4
Strongswan Site-to-Site mit einer NIC
Hallo Zusammen,
ich habe einen Ubuntu 20.04 Root Server A mit einer offiziellen IP. Ich möchte diesen Server per Strongswan mit einem anderen Server B verbinden.
Angenommen Server A hat die IP a.b.c.d und soll das private Netz 192.168.100.0/24 bekommen. Server B hat die IP b.c.d.e und das Netz 10.13.49.0/24.
Muss ich dann Server A seine private IP 192.168.100.1 auf ein virtuelle NiC (eth0:0) zuweisen oder reicht es diese zusätzlich auf eth0 zu binden? Oder macht Strongswan das irgendwie selber?
Die ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn test
keyexchange=ikev2
type=tunnel
authby=secret
leftid=a.b.c.d
leftsubnet=192.168.100.0/24
rightsubnet=10.13.49.0/24
auto=start
right=b.c.d.e
esp = aes256-sha512-ecp521-modp4096-modp2048
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
Danke und Gruß,
Roadmax
ich habe einen Ubuntu 20.04 Root Server A mit einer offiziellen IP. Ich möchte diesen Server per Strongswan mit einem anderen Server B verbinden.
Angenommen Server A hat die IP a.b.c.d und soll das private Netz 192.168.100.0/24 bekommen. Server B hat die IP b.c.d.e und das Netz 10.13.49.0/24.
Muss ich dann Server A seine private IP 192.168.100.1 auf ein virtuelle NiC (eth0:0) zuweisen oder reicht es diese zusätzlich auf eth0 zu binden? Oder macht Strongswan das irgendwie selber?
Die ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn test
keyexchange=ikev2
type=tunnel
authby=secret
leftid=a.b.c.d
leftsubnet=192.168.100.0/24
rightsubnet=10.13.49.0/24
auto=start
right=b.c.d.e
esp = aes256-sha512-ecp521-modp4096-modp2048
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
Danke und Gruß,
Roadmax
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2379310730
Url: https://administrator.de/contentid/2379310730
Ausgedruckt am: 19.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Deine Schilderung ist leider etwas widersprüchlich. Wenn du nur je eine NIC mit der öffentlichen IP hast und lediglich den Traffic zwischen diesen beiden Hosts verschlüsseln willst machst du eine ganz einfache IPsec Transportverschlüsselung. (ESP im Transport Mode)
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Die Frage ist also was du genau realisieren willst ?
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Die Frage ist also was du genau realisieren willst ?
Guten Morgen!
Genau das ist der Fall, auf der Seite von Server B ist ein lokales LAN Segment vorhanden. Muss ich beim Server A die private IP auf die NIC oder ein virtuelles Device binden oder macht das Strongswan selber?
Zitat von @aqui:
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Genau das ist der Fall, auf der Seite von Server B ist ein lokales LAN Segment vorhanden. Muss ich beim Server A die private IP auf die NIC oder ein virtuelles Device binden oder macht das Strongswan selber?
Sieh dir einmal eine IKEv2 Beispielkonfig mit ESP im Tunnelmode in dem moderneren Strongswan vici Format (via swanctl) an, da ist das dann fast selbsterklärend:
Server A:
Server B:
Weitere dieser Beispiele in beiden Konfig Varianten findest du auf der Strongswan Seite:
https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples
Server A:
connections {
site-site {
local_addrs = a.b.c.d
remote_addrs = b.c.d.e
local {
auth = psk
id = server-a.test.intern
}
remote {
auth = psk
id = server-b.test.intern
}
children {
net-net {
local_ts = 192.168.100.0/24
remote_ts = 10.13.49.0/24
esp_proposals = aes256-sha256-modp2048
start_action = start
}
}
version = 2
proposals = aes256-sha256-modp2048
}
}
secrets {
ike {
id = server-b.test.intern
secret = "test1234"
}
} Server B:
connections {
site-site {
local_addrs = b.c.d.e
remote_addrs = a.b.c.d
local {
auth = psk
id = server-b.test.intern
}
remote {
auth = psk
id = server-a.test.intern
}
children {
net-net {
local_ts = 10.13.49.0/24
remote_ts = 192.168.100.0/24
esp_proposals = aes256-sha256-modp2048
start_action = start
}
}
version = 2
proposals = aes256-sha256-modp2048
}
}
secrets {
ike {
id = server-a.test.intern
secret = "test1234"
}
} https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
