Strongswan Konfigurationsfrage Site-to-Site

Mitglied: Roadmax

Roadmax (Level 1) - Jetzt verbinden

02.05.2021 um 09:53 Uhr, 290 Aufrufe, 2 Kommentare

Hallo Zusammen,

ich habe folgende VPN-Tunnel zu realisieren:

Niederlassung A <---- LAN 192.168.1.0/24 ----> VPN Server A ( 192.168.1.243) <----> Router (192.168.1.1 | statische IP aaa.aaa.aaa.aaa)<--- Internet --->VPN Server B (IP bbb.bbb.bbb.bbb) <--- LAN 192.1.254.0/24 ---> Head Office

Das Head Office möchte dass der Server ein SNAT auf der IP 192.168.44.24 macht. Ich habe dem VPN Server A noch die IP 192.168.44.24 auf eth0:0 gebunden und IP_FORWARD ist aktiviert. Ist der Ansatz so richtig oder besser ein Device ipsec0 vom Typ xfrm anlegen?

Die entscheidenden Parameter in der ipsec.conf lauten:
left=aaa.aaa.aaa.aaa
leftsubnet=192.168.1.0/24
leftsourceip=192.168.44.24
leftfirewall=yes
right=bbb.bbb.bbb.bbb
rightsubnet=192.1.254.0/24

Der Tunnel baut sich aber nicht auf, denn der Fehler lautet:
[NET] error writing to socket: Network is unreachable

Hat jemand eine Idee?

Besten Dank,
Roadmax
Mitglied: aqui
02.05.2021, aktualisiert um 19:15 Uhr
Dein Grundproblem ist zuallererst der nicht etablierte IPsec Tunnel ! Bevor du also alles andere machst musst du das erstmal fixen. Also strategisch vorgehen und den Tunnel zum Testen erstmal manuell aufbauen (auto=add) und erstmal eine einfach Standard Konfig nutzen.
Sehr wahrscheinlich wird dein Server "VPN B" wohl der IPsec Responder sein und der Server "VPN A" hinterm NAT Router der Initiator, richtig ? Leider ist da deine o.a. Beschreibung wie auch Log Outputs und Inhalt der Konfig Dateien sehr lückenhaft und zwingt uns hier zum Raten. :-( face-sad

Eine sehr einfache IKEv2 Konfigdatei ipsec.conf für einen IKEv2 Site 2 Site Tunnel die fehlerfrei rennen sollte, sieht dann für beide Tunnelenden so aus:

VPN Server A (Initiator hinter NAT Router):


Die Datei ipsec.secrets für den PSK sieht dann ganz einfach so aus:

VPN Server B (Responder):

Die PSK Datei ist identisch zu oben.
Soll der Server B auch gleichzeitig Intitiator sein musst du ein "right=aaa.aaa.aaa.aaa" der Konfig hinzufügen.

Wenn die Konfig so (oder so ähnlich) eingegeben ist, machst du auf beiden Seiten ein:
ipsec restart
Dann baust du mit
ipsec up s2s
manuell den Tunnel auf der Initiator Seite auf und siehst dir mal die Konsolen Messages dazu an.
Auf dem Responder findest du die IPsec Messages in /var/log/syslog .
Der Tunnel sollte dann mit einem
....
CHILD_SA s2s{1} established with SPIs ca9f7930_i c074d734_o and TS 192.168.1.243/32 === bbb.bbb.bbb.bbb/32
received AUTH_LIFETIME of 9911s, scheduling reauthentication in 9371s
connection 's2s' established successfully

erfolgreich aufgebaut werden.
Ein ipsec status sollte dann sowas zeigen:
Auf dem Responder kannst du jetzt die lokale LAN IP Adresse des Initiators 192.168.1.243 pingen.

Erst dann kannst du mit dem Rest weitermachen...
Dazu solltest du dann oben mal klären WIE genau die Connection der Server ins Internet aussieht ? Sprich ob dort noch ein NAT Router beidseitig dazwischen ist oder die Server direkt im Internet exponiert sind und selber als Router agieren und auch wer Initiator und Responder ist. Auch das ist aus der etwas oberflächlichen Zeichnung oben leider nicht wirklich ersichtlich. :-( face-sad
Zu dem Thema das du für dich nicht registrierte IP Netze nutzt (192.1.254.0 /24 und gehört der Fa. BBN Communications in den USA) erstmal gar nicht zu reden. Oder ist das ein Tippfehler im Eifer des Gefechts ?!
Bitte warten ..
Mitglied: aqui
05.05.2021 um 17:40 Uhr
Wenn's das denn nun war bitte dann auch nicht vergessen den Thread zu schliessen:
https://administrator.de/faq/32
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 13 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...