ketanest112
Jul 25, 2024, updated at 15:39:37 (UTC)
view370
view3
0
Goto Top

Route-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an

GermanQuestionVPN
Hallöchen zusammen,

ich mal wieder. Folgendes Thema: Ich möchte Route-based IPSec einsetzen, wie wir es auch bei uns in der Arbeit machen, nur dass wir dort ausschließlich Fortigates haben. Ich möchte einen Tunnel zwischen einer Forti und einem Debian Server mit Strongswan bauen. Ich habe mir auch die entsprechenden Anleitungen schon reingezogen, komme aber irgendwie nicht weiter. Der Tunnel steht inzwischen, Routen auch. Wenn ich allerdings vom Debian-Server aus versuche, die Forti zu pingen, bekomme ich keine Antwort. Ein diag sniffer auf der Forti zeigt aber, dass die ICMP-Pakete ankommen und auch beantwortet werden. Nur kommen sie nicht wieder auf dem Debian Server an. Auch ein tcpdump aufm Debian Server zeigt, dass der Ping rausgeht aber nicht wieder zurückkommt. Ping von der Forti Richtung Debian geht auch nicht.

Config Strongswan:
conn abc
        leftsubnet=0.0.0.0/0
        left=(public IP Server)
        right=%defaultroute
        rightsubnet=0.0.0.0/0
        rightid=spoke
        ike=aes256-sha512-curve25519
        ikelifetime=7200s
        esp=aes256-sha512-curve25519
        keylife=3600s
        type=tunnel
        authby=secret
        mark=42
        auto=tunnel
        keyingtries=%forever
        keyexchange=ikev2

install_routes = no
in der /etc/strongswan.d/charon.conf ist auch schon gesetzt.

Des weitere folgende Befehle (Debian-Server):
ip tunnel add ipsec0 local x.x.x.x mode vti key 42
ip link set ipsec0 up
ip route add 10.58.0.0/24 dev ipsec0
ip address add 10.58.0.1/24 dev ipsec0

Ich hab auch schon die MTU von der ipsec interfaces mal runtergestellt (auf 1300) aber das brachte auch keine Abhilfe. Firewalls sind auf beiden seiten offen (zum testen erstmal nur).

Vielleicht habt ihr ja einen grandiosen Einfall.

Danke schonmal!
Ketanest
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 6539458566

Url: https://administrator.de/contentid/6539458566

Printed on: July 26, 2024 at 10:07 o'clock

3 Comments
Latest comment
Goto Top
Member: aqui
aqui Jul 26, 2024 updated at 09:28:24 (UTC)
Goto Top
vom Debian-Server aus versuche, die Forti zu pingen, bekomme ich keine Antwort
Mit welcher Source IP pingst du denn?? Bedenke das in den IPsec Tunnel nur das geforwardet wird was in den Phase 2 SAs definiert wurde.
Realisierst du einen IKEv1 oder einen IKEv2 Tunnel mit der Fortigate?
Ist ggf. am Strongswan noch eine iptables oder nftables Firewall aktiv?

Generell:
Du solltest nicht mehr die uralte Konfig Syntax nutzen bei Strongswan sondern nur noch das neue und zielführende vici Interface mit entsprechender Syntax. Die alte Synax wird nicht mehr gepflegt und ist depricated.
Mit swanctl -T hast du z.B. deutlich bessere Debug Möglichkeiten.

Wie sowas in einer funktionalen vici Konfig aussieht kannst du an diversen Threads oder Tutorials hier im Forum nachvollziehen.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
DynDNS mit DS-Lite für L2tp mit MikroTik
Usw...
Member: ketanest112
ketanest112 Jul 26, 2024 at 09:41:45 (UTC)
Goto Top
Mit welcher Source IP pingst du denn??

Mit der 10.58.0.1 (die die auch aufm Interface konfiguriert ist) auf die 10.58.0.2 (die die auf der Forti konfiguriert ist). Die Pakete sieht man auch im Capture der Forti mit genau diesen Adressen.

Bedenke das in den IPsec Tunnel nur das geforwardet wird was in den Phase 2 SAs definiert wurde.

Jop, deswegen ja 0.0.0.0/0 auf beiden Seiten (Route-Based IPSec).

Realisierst du einen IKEv1 oder einen IKEv2 Tunnel mit der Fortigate?

IKEv2

Ist ggf. am Strongswan noch eine iptables oder nftables Firewall aktiv?

Ja, nftables. Hab das ipsec0 interface aber sowohl in der INPUT als auch in der FORWARD chain mit
iifname {"andere-interfaces","ipsec0"} accept
drin.
Auf dem WAN interface vom Server ist unter anderem udp port 500 und 4500 accepted sowie ip protocol esp.

Generell:
Du solltest nicht mehr die uralte Konfig Syntax nutzen bei Strongswan sondern nur noch das neue und zielführende vici Interface mit entsprechender Syntax. Die alte Synax wird nicht mehr gepflegt und ist depricated.
Mit swanctl -T hast du z.B. deutlich bessere Debug Möglichkeiten.

Ah, das wusste ich gar nicht, danke! swanctl kann ich nicht ausführen, gibt es dazu noch irgendwelche zusätzlichen Pakete, die ich installieren muss? Vermutlich dieses charon-systemd auf der einen Anleitung oder?
Member: aqui
aqui Jul 26, 2024 updated at 10:06:09 (UTC)
Goto Top
Hab das ipsec0 interface aber sowohl in der INPUT als auch in der FORWARD chain mit
Hier sieht es etwas anders aus:
# Interface name
define pub_iface = "eth0"  

        table inet filter {
        chain input {
                # accepted UDP ports on public interface 
                iif $pub_iface udp dport { isakmp, ipsec-nat-t } accept 
                iif $pub_iface ip protocol esp accept 

                # allow IPsec VPN networks
                meta ipsec exists accept
                }
Zumindestens damit rennen alle v2 Tunnel zu Cisco, Sophos, Mikrotik usw.

gibt es dazu noch irgendwelche zusätzlichen Pakete, die ich installieren muss?
apt install strongswan libstrongswan-extra-plugins charon-systemd libcharon-extra-plugins
Siehe o.a. Tutorial im Kapitel "VPN Server Konfiguration"! 😉
GermanQuestionVPN