Hallo Gruppe,
ich richte hier gerade mein erstes IPsec VPN mittels openswan unter debian zu einer Fortigate ein. Nach einigen beidseitigen Konfigurationsanpassungen kann ich nun von einem Client _hinter_ meinem openswan Gatewway die Fortigate und Clients dahinter an pingen. Was nicht geht, ist, dass mein gateway da drüben irgendwas erreicht. Nun würde ich dem ja liebend gern selbst nachgehen, aber ich verstehe nicht wie Pakete überhaupt die andere Seite finden:
- ich habe gar keine Route in das Clientnetz - openswan hat keine interfaces a la tunX oder so aufgesetzt
Bei diesem Zustand kann mein Client aber problemlos per ping und RDP auf Rechner der anderen Seite zugreifen.
Kann man openswan irgendwie beibringen als Tunnelende ein Interface aufzusetzen, damit ich besser mit iptables und tcpdump arbeiten kann?
Btw. Nach unbestimmter Zeit bricht der Tunnel zusammen und muss mittels 'ipsec restart' neu verbunden werden, gibt es da einen üblichen Verdächtigen, den ich mir anschauen muss?
Mit freundlichen Grüßen / Kind regards Ronny Seffner
Ronny Seffner ronny@seffner.de (Mon Nov 21 10:01:13 2011):
Hallo Gruppe,
ich richte hier gerade mein erstes IPsec VPN mittels openswan unter debian zu einer Fortigate ein. Nach einigen beidseitigen Konfigurationsanpassungen kann ich nun von einem Client _hinter_ meinem openswan Gatewway die Fortigate und Clients dahinter an pingen. Was nicht geht, ist, dass mein gateway da drüben irgendwas erreicht.
Du mußt das extra in die Information über die zu tunnelnden Netze mit aufnehnen, wenn Du einen Tunnel auch von Gateway zu Gateway haben möchtest. Jedenfalls war das früher so, und ich meine, es wird sich nicht geändert haben.
selbst nachgehen, aber ich verstehe nicht wie Pakete überhaupt die andere Seite finden:
- ich habe gar keine Route in das Clientnetz
- openswan hat keine interfaces a la tunX oder so aufgesetzt
M.W. hängt sich das alles so tief und böse in den Netzwerkstack, daß genau der beschriebene Effekt auftaucht. Ich weiß nicht, ob „eroute“ damit etwas zu tun hat, ist jetzt mal geraten, und vielleicht mache ich mich damit auch lächerlich ☺ -- ich glaube, damit konnte man etwas von IPSec erfahren…
Bei diesem Zustand kann mein Client aber problemlos per ping und RDP auf Rechner der anderen Seite zugreifen.
Sind doch mindestens 80% Deiner Wünsche, oder?
Kann man openswan irgendwie beibringen als Tunnelende ein Interface aufzusetzen, damit ich besser mit iptables und tcpdump arbeiten kann?
Spätestens an dieser Stelle würde ich über OpenVPN nachdenken ☺ OpenVPN kommt mir wesentlich schmerzärmer in der Anwendung vor.
Btw. Nach unbestimmter Zeit bricht der Tunnel zusammen und muss mittels 'ipsec restart' neu verbunden werden, gibt es da einen üblichen Verdächtigen, den ich mir anschauen muss?
Wechsel der IP auf einer Seite?
Hallo Heiko,
Du mußt das extra in die Information über die zu tunnelnden Netze mit aufnehnen, wenn Du einen Tunnel auch von Gateway zu Gateway haben
Auf den Teil der Doku bin ich noch nicht gestossen, aber eine route hat mir geholfen. Ins Zielnetz ohne Gateway auf meinem externen Interface. Was mich daran irritiert: diese Funktion sollte die default route doch auch abbilden?
[...] 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 10.63.110.0 0.0.0.0 255.255.255.0 U 0 0 0 ppp0 [...]
genau der beschriebene Effekt auftaucht. Ich weiß nicht, ob „eroute“
Oh, was Neues für mich ...
Sind doch mindestens 80% Deiner Wünsche, oder?
Naja, wenn "Verstehen wie es geht" und Fehlerqualifizierung nur 20% ausmachen ;-)
Spätestens an dieser Stelle würde ich über OpenVPN nachdenken ☺ OpenVPN kommt mir wesentlich schmerzärmer in der Anwendung vor.
Ich nehme doch wo ich kann open VPN, hier will es der Partner unbedingt anders.
Btw. Nach unbestimmter Zeit bricht der Tunnel zusammen und muss mittels 'ipsec restart' neu verbunden werden, gibt es da einen üblichen Verdächtigen, den ich mir anschauen muss?
Wechsel der IP auf einer Seite?
Nein, so einfach ist es leider nicht. Wir experimentieren gerade mit den rekey timings, das soll wohl i.d.R. problematisch sein.
Mit freundlichen Grüßen / Kind regards Ronny Seffner
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
Ronny Seffner