Direktes Routing von VIP zu Rechner hinter IPSec



  • Hallo zusammen,

    da ich im englischen Bereich hier leider keine Antwort mehr bekomme, hoffe ich einer von Euch kann mir weiterhelfen:

    Bestehender Site-to-site IPSec-Tunnel

    Site1: PFSense / 10.10.254.0 /255.255.255.0
    Site2: FritzBox / 192.168.1.0 /255.255.255.0

    Traffic zwischen den Seiten läuft einwandfrei.

    Da ich auf der Seite1 einige öffentl. IP's habe und auf der zweiten Seite nur eine,
    möchte ich nun eine VIP direkt auf eine Maschine hinter den Tunnel routen (z.B. für LDAP).

    Im englischen Bereich gab man mir folgenden Link, der aber nicht wirklich weiterhilft.
    https://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN

    Hat jemand von Euch eine Idee hierzu?

    Vielen Dank schonmal.


  • LAYER 8 Moderator

    Das Problem wird die Phase 2 sein. Zum Einen hat IPSec kein Gateway über das man einfach routen kann, zum anderen sind bei den Phasen immer local/remote eingetragen. Kommt aber die Anfrage aus dem Internet, passt das Paket nicht auf deinen Phase 2 Eintrag und wird nicht geroutet. Darum wird das Vorhaben eher schwer werden, denn die 2er Seite könnte das Paket dann nicht mehr richtig zuweisen, selbst wenn du bei Site1 Netz einfach 0.0.0.0 nehmen würdest.  Dann würde die Fritz alles durch den Tunnel routen, was auch so nicht sein soll.

    Gruß



  • Danke erstmal für die schnelle Antwort.

    Eher schwer= unmöglich oder
    eher schwer= geht irgendwie mit ein bißchen tricksen? :-)

    Wäre echt dankbar für ne Idee, denn ich habe keine Möglichkeit mehr an den Ports der einen IP der Seite 2 rumzubiegen
    und eine 2. öffIP bekomme ich nicht.


  • LAYER 8 Moderator

    Eher schwer heißt: vielleicht weiß jemand anderes noch einen klugen Ratschlag, ich denke aber dass es aus den genannten Gründen nicht klappen wird. Selbst wenn man die externe IP mit 1:1 NAT mappen würde, bliebe die Source IP immer noch intakt und die andere Seite würde entsprechend asynchron über ihre eigene Internetleitung antworten statt das Ganze durch den Tunnel zu schicken.

    Evtl. gibts ne ganz vertrackte Möglichkeit mit NAT-T und Co. aber das wäre mir momentan nicht klar. Ansonsten wäre es evtl. ne Möglichkeit den internen Loadbalancer dafür zu "mißbrauchen" und auf der Seite 1 den LB zu nutzen um die Connects auf der externen IP anzunehmen und dann als Backend eben eine IP von Seite 2 einzutragen. Dann könnte das ggf. funktionieren, wenn der LB als Proxy selbst ne Verbindung aufbaut und deshalb die Phase 2 nutzt. Käme auf einen Versuch an.

    Grüße



  • Hmm.. dann hoffe ich mal es hat noch jemand eine Idee.

    Habe es grade mit dem LoadBalancer probiert, aber wenig erfolgreich (oder ich bin einfach nur zu blöd)


Log in to reply