Routing im VPN Gateway - Subnetze erreichen sich nicht

[der_harry]

Hallo.

Wie im Titel beschrieben habe ich ein VPN Gateway auf den sich sowohl Roadwarrior ohne eigenes Subnetz dahinter verbinden, als auch solche mit Subnetzen. Also UMTS Netbooks und UMTS Router zum Beispiel.

Die sollen sich alle untereinander erreichen können. Das klappt noch nicht so richtig. Ich weiß nicht recht wie ich roten soll.

Das VPN Gateway hat eine öffentlich IP an einem Interface(sagen wir 123.123.123.123). Dann kommen die Clients mit z.B.:

172.32.0.0/24 und 172.32.50.0/24 usw.

Versucht habe ich

route add -net 172.32.0.0 netmask 255.255.0.0 gw 123.123.123.123

Leider klappt das nicht. Wie könnte das aussehen?

 

[remote_mind]

Hallo.
Wie im Titel beschrieben habe ich ein VPN Gateway auf den sich sowohl Roadwarrior ohne eigenes Subnetz dahinter verbinden, als auch solche mit Subnetzen. Also UMTS Netbooks und UMTS Router zum Beispiel.

Was für eine Software hast Du auf dem Gateway denn laufen?

schöne Grüße,
Nils

 

[der_harry]

Oh, ja sorry.

Ich habe

Linux strongSwan U4.3.2/K2.6.32-37-generic-pae

laufen.

Die configs noch:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup

conn %default
        authby=rsasig
        # Left
        left=%defaultroute
        leftid="C=DE, ST=SH, O=O, OU=OU, CN=123.123.123.123"
        leftcert=local-cert.pem
        leftfirewall=yes
        # Right
        rightrsasigkey=%cert
        auto=add

conn rw
        right=%any
        rightsourceip=172.32.0.0/24

conn router05
        right=%any
        rightid="C=DE, ST=SH, O=O, OU=OU, CN=router05"
        rightsourceip=172.32.50.1
        rightsubnet=172.32.50.0/24,172.32.51.0/24,172.32.52.0/24

Die Subnetze des Router05 werden leider nicht alle gesetzt, sondern nur das erste. Schade.

Sinn der Subnetze ist, dass die Router meist mehr als ein Interface haben, also LAN, WLAN, UMTS usw.

 

[remote_mind]

Die Subnetze des Router05 werden leider nicht alle gesetzt, sondern nur das erste. Schade.

Sinn der Subnetze ist, dass die Router meist mehr als ein Interface haben, also LAN, WLAN, UMTS usw.

Also zumindest das ist klar, mehrere Netze bei rightsubnet geht nur mit IKEv2

*edit* Ok, hab quatsch erzählt. IKEv2 ist in strongSwan ja inzwischen default. my bad...

left|rightsubnet = <ip subnet>

private subnet behind the left participant, expressed as network/netmask (actually, any form acceptable to
ttosubnet(3)); if omitted, essentially assumed to be left/32, signifying that the left|right end of the
connection goes to the left|right participant only. When using IKEv2, the configured subnet of the peers
may differ, the protocol narrows it to the greatest common subnet. Further, IKEv2 supports multiple
subnets separated by commas. IKEv1 only interprets the first subnet of such a definition.

Wenn Du deinem Router05 die richtigen Subnetze zuweist ginge es mit einer anderen Netzmaske, also wird aus z.B.

172.32.48.0/24
172.32.49.0/24
172.32.50.0/24
172.32.51.0/24

dann

172.32.48.0/22

(man beachte die /22)

schöne Grüße,
Nils

 

[remote_mind]

route add -net 172.32.0.0 netmask 255.255.0.0 gw 123.123.123.123

Hast Du es mal mit

leftsubnet=172.32.0.0/16

probiert?

 

[der_harry]

Hallo und vielen Dank für Deine Beiträge.

Also das Routing der einzelnen RW untereinander und der Router mit Ihrem ersten Subnets haben sich erledigt. Ich habe scheinbar im Wald gestanden. Das regelt StrongSwan selbst mit der Einstellung leftrightfirewall=yes.

