Re: UPC / DMZ / IPFire
Verfasst: Fr 04 Dez, 2015 12:01hallo beneheld,
>"...Ich kann jeweils vom einen Netz den Host des anderen Netzes anpingen - die Geräte dahinter jedoch nicht..."
ich geh mal davon aus, das du mit "Host" den ipsec peer meinst.
da deine beschreibungen nicht sehr genau sind, kann ich mir nur 2 szenarien vorstellen:
1. die forward chain blockt den getunnelten traffic:
bei s2s hast du z.b.:
auf der linken seite das lan: 10.0.0.0/24
auf der rechten seite das lan: 10.0.1.0/24
security policy somit: 10.0.0.0/24 <-> 10.0.1.0/24
dann brauchst du in der forward chain auf der linken seite die regel (wobei ich jetzt davon ausgehe, daß du den enddropper über die policy schauckelst und net explizit setzt):
und auf der rechten seite natürlich genau die umgekehrte regel:
2. auf der kritischen seite gilt: gate != ipsec-gate, wobei das ipsec-gate nicht nachgeschaltet ist, sondern als stub im netz des gate hängt:
also z.b.:
du hast auf der rechten seite das gate 10.0.1.1/24 und an dem router ist das ipsec-gate mit der ip 10.0.1.2/24 über einen lanport verbunden. die rechner im rechten lan haben natürlich eine default route via 10.0.1.1 gesetzt, und wenn jetzt ein packerl aus dem linken netz mit der src-ip 10.0.0.x daherkommt, geht die antwort klarerweise zum 10.0.1.1, der aber nicht den tunnel terminiert, womit die ganze gschicht hoffnungslos schiefgeht.
du mußt also auf allen rechnern im rechten lan eine netzroute fürs linke lan via 10.0.1.2 setzen:
und für die firewall gilt das im abschnitt 1 gesagte.
>"...wie bringe ich das eine Ende des Tunnels dazu, allen Traffic über das IPSec zu tunneln, damit es am anderen Ende rauskommt? Sprich ich möchte von ausserhalb über den Tunnel über meinen Anschluss daheim surfen..."
korrigier mich, wenn ich jetzt falsch lieg, aber ich begreif deine beschreibung so:
- grundsituation is s2s.
- und du möchtest hausnummer auf der linken seite nicht direkt über den inet access der linken seite ins netz gehen, sondern den traffic der linken seite durch den ipsec-tunnel schieben und danach über den inet access der rechten seite ins netz gehen. wir reden also wirklich über biederes s2s und net über road warrior/mode config, tunnel hopping, dynamische tunnel-/firewall-konfigs oder ähnliche spielchen, auf die meine leute (der riddik z.b.
) so stehen?
wenn ja, dann einfach die security policy ändern von...
- 10.0.0.0/24 <-> 10.0.1.0/24
...auf
- 10.0.0.0/24 <-> 0.0.0.0/0
- forward chain auf der rechten seite fürs lan der linken seite öffnen:
einen kleinen epilog gibts natürlich auch:
falls an den beiden enden deines tunnels keine gerouteten netze im spiel sind, kannst du die forward chains auf beiden seiten komplett ausräumen, weil sie eh net zum zug kommen. eh klar, oder? und wenn 'ne forward chain leer is, gibts keinen zoff mim forwarding des tunnelled traffic...
kleinem,
>"...Über diesen Tunnel musst du dann eine Route ins jeweils andere Netz und umgekehrt setzen.."
nein, bei ipsec ist das nicht notwenig, weil die gschicht über sie security policy erledigt wird. bei andren vpn-tunnels- ovpn, l2tp, pptp...- aber schon, weils dort keine security policy gibt...
lg
zid
>"...Ich kann jeweils vom einen Netz den Host des anderen Netzes anpingen - die Geräte dahinter jedoch nicht..."
ich geh mal davon aus, das du mit "Host" den ipsec peer meinst.
da deine beschreibungen nicht sehr genau sind, kann ich mir nur 2 szenarien vorstellen:
1. die forward chain blockt den getunnelten traffic:
bei s2s hast du z.b.:
auf der linken seite das lan: 10.0.0.0/24
auf der rechten seite das lan: 10.0.1.0/24
security policy somit: 10.0.0.0/24 <-> 10.0.1.0/24
dann brauchst du in der forward chain auf der linken seite die regel (wobei ich jetzt davon ausgehe, daß du den enddropper über die policy schauckelst und net explizit setzt):
- Code: Alles auswählen
iptables -A FORWARD -s 10.0.1.0/24 -d 10.0.0.0/24 -j ACCEPT
und auf der rechten seite natürlich genau die umgekehrte regel:
- Code: Alles auswählen
iptables -A FORWARD -s 10.0.0.0/24 -d 10.0.1.0/24 -j ACCEPT
2. auf der kritischen seite gilt: gate != ipsec-gate, wobei das ipsec-gate nicht nachgeschaltet ist, sondern als stub im netz des gate hängt:
also z.b.:
du hast auf der rechten seite das gate 10.0.1.1/24 und an dem router ist das ipsec-gate mit der ip 10.0.1.2/24 über einen lanport verbunden. die rechner im rechten lan haben natürlich eine default route via 10.0.1.1 gesetzt, und wenn jetzt ein packerl aus dem linken netz mit der src-ip 10.0.0.x daherkommt, geht die antwort klarerweise zum 10.0.1.1, der aber nicht den tunnel terminiert, womit die ganze gschicht hoffnungslos schiefgeht.
du mußt also auf allen rechnern im rechten lan eine netzroute fürs linke lan via 10.0.1.2 setzen:
- Code: Alles auswählen
ip r a 10.0.0.0/24 via 10.0.1.2
und für die firewall gilt das im abschnitt 1 gesagte.
>"...wie bringe ich das eine Ende des Tunnels dazu, allen Traffic über das IPSec zu tunneln, damit es am anderen Ende rauskommt? Sprich ich möchte von ausserhalb über den Tunnel über meinen Anschluss daheim surfen..."
korrigier mich, wenn ich jetzt falsch lieg, aber ich begreif deine beschreibung so:
- grundsituation is s2s.
- und du möchtest hausnummer auf der linken seite nicht direkt über den inet access der linken seite ins netz gehen, sondern den traffic der linken seite durch den ipsec-tunnel schieben und danach über den inet access der rechten seite ins netz gehen. wir reden also wirklich über biederes s2s und net über road warrior/mode config, tunnel hopping, dynamische tunnel-/firewall-konfigs oder ähnliche spielchen, auf die meine leute (der riddik z.b.
) so stehen?wenn ja, dann einfach die security policy ändern von...
- 10.0.0.0/24 <-> 10.0.1.0/24
...auf
- 10.0.0.0/24 <-> 0.0.0.0/0
- forward chain auf der rechten seite fürs lan der linken seite öffnen:
- Code: Alles auswählen
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
einen kleinen epilog gibts natürlich auch:
falls an den beiden enden deines tunnels keine gerouteten netze im spiel sind, kannst du die forward chains auf beiden seiten komplett ausräumen, weil sie eh net zum zug kommen. eh klar, oder? und wenn 'ne forward chain leer is, gibts keinen zoff mim forwarding des tunnelled traffic...
kleinem,
>"...Über diesen Tunnel musst du dann eine Route ins jeweils andere Netz und umgekehrt setzen.."
nein, bei ipsec ist das nicht notwenig, weil die gschicht über sie security policy erledigt wird. bei andren vpn-tunnels- ovpn, l2tp, pptp...- aber schon, weils dort keine security policy gibt...
lg
zid
