SNAT in IPsec Tunnel mit policy match
Stephan Wienczny
Stephan at wienczny.de
Wed Aug 27 21:06:36 CEST 2008
On Wednesday 27 August 2008 08:58:17 Markus Wigge wrote:
> Moin,
>
> > [Ab hier bin ich raus :)]
> >
> >> Ziel ist es halt, dass vom lokalen Netz auf das Remote-Netzwerk
> >> zugegriffen werden kann...
> >>
> >> Hat da noch jemand eine schlaue Idee?
> >
> > OpenVPN? ;)
>
> wenn ich da Einfluss drauf hätte, würde ich net-to-net IPsec machen,
> aber die Remote-Seite will die lokalen Adressen nicht routen
> (verständlich, da es ein non-RFC1918 Netz ist, das nicht mal eben
> schnell renumbered werden kann).
> Abgesehen davon handelt es sich auf Remote-Seite um eine Checkpoint, die
> spricht wohl kein OpenVPN...
>
> /Markus
Wenn du die lokalen Adressen nicht routen möchtest musst du folgendes bauen:
NETZ1 - Router - Transfernetz - Router - NETZ2
Das Transfernetz könnte zum Beispiel das Internet sein. Für das Interface das
da drin hängt sollte IP-SEC an sein und zwar im Transportmodus. Daher ist das
keine IP-Tables geschichte sondern eher eine Frage des Routings.
Pro Richtung kannst (und solltest du) bei IP-Sec verschiedene Keys verwenden.
Egal was du machst du musst beide Richtungen definieren ;-)
So ungefähr sollte die ipsec.conf aussehen:
# spdadd src dst proto -P dir [pri] (discard|none|ipsec...)
#
spdadd 192.168.23.0/24 192.168.42.0/24 any -P out ipsec
esp/tunnel/192.168.33.23-192.168.33.42/require;
spdadd 192.168.42.0/24 192.168.23.0/24 any -P in ipsec
esp/tunnel/192.168.33.42-192.168.33.23/require;
Ich hab da ein kleines PDF in dem das alles mit Konfigurationsdateien, Routen
usw. steht...
Stephan
More information about the Linux
mailing list