IPsec: Tunnelverbindung mit mehreren Subnetzen

Criena · Beitrag von **Criena** » 03.11.2005 11:27:21

Hallo Leute.

Habe hier ein Problem mit dem verbinden zweier Standorte. Einer der Standorte hat neben dem Produktionsnetz noch eine DMZ.

Nachdem der Tunnel schon seit einiger Zeit klaglos seinen Dienst verrichtet, kam der Wunsch auf, daß der entfernte Standort auch auf die DMZ des lokalen Stanorts zugreifen können soll.
Ursprünglich wußte ich nicht wie das elegant realisierbar ist, bis ich dann einsehen mußte, daß es leider nicht elegant geht. "Unelegant" war die Idee zwei Tunnel aufbauen zu lassen: Prod1 <-> Prod2 und DMZ1 <-> Prod2.
Das hatte ich damals mit FreeSwan ausprobiert. Mit dem Ergebnis, daß entweder der eine Tunnel funktionierte, oder der andere. Je nachdem welcher zuerst aufgebaut wurde. Der andere blieb tot.

Nun bin ich auf racoon gewechselt, in der Hoffnung, daß alles leichter wird und sich der Wunsch realisieren läßt. Leider entsteht hier der selbe Effekt und will mich damit nun nicht mehr abfinden.

In der racoon.conf habe ich für diesen Zweck, nicht wie bei FreeSwan einen zweiten Tunnel definiert, sondern lediglich einen zweiten sainfo-Eintrag angelegt (und in der setkey.conf steht auch eine entsprechende zweite Definition).

Meine Überlegungen sind nun: Geht es überhaupt? Geht es so, wie ich es dachte? Was mache ich falsch?

Vielleicht kann mir jemand bei diesen Überlegungen helfen...

Grüße,
Criena

chrissla · Beitrag von **chrissla** » 06.11.2005 14:24:53

hi criena.

ich habe racoon selbst noch nicht benutzt. aber wenn du deine ipsec.conf anpasst dürfte das kein problem sein:

http://nopaste.debianforum.de/1535

du musst das 2te erreichbare netz einfach als linkname_2 anlegen. dann hast du einen link und mehrere erreichbare netze darüber(in meinem beispiel sind die netze 192.168.1.0 und 192.168.2.0 erreichbar). das ist auch beliebig nach obenhin anpassbar.

ich hoffe das hilft dir weiter.

gruss chris

jacky · Beitrag von **jacky** » 06.11.2005 16:56:46

also 2 tunnel mit racoon funktionieren. hab das hier mit 2 verschiedenen orten laufen. der router in der firma muss halt nun auch die DMZ weiterleiten und dafür auch eine config haben (hab ich selbst zwar noch nicht probiert, sollte aber auch einfach machbar sein)

chrissla · Beitrag von **chrissla** » 06.11.2005 20:50:40

du brauchst doch nur einen link. darin dann eben das dmz netz und das localnet erreichbar. die routen müssen auf dem vpngateway dann eben bekannt sein.

gruss chris

Criena · Beitrag von **Criena** » 08.11.2005 16:54:17

Ist mir nicht ganz klar was ich nun anpassen muß.

Der entsprechende Ausschnitt aus der racoon.conf schaut folgendermaßen aus:

Code: Alles auswählen

remote ext.IP.von.Standort2 {
        exchange_mode main;
        proposal {
                encryption_algorithmus aes;
                hash_algorithmus sha2_256;
                authentication_method pre_shared_key;
                dh_group modp1536;
        }
}

sainfo address Prod1/24 any address Prod2/24 any {
        pfs_group modp1536;
        encryption_algorithmus aes;
        authentication_algorithmus hmac_sha1;
        compression_algorithm deflate;
}

Und die setkey.conf enthält folgendes:

Code: Alles auswählen

#!/usr/sbin/setkey -f

# Loesche die SAD und SPD
flush;
spdflush;

spdadd Prod2/24 Prod1/16 any -P in ipsec
    esp/tunnel/ext.IP.von.Standort2-ext.IP.von.Standort1/require;
spdadd Prod1/24 Prod2/24 any -P out ipsec
    esp/tunnel/ext.IP.von.Standort1-ext.IP.von.Standort2/require;

Wie gesagt, ein Versuch einfach ein weiteres sainfo und entsprechende spdadd Einträge anzufügen, schlug fehl.