IPSEC in DMZ [gelöst]

[Lolek]

Hi, Folks!

Ich möchte einen IPSEC Server in einer DMZ aufstellen. Als IPSEC Anwendung soll strong swan zum Einsatz kommen. Ich habe schon eine ganze Weile probiert und getüftelt, aber mir ist bis Dato nichts schlaues eingefallen.

Wenn der Server direkt am Internet hängt, kann ich mich ohne Probleme mit IPSEC Clients mit dem Gateway verbinden. Weil ich aber den VPN Server nicht auf der Firewall möchte, überlege ich nun wie ich die ipsec.conf gestalten muß wenn ich IKEV2 und ESP per Portforwarding in die DMZ leite. Geht das überhaupt

Hat damit schon jemand Erfahrung??

Danke für alle Antworten.

[mistersixt]

Neben UDP Port 500 (für das IKE) gibt es beim IPSec noch die Protokolle 50 (ESP) und 51 (AH), die kann man nicht so einfach "forwarden" soweit ich weiss, man muss dann via UDP Port 4500 ein NAT-T (Nat-Traversal) aktivieren ... oder so ähnlich. In diese Richtung würde ich mal auf die Suche gehen, und es kommen solchen Seiten dabei heraus:

https://supportforums.cisco.com/documen ... work-ipsec
https://serverfault.com/questions/57581 ... behind-nat


Gruss, mistersixt.

[dufty2]

Mmh, mir ist der Netzaufbau nicht ganz klar.
"IPsec clients" oder auch "VPN clients" sind normalerweise Rechner,
welche selbst verschlüsseln und als Gegenstelle entweder andere hosts ("host-to-host") oder ein VPN-Gateway ("host-to-site") haben.
Die kurze Strecke von Deinem LAN zu Deiner DMZ zu verschlüsseln, macht wohl wenig Sinn und möglicherweise hast Du auch was anderes gemeint.

Wenn Deine clients aber nicht selbst verschlüsseln sollen und z. B. im 10.0.0.0/24 stehen, Dein VPN Server im z. B. 172.16.0.0/24 hockt (also selbst keine öffentliche IP mehr hat), dann kannst Du ja Dein VPN-Server 1:1 NATen (an der Firewall) und das von mistersixt beschriebene "N:1"-NAT-Problem tritt gar nicht auf.

[Lolek]

Hallo zusammen,

danke für die Antworten. Hier nochmal kurz eine Skizze vom Netzwerk.
-----
|VPN|
-----
|
| DMZ
------
| FW |--------------------------| Internet |
------
|
|
------
LAN |
------

VPN Clients sollen sich mit dem VPN Server in der DMZ verbinden und dann Zugriff auf das LAN erhalten (unverschlüsselt). Ich hatte mir gedacht den VPN Server in der DMZ zu platzieren um auf der Firewall keinen Dienst laufen zu lassen.

Mit OpenVPN ist dieses Szenario kein Problem. Den UDP Port mit forwarding durchgereicht und es funktioniert. Mit IPSEC ist es mir nicht gelungen die Sache zum laufen zu bekommen.

Bei strong Swan muß als Gegenstelle ja die äußere Adresse der Firewall angegeben werden. Wenn ich nun das IKE und ESP Protokoll an den VPN Server durch reiche, kommen die Pakete zwar an aber der VPN Server kann nichts damit anfangen. Ist ja eigentlich auch logisch, denn als Empfänger steht ja die Firewall mit der äußeren Adresse drin.

Ein Typisches Henne - Ei Problem. Ich schätze ich muß wohl den IPSEC- Zugang auf der Firewall realisieren.

[dufty2]

Wenn ich nun das IKE und ESP Protokoll an den VPN Server durch reiche, kommen die Pakete zwar an aber der VPN Server kann nichts damit anfangen. Ist ja eigentlich auch logisch, denn als Empfänger steht ja die Firewall mit der äußeren Adresse drin.

Ich glaube mich dunkeln erinnern zu können, in meinem ersten Beitrag "1:1 NAT" geschrieben zu haben.
Möglicherweise hab' ich mich da getäuscht?

[Lolek]

Hallo dufty2,

was meinst Du mit 1:1 NAT? Meinst Du damit das ich die Pakete mit dem DMZ- Interface der Firewall maskieren soll?

[dufty2]

Wie? Was? Nö

Dachte eher in der Art

Code: Alles auswählen

-A PREROUTING -i eth0 -d 213.213.213.213 -j DNAT --to-destination 10.0.0.10
-A POSTROUTING -o eth0 -s 10.0.0.10 -j SNAT --to-source 213.213.213.213

[Lolek]

Hallo dufty2,

ein wahrlich genialer hack!

Es funktioniert. Ich habe die Regeln noch etwas verfeinert damit nur IKE und ESP verändert werden.

Danke nochmal für den Denkanstoß und einen guten Rutsch ins neue Jahr.