 
IP in IP (mit gif Interfaces) sowie IPsec im Tunnelmodus wäre die Alternative. Der Nachteil ist, dass du die Security Policy Database (SPD) mit der Routingtable synchronisiert halten musst. Mit dynamischen Routing ist das der direkte Weg in den Wahnsinn.
 
Als Ekellösung habe ich eben folgendes probiert

Linuxkiste die gerade rumfliegt

ifconfig eth0 10.253.1.101 netmask 255.255.255.0
ifconfig eth0:0 192.168.0.101 netmask 255.255.255.0
route add default gw 10.253.1.2
iptables -t nat -D POSTROUTING -o eth0:0 -s 192.168.0.0/24 -j MASQUERADE


andere Linuxkiste

ifconfig eth0 192.168.0.118
route add default gw 192.168.0.101

Also ne dumme FW hinter der FW die dann NATed. Das ist wieder der Natur, vollkommen ekelig aber funktioniert. Wie könnte ich das auf ein und der selben Kiste ohne diese Art von Gehhilfen zu benützen machen?
 
Zuletzt bearbeitet:
Wie wäre es damit Handbook.

Bei all deine Flüchen ist mir noch immer nicht klar was genau die gegebene Topologie ist, wer was kontrolliert, welche Adressen wo durch ein NAT wie abgebildet werden, usw.
 
OpenVPN? Simpler geht's nicht; schöner unprivilegierter Userland-Prozess sauber an tun(4) angeknüpft, perfekt und intuitiv filterbar, keine Transport-/Tunnel-Mode-Geschichten.
 
OpenVPN geht auch nicht es geht um Standortvernetzungen diverser Dienstleister und Partner. Jeder arbeitet unabhängig und der einzige gemeinsame Nenner ist IPSEC. Die Gegenstelle gibt mir vor was ich zu machen habe. Unterstützung oder Kompromisse gibt es nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben