Route-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Hallöchen zusammen,
ich mal wieder. Folgendes Thema: Ich möchte Route-based IPSec einsetzen, wie wir es auch bei uns in der Arbeit machen, nur dass wir dort ausschließlich Fortigates haben. Ich möchte einen Tunnel zwischen einer Forti und einem Debian Server mit Strongswan bauen. Ich habe mir auch die entsprechenden Anleitungen schon reingezogen, komme aber irgendwie nicht weiter. Der Tunnel steht inzwischen, Routen auch. Wenn ich allerdings vom Debian-Server aus versuche, die Forti zu pingen, bekomme ich keine Antwort. Ein diag sniffer auf der Forti zeigt aber, dass die ICMP-Pakete ankommen und auch beantwortet werden. Nur kommen sie nicht wieder auf dem Debian Server an. Auch ein tcpdump aufm Debian Server zeigt, dass der Ping rausgeht aber nicht wieder zurückkommt. Ping von der Forti Richtung Debian geht auch nicht.
Config Strongswan:
in der /etc/strongswan.d/charon.conf ist auch schon gesetzt.
Des weitere folgende Befehle (Debian-Server):
Ich hab auch schon die MTU von der ipsec interfaces mal runtergestellt (auf 1300) aber das brachte auch keine Abhilfe. Firewalls sind auf beiden seiten offen (zum testen erstmal nur).
Vielleicht habt ihr ja einen grandiosen Einfall.
Danke schonmal!
Ketanest
ich mal wieder. Folgendes Thema: Ich möchte Route-based IPSec einsetzen, wie wir es auch bei uns in der Arbeit machen, nur dass wir dort ausschließlich Fortigates haben. Ich möchte einen Tunnel zwischen einer Forti und einem Debian Server mit Strongswan bauen. Ich habe mir auch die entsprechenden Anleitungen schon reingezogen, komme aber irgendwie nicht weiter. Der Tunnel steht inzwischen, Routen auch. Wenn ich allerdings vom Debian-Server aus versuche, die Forti zu pingen, bekomme ich keine Antwort. Ein diag sniffer auf der Forti zeigt aber, dass die ICMP-Pakete ankommen und auch beantwortet werden. Nur kommen sie nicht wieder auf dem Debian Server an. Auch ein tcpdump aufm Debian Server zeigt, dass der Ping rausgeht aber nicht wieder zurückkommt. Ping von der Forti Richtung Debian geht auch nicht.
Config Strongswan:
conn abc
leftsubnet=0.0.0.0/0
left=(public IP Server)
right=%defaultroute
rightsubnet=0.0.0.0/0
rightid=spoke
ike=aes256-sha512-curve25519
ikelifetime=7200s
esp=aes256-sha512-curve25519
keylife=3600s
type=tunnel
authby=secret
mark=42
auto=tunnel
keyingtries=%forever
keyexchange=ikev2
install_routes = no
Des weitere folgende Befehle (Debian-Server):
ip tunnel add ipsec0 local x.x.x.x mode vti key 42
ip link set ipsec0 up
ip route add 10.58.0.0/24 dev ipsec0
ip address add 10.58.0.1/24 dev ipsec0
Ich hab auch schon die MTU von der ipsec interfaces mal runtergestellt (auf 1300) aber das brachte auch keine Abhilfe. Firewalls sind auf beiden seiten offen (zum testen erstmal nur).
Vielleicht habt ihr ja einen grandiosen Einfall.
Danke schonmal!
Ketanest
Please also mark the comments that contributed to the solution of the article
Content-Key: 6539458566
Url: https://administrator.de/contentid/6539458566
Printed on: July 26, 2024 at 10:07 o'clock
3 Comments
Latest comment
vom Debian-Server aus versuche, die Forti zu pingen, bekomme ich keine Antwort
Mit welcher Source IP pingst du denn?? Bedenke das in den IPsec Tunnel nur das geforwardet wird was in den Phase 2 SAs definiert wurde.Realisierst du einen IKEv1 oder einen IKEv2 Tunnel mit der Fortigate?
Ist ggf. am Strongswan noch eine iptables oder nftables Firewall aktiv?
Generell:
Du solltest nicht mehr die uralte Konfig Syntax nutzen bei Strongswan sondern nur noch das neue und zielführende vici Interface mit entsprechender Syntax. Die alte Synax wird nicht mehr gepflegt und ist depricated.
Mit swanctl -T hast du z.B. deutlich bessere Debug Möglichkeiten.
Wie sowas in einer funktionalen vici Konfig aussieht kannst du an diversen Threads oder Tutorials hier im Forum nachvollziehen.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
DynDNS mit DS-Lite für L2tp mit MikroTik
Usw...
Hab das ipsec0 interface aber sowohl in der INPUT als auch in der FORWARD chain mit
Hier sieht es etwas anders aus:# Interface name
define pub_iface = "eth0"
table inet filter {
chain input {
# accepted UDP ports on public interface
iif $pub_iface udp dport { isakmp, ipsec-nat-t } accept
iif $pub_iface ip protocol esp accept
# allow IPsec VPN networks
meta ipsec exists accept
}
gibt es dazu noch irgendwelche zusätzlichen Pakete, die ich installieren muss?
apt install strongswan libstrongswan-extra-plugins charon-systemd libcharon-extra-plugins