roadmax
Goto Top

Strongswan Site-to-Site mit einer NIC

Hallo Zusammen,

ich habe einen Ubuntu 20.04 Root Server A mit einer offiziellen IP. Ich möchte diesen Server per Strongswan mit einem anderen Server B verbinden.
Angenommen Server A hat die IP a.b.c.d und soll das private Netz 192.168.100.0/24 bekommen. Server B hat die IP b.c.d.e und das Netz 10.13.49.0/24.
Muss ich dann Server A seine private IP 192.168.100.1 auf ein virtuelle NiC (eth0:0) zuweisen oder reicht es diese zusätzlich auf eth0 zu binden? Oder macht Strongswan das irgendwie selber?

Die ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no

conn %default

conn test
keyexchange=ikev2
type=tunnel
authby=secret
leftid=a.b.c.d
leftsubnet=192.168.100.0/24
rightsubnet=10.13.49.0/24
auto=start
right=b.c.d.e
esp = aes256-sha512-ecp521-modp4096-modp2048
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart

Danke und Gruß,
Roadmax

Content-Key: 2379310730

Url: https://administrator.de/contentid/2379310730

Printed on: April 21, 2024 at 03:04 o'clock

Member: aqui
aqui Apr 02, 2022 at 14:35:23 (UTC)
Goto Top
Deine Schilderung ist leider etwas widersprüchlich. Wenn du nur je eine NIC mit der öffentlichen IP hast und lediglich den Traffic zwischen diesen beiden Hosts verschlüsseln willst machst du eine ganz einfache IPsec Transportverschlüsselung. (ESP im Transport Mode)
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Die Frage ist also was du genau realisieren willst ?
Member: Roadmax
Roadmax Apr 03, 2022 at 06:22:49 (UTC)
Goto Top
Guten Morgen!

Zitat von @aqui:

Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.

Genau das ist der Fall, auf der Seite von Server B ist ein lokales LAN Segment vorhanden. Muss ich beim Server A die private IP auf die NIC oder ein virtuelles Device binden oder macht das Strongswan selber?
Member: aqui
aqui Apr 03, 2022, updated at Apr 04, 2022 at 12:50:06 (UTC)
Goto Top
Sieh dir einmal eine IKEv2 Beispielkonfig mit ESP im Tunnelmode in dem moderneren Strongswan vici Format (via swanctl) an, da ist das dann fast selbsterklärend:
Server A:
connections {

   site-site {
      local_addrs  = a.b.c.d
      remote_addrs = b.c.d.e

      local {
         auth = psk
         id = server-a.test.intern
      }
      remote {
         auth = psk
         id = server-b.test.intern
      }
      children {
         net-net {
            local_ts  = 192.168.100.0/24
            remote_ts = 10.13.49.0/24
            esp_proposals = aes256-sha256-modp2048
            start_action = start
         }
      }
      version = 2
      proposals = aes256-sha256-modp2048
   }
} 

secrets {
   ike {
      id = server-b.test.intern
      secret = "test1234"  
   }
} 

Server B:
connections {

   site-site {
      local_addrs  = b.c.d.e
      remote_addrs = a.b.c.d

      local {
         auth = psk
         id = server-b.test.intern
      }
      remote {
         auth = psk
         id = server-a.test.intern
      }
      children {
         net-net {
            local_ts  = 10.13.49.0/24
            remote_ts = 192.168.100.0/24
            esp_proposals = aes256-sha256-modp2048
            start_action = start
         }
      }
      version = 2
      proposals = aes256-sha256-modp2048
   }
}

secrets {
   ike {
      id = server-a.test.intern
      secret = "test1234"  
   }
} 
Weitere dieser Beispiele in beiden Konfig Varianten findest du auf der Strongswan Seite:
https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples
Member: aqui
aqui May 18, 2022 at 06:40:02 (UTC)
Goto Top
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!!
How can I mark a post as solved?