Erklärung IPSEC



  • Hallo,

    ich hab ne kleine Frage zur IPSEC-Verbindung.

    1. Was genau kann ich mit der 2. Phase alles machen? Aus dem Wikipedia-Eintrag werde ich nicht schlau...
    2. Die IPSEC Verbindung steht. Und ich habe bei beiden Geräte (in dem Fall eine Fritzbox) Netzwerke angegeben. Das Netzwerk der Fritzbox und eines an der Pfsense. Bei der Pfsense habe ich ein Netzwerk angegeben, welches an keinem Interface existiert. Und ich die Firewall zeigt sogar im LOG nichts an, wenn ich versuche z.b. per RDP auf eine Maschine in einem Netz zuzugreifen. Wenn ich ein Netzwerk angebe, das das gleiche wie bei einem Interface ist, funzt das. Muss ich zwingend ein an einem Interface vorhandenes Subnetz angeben? Würde gerne ein anderes nehmen und dann über Firewall-Regeln die Kommunikation erlauben.

    Bei Punkt zwei bin ich mir nicht ganz sicher, weil VPN ist ja die Verbindung in ein anderes Netzwerk und wenn das Netzwerk nicht existiert....

    Eventuell kann mir jemand ein paar Links geben, wo ich das einfach selbst nachschlagen kann. Ich weiß ja nicht mal was ich googlen soll :(

    Danke und VG



  • Die 2. Phase stellt im Grunde den Tunnel zwischen 2 Netzwerken und das Routing her. Im Gunde kannst du angeben, was du gerne möchtest, solange es für das gewünschte Routing Sinn macht und die Angaben auf beiden Seiten konträr sind.

    Die Information, die dir fehlt, ist vermutlich nur, dass es möglich ist, mehrere phase 2 einzurichten.

    Wenn du bspw. folgende Netze hast:
    Site A: 10.0.0.0/24
    Site B: 10.10.0.0/24, 10.10.5.0/24
    und du willst eine Verbindung zwischen allen Netzen herstellen, richtest du am Besten 2 phase 2 ein:

    • Site A:
      Local: 10.0.0.0/24
      Remote: 10.10.0.0/24
      Site B:
      Local: 10.10.0.0/24
      Remote: 10.0.0.0/24

    • Site A:
      Local: 10.0.0.0/24
      Remote: 10.10.5.0/24
      Site B:
      Local: 10.10.5.0/24
      Remote: 10.0.0.0/24

    Würde aber auch mit nur einer funktionieren, wenn du eine entsprechend breite Maske angibst:

    • Site A:
      Local: 10.0.0.0/24
      Remote: 10.10.0.0/21
      Site B:
      Local: 10.10.0.0/21
      Remote: 10.0.0.0/24

    Ich hoffe, das bringt ein wenig Licht in die Sache.



  • Hallo,

    danke für die Erläuterung. Das bedeutet. Die iPSEC kann ich verschiedene Netz "aufgebaut" werden. Für jedes Netz benötige ich eine separate Phase oder halt eine entsprechend große Subnetzmaske.

    Wie kann ich mir das technisch vorstellen?

    Bsp.:
    Anfrage kommt aus dem lokalen Netz 10.10.10.0/24 von dem Client 10.10.10.2 in das Remote Netz 10.10.20.0/24 und soll den Client 10.10.22.2 (liegt im Netz 10.10.22.0/24) erreichen.

    Funktioniert das überhaupt, wenn das seitens der Firewall eingestellt ist? Wenn ich von Interface a (10.10.23.0/24) zu Interface B (10.10.25.0/24) möchte, funktioniert das ja auf der Firewall auch, wenn ich das freigebe.

    Danke Dir.



  • Mit IPSec Site-to-Site werden nicht Netze aufgebaut sondern miteinander verbunden und die Phase 2 sorgt für das Routing.

    Voraussetzung, dass das ohne Weiteres funktioniert, ist, dass die IPSec Endpunkte in den jeweiligen Netzen die Standardgateways sind.
    Über die Phase 2 kann man auch den gesamten Upstream über den Remote-Endpunkt leiten anstatt über das WAN Gateway, also die Standardroute darauf legen, indem man als Remote-Netz 0.0.0.0/0 angibt. Am Remote-Gerät muss dasselbe natürlich als lokales Netz gesetzt werden.
    Das Remote-Gerät muss seinerseits wissen, wohin es die Pakete leiten soll, um auf deine Frage einzugehen. Wenn das Netz 10.10.22.0/24 auf einem Interface eingerichtet und der Client 10.10.22.2 damit verbunden ist, funktioniert die Verbindung natürlich, anderenfalls benötigt es wiederum eine Route zu dem Client, sollte diese Netz hinter einem anderen Geräte liegen, ansonsten leitet es die Pakete zum Standardgateway weiter.

    Endet eine Route ohne das Zielgerät erreicht zu haben, werden die Pakete verworfen. Das wäre im obigen Beispiel der Fall, wenn es das Netz 10.10.22.0/24 auf der Remote-Seite nicht gäbe, so werden die Pakete zum Standardgateway geleitet, dem WAN-Gateway, wo sie verworfen werden würden, weil private IPs im Internet nicht geroutet werden.

    Grüße



  • @viragomann

    Danke für deine Mühe und deine ausführliche Erklärung. Eine Frage habe ich noch. Ich erreiche dank Firewall-Regel auch nun im entsprechenden Ziel Netz das Interface der Firewall (z.b. 10.11.12.1) per Ping von einem Host im Quellnetzwerk (z.b. von Client 10.11.13.3). Nun möchte ich von dem eben geannten Client im Quellnetzwerk ein anderen Netzwerk erreichen z.b. die 10.11.8.2. Alle Netze sind ein 24er Netz. SO normalerweile würde ich bei der Firewall dann das freigeben. Das Heißt am Interface wo die 10.11.12.1 dran hängt das erlauben (Quelle 10.11.13.0/24 zu 10.11.8.0/24 any). Das funktioniert jedoch nicht. Dafür kann ich das ja in der Phase einstellen. Soweit habe ich es richtig begriffen, richtig? Das bedeutet ich kann also (mein eigentliches Ziel). Dann als Ziel-Netzwerk auch das OPENVPN-Netzwerk angeben und habe das quasi Zugriff auf den per Openvpn verbundenen Host (Openvpn wird ja als zusätzliches Interface angelegt). Hintergrund ist, dass ich keine OpneVPN-Verbindung von zu Hause aufbauen kann. Da ich eh die IPSEC in das aktuelle Zielnetz benötige, kann ich ja eine weitere Phase anlegen, die dann auch auf das OpenVPN-Ziel zeigt,

    Ich hoffe ich habe das halbwegs verständlich erklärt :)

    Danke!



  • Hallo,

    eine Skizze wäre wohl zur Verdeutlichung hilfreicher als lange Beschreibungen, aber grundsätzlich sollte dein Vorhaben machbar sein.
    Natürlich braucht es aber auch auf der OpenVPN Seite die richtige Route. Also, du musst auch hier die entsprechenden Netze in "Remote Networks" bzw. "Local Networks" eintragen.

    Grüße


Log in to reply