Virtuelle IP (Broadcast) in den IPSEC Tunnel schieben
-
Hallo Forum,
ich habe eine besondere VPN-Aufgabe in meinen Augen bekommen. Ich habe ein Telematik-Kartenlesegerät, welches eine IP-Adresse aus meinen "Virtuellen-IPs" erhalten hat (10.10.10.5/27).Dieses Kartenterminal verbindet sich nicht automatisch mit meinem Konnektor, der die IP-Adresse 10.100.0.50/32 hat und hinter einer IPSEC-Verbindung steckt.
Was ich in der pf sehe, ist, dass mein KT einen Broadcast an die IP-Adresse 10.10.10.31 sendet. Wie bekomme ich es hin, dass diese Pakete an den Konnektor gehen? Aktuell ist mein IPSEC in Phase 2 so eingestellt, dass es den Modus "Tunnel" hat.
Gruß -
@sm-vm
Hallo,
die beiden Geräte sind wohl so konzipiert, dass sie in einem gemeinsamen Layer 2 Netz betrieben werden müssen.
Warum ist da eine VPN dazwischen? Soll wohl einen Konnektor eingesparen?Grundsätzlich gibt es unterschiedliche Ansätze, um Geräte, die für den Betrieb innerhalb eines L2-Netzes gedacht sind, über einen Router hinweg zusammen zu bringen. VPN verkompliziert die Sache aber nochmals, und über policy based IPSec wird wohl keiner davon funktionieren.
Die besten Erfolgsaussichten hättest du wohl mittel OpenVPN im tap-Modus. D.h., du bringst beide Seiten der VPN in ein gemeinsames L2. Aber auch das ist hier nicht weithin beliebt.
Mit anderen VPN-Varianten + einem Broadcast-Relais könnte es vielleicht auch klappen, aber wenn du dich da auf die Suche nach Lösungen machen möchtest, solltest du mit angeben, welche Art Broadcast Pakete das Terminal genau sendet (Protokoll, Port).Grüße
-
@viragomann Vielen Dank für die Antwort! Es handelt sich um ein UDP Port 4742.
-
@sm-vm
Wie gesagt, mit dieser IPSec geht wohl nix.
Also entweder muss es die genannte OpenVPN im tap-Mode sein (L2) oder eine L3, der du ein Interface zuweisen kannst und dieses dann mit gewissen Relais verbindest. Bspw.
UDP Broadcast RelayIch habe das aber auch noch nicht selbst praktiziert.