Hallo Leute,
ich bin ganz neu im Thema VPN, IPSec und was eben so dazu gehört: route, iptables, usw...
Ich habe das Netzwerkszenario wie im Anhang gezeichnet. Und es geht um die Konfiguration des IPSec Servers, der in der Abbildung die lokale IP 192.168.1.200 (eth0) und die externe statische IP 176.94.x.x (eth1) hat. Die Konfiguration von strongswan in der /etc/ipsec.conf sieht aktuell so aus:
config setup charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default conn union left=176.94.x.x leftsubnet=10.100.1.0/24 leftsourceip=10.100.1.1 leftfirewall=yes right=83.136.y.y rightsubnet=10.251.0.0/16 auto=add ikelifetime=24h lifetime=1h type=tunnel lifebytes=4718592000 ike=aes256-sha256-modp2048 esp=aes256-sha256-modp2048 authby=psk keyexchange=ikev1 lefthostaccess=yes
Um über IKE Phase 2 hinweg zu kommen, habe ich eth0 aktuell testweise die statische IP 10.100.1.1 zugewiesen. Wenn ich ipsec starte und den Tunnel etabliere, sieht das so aus:
root@vpn-server:/etc# ipsec start Starting strongSwan 5.1.2 IPsec [starter]... root@vpn-server:/etc# ipsec up union initiating Main Mode IKE_SA union[1] to 83.136.y.y generating ID_PROT request 0 [ SA V V V V ] sending packet: from 176.94.x.x[500] to 83.136.y.y[500] (196 bytes) received packet: from 83.136.y.y[500] to 176.94.x.x[500] (108 bytes) parsed ID_PROT response 0 [ SA V ] received NAT-T (RFC 3947) vendor ID generating ID_PROT request 0 [ KE No NAT-D NAT-D ] sending packet: from 176.94.x.x[500] to 83.136.y.y[500] (396 bytes) received packet: from 83.136.y.y[500] to 176.94.x.x[500] (456 bytes) parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ] received Cisco Unity vendor ID received DPD vendor ID received unknown vendor ID: 75:37:a8:c7:41:38:10:34:c1:cb:a6:d7:1c:eb:30:08 received XAuth vendor ID generating ID_PROT request 0 [ ID HASH ] sending packet: from 176.94.x.x[500] to 83.136.y.y[500] (92 bytes) received packet: from 83.136.y.y[500] to 176.94.x.x[500] (92 bytes) parsed ID_PROT response 0 [ ID HASH ] IKE_SA union[1] established between 176.94.x.x[176.94.x.x]...83.136.y.y[83.136.y.y] scheduling reauthentication in 85361s maximum IKE_SA lifetime 85901s generating TRANSACTION request 1949550523 [ HASH CPRQ(ADDR DNS) ] sending packet: from 176.94.x.x[500] to 83.136.y.y[500] (92 bytes) received packet: from 83.136.y.y[500] to 176.94.x.x[500] (108 bytes) parsed INFORMATIONAL_V1 request 2783919512 [ HASH D ] received DELETE for IKE_SA union[1] deleting IKE_SA union[1] between 176.94.x.x[176.94.x.x]...83.136.y.y[83.136.y.y] initiating Main Mode IKE_SA union[2] to 83.136.y.y generating ID_PROT request 0 [ SA V V V V ] sending packet: from 176.94.x.x[500] to 83.136.y.y[500] (196 bytes) connection 'union' established successfully
Ich kann davon ausgehen, dass auf der anderen Seite alles entsprechend eingerichtet ist und ich einen anderen PC dort über eine IP im Subnet 10.251.0.0/16 anpingen kann, wenn ich auf meiner Seite alles richtig gemacht habe. Jetzt dazu, wie ich es gerne auf meiner Seite hätte. Ich würde gerne den IPSec Server auf meiner Seite so einrichten, dass ich über ihn auf das Subnet auf der Gegenseite zugreifen kann. Dazu muss ein PC im internen LAN den IPSec Server als Gateway nutzen und sich selbst eine IP im Bereich 10.100.1.0/24 geben. Ich dachte eigentlich, dass ipsec automatisch ein virtuelles Interface erstellt, ähnlich wie es openvpn tut, aber dem scheint nicht so zu sein. Ich weiß auch nicht, wo ich jetzt anfangen muss m das hinzukriegen. Denn eigentlich will ich ja, dass IPSec Server auf eth0 die IP-Adresse 192.168.1.200 hat. Ich stehe da einfach auf dem Schlauch, weil ich da nicht richtig dahinter blicke, an was ich nun alles denken muss. Ich hab das an der Uni nie so praktisch gelernt, da dort nur trockene Theorie vermittelt wird. Ihr könnt bei euren Antworten also davon ausgehen, dass ein wenig Grundverständnis da ist.
Ich würde mich freuen, wenn mir da jemand helfen kann. Alternativlösungsvorschläge sind natürlich auch willkommen, openswan vielleicht? Danke!