Ronny Seffner ronny@seffner.de (Mon Nov 21 10:01:13 2011):
Hallo Gruppe,
ich richte hier gerade mein erstes IPsec VPN mittels openswan unter debian zu einer Fortigate ein. Nach einigen beidseitigen Konfigurationsanpassungen kann ich nun von einem Client _hinter_ meinem openswan Gatewway die Fortigate und Clients dahinter an pingen. Was nicht geht, ist, dass mein gateway da drüben irgendwas erreicht.
Du mußt das extra in die Information über die zu tunnelnden Netze mit aufnehnen, wenn Du einen Tunnel auch von Gateway zu Gateway haben möchtest. Jedenfalls war das früher so, und ich meine, es wird sich nicht geändert haben.
selbst nachgehen, aber ich verstehe nicht wie Pakete überhaupt die andere Seite finden:
- ich habe gar keine Route in das Clientnetz
- openswan hat keine interfaces a la tunX oder so aufgesetzt
M.W. hängt sich das alles so tief und böse in den Netzwerkstack, daß genau der beschriebene Effekt auftaucht. Ich weiß nicht, ob „eroute“ damit etwas zu tun hat, ist jetzt mal geraten, und vielleicht mache ich mich damit auch lächerlich ☺ -- ich glaube, damit konnte man etwas von IPSec erfahren…
Bei diesem Zustand kann mein Client aber problemlos per ping und RDP auf Rechner der anderen Seite zugreifen.
Sind doch mindestens 80% Deiner Wünsche, oder?
Kann man openswan irgendwie beibringen als Tunnelende ein Interface aufzusetzen, damit ich besser mit iptables und tcpdump arbeiten kann?
Spätestens an dieser Stelle würde ich über OpenVPN nachdenken ☺ OpenVPN kommt mir wesentlich schmerzärmer in der Anwendung vor.
Btw. Nach unbestimmter Zeit bricht der Tunnel zusammen und muss mittels 'ipsec restart' neu verbunden werden, gibt es da einen üblichen Verdächtigen, den ich mir anschauen muss?
Wechsel der IP auf einer Seite?