mehrere Subnetze hinter IPSec Tunnel

From: Matthias Teege <matthias-dbsdq(at)mteege.de>
Date: Fri, 10 Oct 2003 08:30:51 +0200



Moin,



ich betreibe einen IPSec Tunnel zwischen einer OpenBSD 3.3 -


(isakmpd) und einer FreeBSD 4.8 Kiste (racoon) zur Sicherung einer


Funkstrecke. Verschlüsselt wird der Traffic aus einem Subnetz (DMZ)


in die Welt. Jetzt soll ein zweites Subnetz hinzugefügt werden und


ich habe dabei ein Problem mit isakmpd. Es funktioniert immer nur


einer der beiden Tunnel vollständig nämlich der, auf dem als erstes


Traffic generiert wird. Die Richtung von FreeBSD nach OpenBSD


funktioniert mit beiden Tunneln nur die Rückrichtung funktioniert


nur mit einem. Man könne also sagen, 75% laufen. ;-)



Hier meine Konfiguration



isakmpd.conf



[General]


Policy-File=            /etc/isakmpd/isakmpd.policy


Retransmits=5


Exchange-max-time=120


Listen-on=192.168.9.9



[Phase 1]


192.168.9.11=           bullet



[Phase 2]


Connections=            DMZ-WORLD,PUB-WORLD



[bullet]


Phase=                  1


Transport=              udp


Address=                192.168.9.11


Configuration=          Default-main-mode


Authentication=         geheim



[DMZ-WORLD]


Phase=                  2


ISAKMP-peer=            bullet


Configuration=          Default-quick-mode


Local-ID=               DMZ-NET


Remote-ID=              WORLD-NET



[PUB-WORLD]


Phase=                  2


ISAKMP-peer=            bullet


Configuration=          Default-quick-mode


Local-ID=               PUB-NET


Remote-ID=              WORLD-NET



[DMZ-NET]


ID-type=                IPV4_ADDR_SUBNET


Network=                192.168.0.0


Netmask=                255.255.255.0



[PUB-NET]


ID-type=                IPV4_ADDR_SUBNET


Network=                212.21.92.152


Netmask=                255.255.255.248



[WORLD-NET]


ID-type=                IPV4_ADDR_SUBNET


Network=                0.0.0.0


Netmask=                0.0.0.0



[Default-main-mode]


DOI=                    IPSEC


EXCHANGE_TYPE=          ID_PROT


Transforms=             3DES-SHA



[Default-quick-mode]


DOI=                    IPSEC


EXCHANGE_TYPE=          QUICK_MODE


Suites=                 QM-ESP-AES-SHA-PFS-SUITE



racoon



spdadd 192.168.0.0/24 0.0.0.0/0 any -P in ipsec


esp/tunnel/192.168.9.9-192.168.9.11/require;


spdadd 0.0.0.0/0 192.168.0.0/24 any -P out ipsec


esp/tunnel/192.168.9.11-192.168.9.9/require;


spdadd 212.21.92.152/29 0.0.0.0/0 any -P in ipsec


esp/tunnel/192.168.9.9-192.168.9.11/require;


spdadd 0.0.0.0/0 212.21.92.152/29 any -P out ipsec


esp/tunnel/192.168.9.11-192.168.9.9/require;



Hat jemand eine Idee? Ist die Konfiguration unvollständig?



Vielen Dank


Matthias



-- 
Matthias Teege -- http://www.mteege.de
make world not war
PGP-Key auf Anfrage
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 10 Oct 2003 - 08:35:50 CEST













search this site