[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[luga] ipsec/freeswan (war ipsec + cisco)



Hallo !

Hab jetzt mal meine freeswan Konfiguration soweit am laufen, dass ich von
einem protected-subnet ins andere komme - nur stehe ich jetzt vor einem
weiteren Problem:


Habe jetzt mal folgende Konfig:

10.128.0.0/24   left protected subnet
   |
 10.128.9.1
   Linux-Box
 10.99.0.2
   |
 10.99.0.1
   Cisco (macht NAT)
 a.b.c.d
   |

   |
 e.f.g.h
   Linux-Server
 10.0.16.68
   |
10.0.16.64/22


also ein Ping/SSH zb. von 10.0.16.70 auf 10.129.0.1 funktioniert.

Das Problem ist jetzt aber, dass die Linux-Box Verbindungen nach
10.0.16.70 aufbauen muss (die Verschluesselt sein sollen). Natuerlich
nimmt dann die Linux-Box 10.99.0.2 als Absenderadresse. Die wird dann auf
a.b.c.d geNATed ... hmmm ... am Linux Server meldet klips dann nur mehr:
Jan 28 11:22:26 fwext1 kernel: klips_debug:rj_match: * See if we match
exactly as a host destination 
klips_debug:rj_match: ** try to match a leaf, t=0xc59b1ca0 
klips_debug:rj_match: *** start searching up the tree, t=0xc59b1ca0 
klips_debug:rj_match: **** t=0xc59b1cb8 
klips_debug:rj_match: **** t=0xc483ef40 
klips_debug:rj_match: ***** cp2=0xc64f1618 cp3=0xc108b950 
klips_debug:rj_match: ***** not found. 

(Laut Google) heisst dass soviel wie: klips findet keine passende
ipsec-Verbindung (was sich auch dadurch aeussert, dass keinerlei
ESP-Pakete verschickt werden).

Eigentlich muesste ich dem Kernel sagen, dass auch alles von 10.99.0.2
verschluesselt werden soll (oder besser: alles ausser isakmp und esp) -
(10.99.0.2 wird aber dann aber auf eine oeffentliche IP-Adesse gemappt?)

Besser waere es, wenn ich auf der Linux-Box irgendwie sagen kann, dass
outgoing Connections 10.129.0.1 als Absenderadresse nehmen sollen - nur
kann man das global einstellen?

Wie loest ihr das Problem wenn Outgoing-Connections vom ipsec Rechner auch
durch den Tunnel sollen???


Liebe Gruesse, Schroettner Robert

|   Schroettner Robert
|   IT-Services
|   Eurodata Datenverarbeitungsdienst Ges.m.b.H.
|   Tel:  +43-1-7747076-51 +43-664-4345798    __   _
|         +43-664-4345798                    / /  (_)__  __ ____  __ 
|   Fax:  +43-1-7747076-12                  / /__/ / _ \/ // /\ \/ /
|   WWW:  http://www.ednet.at              /____/_/_//_/\_,_/ /_/\_\
|                                                    TUX for President
|   EURODATA - WIEN - PRAG - BRUENN - BUDAPEST

---------- Forwarded message ----------
Date: Thu, 24 Jan 2002 16:28:47 +0100 (CET)
From: rs@ednet.at
To: Linux Lovers Liste <lll@radawana.cg.tuwien.ac.at>
Subject: [lll]: ipsec + cisco (OT)

Hallo !

Weiss, is zwar Offtopic aber vielleicht hat ja trotzdem wer eine Idee:

Ich stehe vor dem Problem, dass ich 2 Linux-Rechner via IPSEC (freeswan)
verbinden muss - und zwar ueber einen Cisco-Router, der Dial-In macht und
nur eine (statische) IP-Adresse bekommt.

Dh. folgende Konfiguration:

---[10.129.0.1/24 Linux1 10.99.0.2]--[10.99.0.1 CISCO fix-ip]-..-[Linux2]

Zuerst hab ich mal am Cisco folgende Eintraege gemacht:

interface Ethernet0
 ip nat inside
!
interface Bri0
 ip nat outside
!
ip nat inside source static 10.99.0.2 fix-ip
ip nat inside source static tcp 10.99.0.1 23 fix-ip 23 no-alias

So wird der ganze Traffic an Linux1 weitergeleitet, bis auf Telnet, das
landet am Router.

Was mir fehlt ist eine Regel der Art:
 ip nat inside source static icmp 10.99.0.1 fix-ip
damit ich den Router auch Pingen kann. oder noch besser:
 ip nat inside source static ipsec 10.99.0.1 fix-ip
damit nur ipsec durch's nat wandert - gibts scheinbar leider beides in IOS
12.0 nicht :-(((

Ausserdem waere es noch nett, wenn am Cisco in der Konfig nirgends die
fix-ip aufscheinen wuerde. Also zb. Eintraege der Art:

ip nat inside source static ipsec 10.99.0.2 Dialer1

Dh. IPSEC-Pakete von 10.99.0.2 sollen auf die IP-Adresse von Dialer1
gemappt werden.

Ist sowas moeglich? Hat vielleicht wer einen Tipp?

Liebe Gruessen, Schroettner Robert

|   Schroettner Robert
|   IT-Services
|   Eurodata Datenverarbeitungsdienst Ges.m.b.H.
|   Tel:  +43-1-7747076-51 +43-664-4345798    __   _
|         +43-664-4345798                    / /  (_)__  __ ____  __ 
|   Fax:  +43-1-7747076-12                  / /__/ / _ \/ // /\ \/ /
|   WWW:  http://www.ednet.at              /____/_/_//_/\_,_/ /_/\_\
|                                                    TUX for President
|   EURODATA - WIEN - PRAG - BRUENN - BUDAPEST


______________________________________________________________________________

Schreib an die Liste unter: lll@radawana.cg.tuwien.ac.at
Fragen, Probleme: MajorDomo@radawana.cg.tuwien.ac.at 'help' im BODY
FAQ, Archiv: http://radawana.cg.tuwien.ac.at/lll/
______________________________________________________________________________




powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010