IPSec VPN mit tap device

[nukulaar]

Hallo,

ich habe momentan folgendes Problem.

Zu einem kleinen debian Server im Internet gibt es einen IPSec VPN Tunnel (racoon) zu meinem Heimnetz.
Jetzt möchte ich bestimmte daemons nur über den VPN Tunnel erreichbar machen.

Hierzu habe ich ein tap device erstellt und ihm eine IP Adresse vergeben. Diese IP Adresse ist dann auch entsprechend in der IPSec Konfiguration eingetragen.
Zur Veranschaulichung habe ich hier eine kleine Skizze erstellt:


Das Problem ist jetzt allerdings, dass die Pakete zwar am eth0 ankommen (per tcpdump überprüft) aber nicht an das tap device weitergeleitet werden. (Zumindest sehe ich mit tcpdump keine Pakete. Auch bleiben die ICMP echo replys aus).

Ich habe auch schon versucht IPv4 Routing zu aktivieren, dass hat aber leider auch nicht geholfen.

Hat vielleicht jemand eine Idee wie das ganze zum Laufen bekommen kann?
Vielleicht gibt es auch eine elegantere Lösung als über ein tap device.

Vielen Dank im Vorraus.

[nukulaar]

Bin leider noch nicht wirklich weitergekommen.

Hat keiner eine Idee?

[dufty]

Gibt es einen speziellen Grund, warum Du IPSEC benötigst
oder würde ein einfacher zu konfigurierender SSL-Tunnel (wie etwas openvpn) auch tun?

[Natureshadow]

IPsec ist nicht deine Baustelle, wenn es um das VPN geht. Das VPN machst du mit L2TP über IPsec.

L2TPv2 kann kein tap, L2TPv3 kann es. L2TPv3 ist komplett kernelseitig implementiert und wird mit ip tunnel konfiguriert.

Ich rate aber stattdessen zu tinc.

Happy googling!

-nik

[nukulaar]

Hallo,

@dufty: Die FritzBox kann ohne Freetz leider kein OpenVPN, deswegen würde ich es gerne über IPSEC einrichten.

@Natureshadow: Danke für den Tip, ich werde mir mal anschauen, was man mit tinc so anstellen kann.

//EDIT: Wenn ich das richtig gelesen habe ist tinc nicht mit IPSEC kompatibel und läuft nur mit einem tinc daemon auf der anderen Seite. Daher ist das auch nix für meine Fritzbox

[Natureshadow]

Wenn du FritzBox-VPN willst, dann nimm das VPN der FritzBox.....

[nukulaar]

Wenn du FritzBox-VPN willst, dann nimm das VPN der FritzBox.....

Danke für den hilfreichen Tipp...

[r4pt0r]

Wenn das hinter der Fritzbox sowieso ein Server ist würde ich mir überlegen diesen als router/gateway/firewall (shorewall) zu nutzen. Es ist erschreckend wie viel die fritzbox aus dem und vor allem ins netz lässt - von den ziemlich bescheuerten Verkrüppelungen und Verunstaltungen diverser Dienste ganz zu schweigen. Da ist ein debian-basierter Router mit der fritzbox in der DMZ (zwecks ip-telefonie falls genutzt) deutlich sicherer, performanter und flexibler, gerade was solche Spezialkonfigurationen betrifft die über den äußerst begrenzten Horizont der fritzbox hinausgehen...

[mludwig]

Hast du für den Tunnel die Route eingetragen, damit er auch alles in deinem Heimnetz über den Tunnel anspricht?

so etwas wie

Code: Alles auswählen

route add -net 192.168.178.0 netmask 255.255.255.0 gw 10.10.100.1

bei GW müsste dann entsprechend der Tunnelendpunkt auf der Gegenseite (Fritzbox?) stehen, die IP geht aus deiner Zeichnung nicht hervor.

[nukulaar]

Hallo,

der Tunnelendpunkt bei der Fritzbox ist eigentlich 192.168.178.1.
Ich kenn das eignetlich nur so, dass man die Routen der VPN Tunnel über das ganz normale outside Interface schickt. (Wäre also mit der default Route abgedeckt.)