Strongswan Site-to-Site mit einer NIC

Hallo Zusammen,

ich habe einen Ubuntu 20.04 Root Server A mit einer offiziellen IP. Ich möchte diesen Server per Strongswan mit einem anderen Server B verbinden.
Angenommen Server A hat die IP a.b.c.d und soll das private Netz 192.168.100.0/24 bekommen. Server B hat die IP b.c.d.e und das Netz 10.13.49.0/24.
Muss ich dann Server A seine private IP 192.168.100.1 auf ein virtuelle NiC (eth0:0) zuweisen oder reicht es diese zusätzlich auf eth0 zu binden? Oder macht Strongswan das irgendwie selber?

Die ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no

conn %default

conn test
keyexchange=ikev2
type=tunnel
authby=secret
leftid=a.b.c.d
leftsubnet=192.168.100.0/24
rightsubnet=10.13.49.0/24
auto=start
right=b.c.d.e
esp = aes256-sha512-ecp521-modp4096-modp2048
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart

Danke und Gruß,
Roadmax

Please also mark the comments that contributed to the solution of the article

Content-Key: 2379310730

Url: https://administrator.de/contentid/2379310730

Printed on: April 27, 2024 at 04:04 o'clock

4 Comments

Latest comment

Deine Schilderung ist leider etwas widersprüchlich. Wenn du nur je eine NIC mit der öffentlichen IP hast und lediglich den Traffic zwischen diesen beiden Hosts verschlüsseln willst machst du eine ganz einfache IPsec Transportverschlüsselung. (ESP im Transport Mode)
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Die Frage ist also was du genau realisieren willst ?

Guten Morgen!

Zitat von @aqui:

Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.

Genau das ist der Fall, auf der Seite von Server B ist ein lokales LAN Segment vorhanden. Muss ich beim Server A die private IP auf die NIC oder ein virtuelles Device binden oder macht das Strongswan selber?

Sieh dir einmal eine IKEv2 Beispielkonfig mit ESP im Tunnelmode in dem moderneren Strongswan vici Format (via swanctl) an, da ist das dann fast selbsterklärend:
Server A:

connections {

   site-site {
      local_addrs  = a.b.c.d
      remote_addrs = b.c.d.e

      local {
         auth = psk
         id = server-a.test.intern
      }
      remote {
         auth = psk
         id = server-b.test.intern
      }
      children {
         net-net {
            local_ts  = 192.168.100.0/24
            remote_ts = 10.13.49.0/24
            esp_proposals = aes256-sha256-modp2048
            start_action = start
         }
      }
      version = 2
      proposals = aes256-sha256-modp2048
   }
} 

secrets {
   ike {
      id = server-b.test.intern
      secret = "test1234"  
   }
} 

Server B:

connections {

   site-site {
      local_addrs  = b.c.d.e
      remote_addrs = a.b.c.d

      local {
         auth = psk
         id = server-b.test.intern
      }
      remote {
         auth = psk
         id = server-a.test.intern
      }
      children {
         net-net {
            local_ts  = 10.13.49.0/24
            remote_ts = 192.168.100.0/24
            esp_proposals = aes256-sha256-modp2048
            start_action = start
         }
      }
      version = 2
      proposals = aes256-sha256-modp2048
   }
}

secrets {
   ike {
      id = server-a.test.intern
      secret = "test1234"  
   }
} 

Weitere dieser Beispiele in beiden Konfig Varianten findest du auf der Strongswan Seite:
https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples

Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!!
How can I mark a post as solved?

German Question Routers, Routing Networks