>"...Ich kann jeweils vom einen Netz den Host des anderen Netzes anpingen - die Geräte dahinter jedoch nicht..."
ich geh mal davon aus, das du mit "Host" den ipsec peer meinst.
da deine beschreibungen nicht sehr genau sind, kann ich mir nur 2 szenarien vorstellen:
1. die forward chain blockt den getunnelten traffic:
bei s2s hast du z.b.:
auf der linken seite das lan: 10.0.0.0/24
auf der rechten seite das lan: 10.0.1.0/24
security policy somit: 10.0.0.0/24 <-> 10.0.1.0/24
dann brauchst du in der forward chain auf der linken seite die regel (wobei ich jetzt davon ausgehe, daĂź du den enddropper ĂĽber die policy schauckelst und net explizit setzt):
- Code: Alles auswählen
iptables -A FORWARD -s 10.0.1.0/24 -d 10.0.0.0/24 -j ACCEPT
und auf der rechten seite natĂĽrlich genau die umgekehrte regel:
- Code: Alles auswählen
iptables -A FORWARD -s 10.0.0.0/24 -d 10.0.1.0/24 -j ACCEPT
2. auf der kritischen seite gilt: gate != ipsec-gate, wobei das ipsec-gate nicht nachgeschaltet ist, sondern als stub im netz des gate hängt:
also z.b.:
du hast auf der rechten seite das gate 10.0.1.1/24 und an dem router ist das ipsec-gate mit der ip 10.0.1.2/24 ĂĽber einen lanport verbunden. die rechner im rechten lan haben natĂĽrlich eine default route via 10.0.1.1 gesetzt, und wenn jetzt ein packerl aus dem linken netz mit der src-ip 10.0.0.x daherkommt, geht die antwort klarerweise zum 10.0.1.1, der aber nicht den tunnel terminiert, womit die ganze gschicht hoffnungslos schiefgeht.
du muĂźt also auf allen rechnern im rechten lan eine netzroute fĂĽrs linke lan via 10.0.1.2 setzen:
- Code: Alles auswählen
ip r a 10.0.0.0/24 via 10.0.1.2
und fĂĽr die firewall gilt das im abschnitt 1 gesagte.
>"...wie bringe ich das eine Ende des Tunnels dazu, allen Traffic über das IPSec zu tunneln, damit es am anderen Ende rauskommt? Sprich ich möchte von ausserhalb über den Tunnel über meinen Anschluss daheim surfen..."
korrigier mich, wenn ich jetzt falsch lieg, aber ich begreif deine beschreibung so:
- grundsituation is s2s.
- und du möchtest hausnummer auf der linken seite nicht direkt über den inet access der linken seite ins netz gehen, sondern den traffic der linken seite durch den ipsec-tunnel schieben und danach über den inet access der rechten seite ins netz gehen. wir reden also wirklich über biederes s2s und net über road warrior/mode config, tunnel hopping, dynamische tunnel-/firewall-konfigs oder ähnliche spielchen, auf die meine leute (der riddik z.b.
) so stehen?wenn ja, dann einfach die security policy ändern von...
- 10.0.0.0/24 <-> 10.0.1.0/24
...auf
- 10.0.0.0/24 <-> 0.0.0.0/0
- forward chain auf der rechten seite fürs lan der linken seite öffnen:
- Code: Alles auswählen
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
einen kleinen epilog gibts natĂĽrlich auch:
falls an den beiden enden deines tunnels keine gerouteten netze im spiel sind, kannst du die forward chains auf beiden seiten komplett ausräumen, weil sie eh net zum zug kommen. eh klar, oder? und wenn 'ne forward chain leer is, gibts keinen zoff mim forwarding des tunnelled traffic...
kleinem,
>"...Ăśber diesen Tunnel musst du dann eine Route ins jeweils andere Netz und umgekehrt setzen.."
nein, bei ipsec ist das nicht notwenig, weil die gschicht ĂĽber sie security policy erledigt wird. bei andren vpn-tunnels- ovpn, l2tp, pptp...- aber schon, weils dort keine security policy gibt...
lg
zid
