isakmpd och routing/NAT....
Anders Troback
freebsd at troback.com
Mon Oct 26 13:35:13 CET 2009
Hej,
nu är det dax att terrorisera er lite igen:-)
För den som missat det tidigare i listan så har jag brottats lite med
ipsec och löste det mesta med hjälp av OpenBSD's isakmpd och tunnlarna
funkar jätte bra, men...jag har ett litet problem med att få trafiken
att flöda på ett smart sätt pga. routing. Ska försöka förklara!
Jag har ett nät som ska nås utifrån av personal som ska kunna jobba
från sitt hem. Nätet de ska nå är 10.1.0.0/17 och de gör de via en
OpenBSD burk som har IP 1.2.3.4. Tanken är sedan att användarana
startar en OpenBSD burk hemma och kopplar upp sig. Det som gör att
jag får lite problem är att jag inte vet vilket nät de kommer ifrån
och jag vill inte behöva tänka på det heller så att de är fria att
ta med sig sin OpenBSD vart de än vill åka plus att jag inte vill
administrera deras hemma nät!
1.2.3.4 sitter "sidan om" brändväggen som även är default gw till
10.1.0.0/17 nätet. För att kunna förklara så utgår jag från att
användaren kopplar upp sig från 192.168.0.1 bakom en NAT:ad brändvägg!
Så till själva problemet, när man kopplar upp sig och skickar en
tex. en ping till 10.1.0.1 så kommer begäran fram till målet men
eftersom 10.1.0.1 inte känner till 192.168.0.1 så den skickar det till
default gw som försöker skicka ut det på Internet! Visst jag kan sätta
en statisk route till 192.168.0.0/24 i min gw men jag vet ju inte att
de alltid kommer från 192.168.0.0, de man ju komma från en svart
adress eller från ett helt annat när som tex. 172.16.0.0 eller så!
Min ipsec.conf på 1.2.3.4 ser ut så här (nästan iaf;-)):
ike passive esp from 10.1.0.0/17 to any srcid vpn.bus.org
Och på mina klienter har en ipsec.conf som ser ut så här:
ike esp from egress to 10.1.0.0/17 peer 1.2.3.4 \
srcid anders at bus.org dstid vpn.bus.org
Känns inte som om jag är den enda som har problemet så det är nog
bara jag som missat någon! Tacksam för alla tips och råd!
Mvh,
Anders Trobäck
--
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.
More information about the BUS
mailing list