ipsec-client mit dynamischer IP

[Markus Wigge]

Tag,

>> wenn ich mit einem Client mit dynamischer IP eine IPSec-Verbindung zu   
>> meinem
>> IPSec-Server aufnehmen will, klappt das schon ganz gut.
>>
>> Leider habe ich noch keine "einfache Lösung" gefunden dem Client, der  
>> seine
>> IP über dhcp bezieht, passende Policy-Regeln zu verpassen.
>> setkey erwartet IPs in der Config und die ändern sich ja gelegentlich..
>>
> Kann der dhcp-Server static dhcp anbieten, oder steht der bei einem isp,  
> der mehr Kunden als IPs hat?

Klar kann ich das einrichten, der Server steht bei mir in der Besenkammer,
nur will ich keine statischen IPs über DHCP verteilen, da mir dann der  
ganze
Vorteil von DHCP wieder flöten geht...

Mein DHCP verteilt dynamisch und aktualisert den lokalen Bind entsprechend
dem Hostnamen den der Client mitliefert.

Ich habe noch ein wenig rumprobiert und verwende jetzt auf der Client-Seite
nicht mehr den racoon, sondern openswan.
Bei openswan kann ich für die lokale Seite das default-gw konfigurieren.
So eine Option fehlt mir bei racoon leider noch... die Config von racoon  
finde
ich nämlich deutlich lesbarer.

Das ganze läuft übrigens vor dem Hintergrund ein WLAN mit IPSec  
abzusichern.
Ich habe mir den Linksys WRT54G besorgt und mit OpenWRT versorgt.
Damit kann ich die "Switch-Ports" einzeln konfigurieren und lasse  
Verbindungen
ins Internet nur von dem LAN-Port zu.
Port 2 stellt die WLAN/LAN Bridge zur Verfügung und ist direkt mit meinem
IPSec-Server verbunden, der ein zweites Interface ins lokale Netz hat.

WLAN-Clients (natürlich mit WEP etc.) bekommen automagisch eine IP aus dem  
WLAN
Netz, haben aber sonst keine Möglichkeiten was kaputt zu machen.
Dazu müssen die erst eine IPSec Verbindung herstellen und werden fortan ins
normale LAN geroutet und natürlich wieder hinaus...

Funktioniert soweit alles schon ganz gut.

Falls jemand Interesse an dem Setup hat kann ich das ja mal genauer  
dokumentieren
sobald ich alle Bugs beseitigt habe ;-)

so far,
   Markus