mehrere Subnetze hinter IPSec Tunnel

From: Matthias Teege <matthias-dbsdq(at)mteege.de>
Date: Fri, 10 Oct 2003 08:30:51 +0200

Moin,

ich betreibe einen IPSec Tunnel zwischen einer OpenBSD 3.3 -
(isakmpd) und einer FreeBSD 4.8 Kiste (racoon) zur Sicherung einer
Funkstrecke. Verschlüsselt wird der Traffic aus einem Subnetz (DMZ)
in die Welt. Jetzt soll ein zweites Subnetz hinzugefügt werden und
ich habe dabei ein Problem mit isakmpd. Es funktioniert immer nur
einer der beiden Tunnel vollständig nämlich der, auf dem als erstes
Traffic generiert wird. Die Richtung von FreeBSD nach OpenBSD
funktioniert mit beiden Tunneln nur die Rückrichtung funktioniert
nur mit einem. Man könne also sagen, 75% laufen. ;-)

Hier meine Konfiguration

isakmpd.conf

[General]
Policy-File= /etc/isakmpd/isakmpd.policy
Retransmits=5
Exchange-max-time=120
Listen-on=192.168.9.9

[Phase 1]
192.168.9.11= bullet

[Phase 2]
Connections= DMZ-WORLD,PUB-WORLD

[bullet]
Phase= 1
Transport= udp
Address= 192.168.9.11
Configuration= Default-main-mode
Authentication= geheim

[DMZ-WORLD]
Phase= 2
ISAKMP-peer= bullet
Configuration= Default-quick-mode
Local-ID= DMZ-NET
Remote-ID= WORLD-NET

[PUB-WORLD]
Phase= 2
ISAKMP-peer= bullet
Configuration= Default-quick-mode
Local-ID= PUB-NET
Remote-ID= WORLD-NET

[DMZ-NET]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.0.0
Netmask= 255.255.255.0

[PUB-NET]
ID-type= IPV4_ADDR_SUBNET
Network= 212.21.92.152
Netmask= 255.255.255.248

[WORLD-NET]
ID-type= IPV4_ADDR_SUBNET
Network= 0.0.0.0
Netmask= 0.0.0.0

[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA

[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-AES-SHA-PFS-SUITE

racoon

spdadd 192.168.0.0/24 0.0.0.0/0 any -P in ipsec
esp/tunnel/192.168.9.9-192.168.9.11/require;
spdadd 0.0.0.0/0 192.168.0.0/24 any -P out ipsec
esp/tunnel/192.168.9.11-192.168.9.9/require;
spdadd 212.21.92.152/29 0.0.0.0/0 any -P in ipsec
esp/tunnel/192.168.9.9-192.168.9.11/require;
spdadd 0.0.0.0/0 212.21.92.152/29 any -P out ipsec
esp/tunnel/192.168.9.11-192.168.9.9/require;

Hat jemand eine Idee? Ist die Konfiguration unvollständig?

Vielen Dank
Matthias

-- 
Matthias Teege -- http://www.mteege.de
make world not war
PGP-Key auf Anfrage
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 10 Oct 2003 - 08:35:50 CEST

search this site