IPSEC: Mehrer Standorte miteinander kommunizieren lassen

PacDemon

Hallo erstmal eine Veranschaulichung des Netzes:
S1 <–---|
S2 <------> H1
S3 <----

S1, S2 und S3 verbinden sich jeweils per IPSEC zu H1.

S1 und H1 können aufeinander zugreifen
S2 und H1 können aufeinander zugreifen
S3 und H1 können aufeinander zugreifen

S1 über H1 auf S2 können aufeinander zugreifen
S1 über H1 auf S3 können aufeinander zugreifen
S2 über H1 auf S1 können aufeinander zugreifen
S2 über H1 auf S3 können aufeinander zugreifen
S3 über H1 auf S1 können aufeinander zugreifen
S3 über H1 auf S2 können aufeinander zugreifen

IPSec H1 10.1.96.0/19
Alle S sind mit subnet drin

Soweit läuft das alles auch prima, seit Monaten.

Jetzt kommt aber der clou den ich vor habe.

S1 <-----|
S2-1 <------> S2 <------> H1
                    S3 <----

S2-1 baut eine IPSec nach S2 auf, S2-1 muß aber auch nach H1,S1 und S3 komunizieren können über S2 bzw. H1.

Geht das überhaupt? Alles was ich mal getestet habe, ging nicht. Hat einer mal ein Tipp.

Danke schön.

PD

heiko

hmm, denke das wird nicht gehen in 1.2/1.21. Kann denn S2-1 nicht auch direkt mit H sprechen?

PacDemon

@heiko:

hmm, denke das wird nicht gehen in 1.2/1.21. Kann denn S2-1 nicht auch direkt mit H sprechen?

Ne oder :'(

Der Hintergrund ist, das H in DE ist, S2 in Washington DC und S2-1 in San Franzisco (Ost/WEST Küste) und das über den großen Teich.
Dabei Arbeiten S2 und S2-1 direkt miteinander + das in WDC der Mailserver für die User in US liegt.

Mal so laut Gedacht:
Was ist wenn man OVPN von S2-1 nach S2 benutzt, dann ein Routing machen? Würde das gehen?

PD

heiko

OVPN ist nicht mein Spezialgebiet…, such mal hier im englischen Forum, allerdings hast Du kein Regelwerk im OVPN in 1.2, das kommt erst in 1.3.
Ich persönlich bin eh kein Fan von der subnet-zentrallösung, weniger Aufwand, aber wenn dein H mal down ist, können die S´s nicht mehr kommuniezieren....

Regards
heiko

hoba

Bau ein Dreieck zwischen S2-1, S2 und H1 auf. Das sollte gehen. Kann nur etwas kniffelig werden mit dem Subnetting. Wäre möglich, daß Du da noch etwas rumrechnen mußt. Wenn Du mal alle internen Netze, so wie sie aktuell an den Standorten existieren angibst könnten wir Dir vielleicht noch etwas genauer dabei helfen.

Ansonsten wird die 1.3 erlauben Routen über VPNs zu setzen (siehe http://blog.pfsense.org/?p=230 ).

PacDemon

Hier die Netze:
H1:    10.1.100.0/23
S1:    10.1.102.0/23
S2-1: 10.1.112.0/24
S2-2: 10.1.113.0/24
S3:    10.1.111.0/24
S4:    10.1.115.0/24

IPSec Netz: 10.1.96.0/19

Gruß,
PD