Hallo,
bin ein wenig verzweifelt und total Planlos. Ausgangssituation ist ein IPSec Site2Site Szenario mit Strongswan und Ubuntu 16.04 als Gates und Hosts unter Virtualbox.
Links wären das:
Host 1 IP 10.10.10.2, Gateway 10.10.10.1, Netz 24 IPSec Gate IP 10.10.10.1 /Netz 24 Extern IP 192.168.128.1 /Netz 24
und rechts
Host 1 IP 10.10.20.2, Gateway 10.10.20.1, Netz 24 IPSec Gate IP 10.10.20.1 /Netz 24 Extern IP 192.168.128.2 /Netz 24
Die jeweilige Hosts erreichen ihre Gates - beide Adressen sind anpingbar.
Auf den IPSec Gates ist nach https://www.strongswan.org/testing/testresults/ikev2/net2net-psk/ eine passende ipsec.conf vorhanden
config setup charondebug="3" conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 authby=secret keyexchange=ikev2 mobike=no conn net-net left=192.168.128.1 leftsubnet=10.10.10.0/24 leftid=@sitea leftfirewall=yes right=192.168.128.2 rightsubnet=10.10.20.0/24 rightid=@siteb auto=start
Die andere Seite entsprechend umgekehrt. Die Verbindung wird auch anstandslog aufgebaut. Ping von 10.10.10.1 zu 10.10.20.1 geht. Ein Ttcpdump auf der "extern" Netzkarte zeigt auch schön die ESP Packete.
Die Route in Tabelle 220 wird wie in dem Wiki Beispiel gesetzt, Statusall passt zu dem Bespiel. Die IPTables unterscheiden sich jedoch, hier wird nur der Forward Eintrag erzeugt
Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1 84 ACCEPT all -- eth0 * 10.10.20.0/24 10.10.10.0/24 policy match dir in pol ipsec reqid 1 proto 50 1 84 ACCEPT all -- * eth0 10.10.10.0/24 10.10.20.0/24 policy match dir out pol ipsec reqid 1 proto 50
Das Problem das hier besteht und das ich nicht so wirklich verstehe - was fehlt oder was ist hier falsch denn die Hosts zwischen den beiden Seiten können sich gegenseitig nicht erreichen.
Danke schon mal.