Das mit den Subnetzen eines Routers ist interessant. Deine Notation werde ich noch testen. Wichtig hierbei ist, dass einige der Router leider noch ein embedded Linux mit OpenSwan und IKEv1 benutzen, so dass mir die beschrieben Funktionalität mit mehreren zugewiesenen Subnetzen so nicht zur Verfügung steht. Allerdings Dein letzter Hinweis mit der Maske 22.

Das mit dem leftsubnet habe ich mal ausprobiert. Leider verbindet sich der OpenSwan Router dann nicht mehr. Es ist ja auch so, dass das GW zur Zeit tatsächlich noch kein eigenes Subnetz hat. Also das Netz 172.32.0.0 wird ja durch die RW wie Netbooks und Smartphones gebildet.

Das habe ich nicht sauber beschrieben. Das Gateway hat nur ein interfase eth0. Auf das verbinden alle Teilnehmer. Ich möchte hier noch mehr Dienste integrieren wie DHCP,DNS,WINS. Ich hoffe das ist umsetzbar. Und natürlich sollte das GW ausschließlich Tunnelverkehr zulassen.

Wobei ich zu meiner nächsten Aufgabe komme. An welches Interface binde ich zB den WINS, DNS und DHCP?

Auf das öffentliche? Dann müsste ich mit Hilfe der FW alles andere außer den Tunneln Unterbinden. So meine Annahme.

Oder, ich binde alle Dienste auf das Lokale lo und schaffe es entsprechend zu routen.

Kann das alles gehen? Und wenn welchen Ansatz würdest Du wählen?

 

[der_harry]

Noch kein kleines Bild:

 

[der_harry]

Damit das hier nicht offen bleibt:

Die Subnetze erreichen sich mit strongswan sehrwohl automatisch, wenn sie richtig definiert sind Strongswan setzt die nötigen Routen selbst. Hier die funktionierende Konfiguration unter Strongswan 4.3.X

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup

# Add connections here.

conn %default
        # IKE
        ikelifetime=8h
        keylife=1h
        authby=rsasig
        # Left ----------
        left=%defaultroute
        leftsourceip=172.16.0.1
        leftsubnet=172.16.0.0/16
        leftid="C=CN, ST=PN, O=BLA, OU=FASEL, CN=w.x.y.z"
        leftcert=local-cert.pem
        leftfirewall=yes
        # Right ---------
        right=%any
        rightrsasigkey=%cert
        auto=add

conn rwWIN7 # WIN7 Roadwarrior
        rekey=no
        leftsubnet=0.0.0.0/0
        rightsourceip=172.16.1.0/24

conn router05
        rightid="C=CN, ST=PN, O=BLA, OU=FASEL, CN=router05"
        rightsourceip=172.32.50.1
        rightsubnet=172.32.50.0/24

HINWEIS: Nach einem Update auf Strongswan 4.6.1 funktioniert die Verbindung des Routers, welcher mit Openswan arbeitet so leider nicht mehr. Zur Zeit weis ich nicht warum.

"router05"[39] 2.203.82.12 #39: cannot respond to IPsec SA request because no connection is known for 172.16.0.0/16===w.x.y.z[C=CN, ST=PN, O=BLA, OU=FASEL, CN=78.46.205.196]...2.203.82.12[C=CN, ST=PN, O=BLA, OU=FASEL, CN=router05]===172.32.50.0/24

 

[remote_mind]

Also das Netz 172.32.0.0 wird ja durch die RW wie Netbooks und Smartphones gebildet.

Steh' ich gerade auf dem Schlauch oder muss das 172.16.0.0 heissen?
Der Bereich für die Privaten IP-Adressen ist 172.16.0.0 bis 172.31.255.255

Wobei ich zu meiner nächsten Aufgabe komme. An welches Interface binde ich zB den WINS, DNS und DHCP?

Auf das öffentliche? Dann müsste ich mit Hilfe der FW alles andere außer den Tunneln Unterbinden. So meine Annahme.

Oder, ich binde alle Dienste auf das Lokale lo und schaffe es entsprechend zu routen.

Mit dem loopback kommst Du da nicht weit, WINS und DNS musst Du schon auf eth0 packen, wenn das auf dem Gateway laufen soll.

DHCP ist noch wieder eine ganz andere Kiste - da musst Du mit Relays arbeiten oder lokal auslagern, denn DHCP geht normalerweise nur innerhalb einer broadcast domain, in der Regel also bis zum nächsten Router...

schöne Grüße,
Nils