IPSEC: Mehrer Standorte miteinander kommunizieren lassen



  • Hallo erstmal eine Veranschaulichung des Netzes:

    S1 <–----> H1 <------> S2

    S1 und S2 verbinden sich jeweils per IPSEC zu H1.

    S1 und H1 können aufeinander zugreifen
    S2 und H1 können aufeinander zugreifen

    S1 über H1 auf S2 können nicht zugreifen
    S2 über H1 auf S1 können nicht zugreifen

    Regeln IPSEC; Allow all / diese regel ist auf jeder FW eingestellt.

    Habe auch versucht mal Routings zu bauen, aber das hat auch nicht geholfen.

    Habe in der LOG dies noch gefunden:
    racoon: ERROR: such policy does not already exist: "10.1.100.0/23[0] 10.1.111.0/24[0] proto=any dir=out"
    racoon: ERROR: such policy does not already exist: "10.1.111.0/24[0] 10.1.100.0/23[0] proto=any dir=in"
    racoon: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.xxx.19[0]->xxx.xxx.xxx.110[0] spi=25515528(0x1855608)
    racoon: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.xxx.110[0]->xxx.xxx.xxx.19[0] spi=72958244(0x4594124)
    racoon: INFO: Update the generated policy : 10.1.111.0/24[0] 10.1.100.0/23[0] proto=any dir=in
    racoon: INFO: respond new phase 2 negotiation: xxx.xxx.xxx.19[0]<=>xxx.xxx.xxx.110[0]
    racoon: INFO: IPsec-SA expired: ESP/Tunnel xxx.xxx.xxx.110[0]->xxx.xxx.xxx.19[0] spi=19030146(0x1226082)
    racoon: INFO: IPsec-SA expired: ESP/Tunnel xxx.xxx.xxx.19[0]->xxx.xxx.xxx.110[0] spi=162259406(0x9abe1ce)
    racoon: INFO: ISAKMP-SA established xxx.xxx.xxx.19[500]-xxx.xxx.xxx.110[500] spi:2ef85ed1ff7090e1:cd1692b5859d23ca

    Und dies hier noch:

    racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "10.1.100.0/23[0] 10.1.102.0/23[0] proto=any dir=out"
    racoon: [Unknown Gateway/Dynamic]: ERROR: such policy does not already exist: "10.1.102.0/23[0] 10.1.100.0/23[0] proto=any dir=in"
    racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.xxx.19[0]->xxx.xxx.xxx.105[0] spi=222957204(0xd4a0e94)
    racoon: [Unknown Gateway/Dynamic]: INFO: IPsec-SA established: ESP/Tunnel xxx.xxx.xxx.105[0]->xxx.xxx.xxx.19[0] spi=235682970(0xe0c3c9a)
    racoon: [Unknown Gateway/Dynamic]: INFO: no policy found, try to generate the policy : 10.1.102.0/23[0] 10.1.100.0/23[0] proto=any dir=in
    racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 2 negotiation: xxx.xxx.xxx.19[0]<=>xxx.xxx.xxx.105[0]
    racoon: INFO: purging spi=215499950.
    racoon: INFO: generated policy, deleting it.
    racoon: INFO: purging spi=19597446.
    racoon: [Unknown Gateway/Dynamic]: INFO: ISAKMP-SA established xxx.xxx.xxx.19[500]-xxx.xxx.xxx.105[500] spi:bd418b0a5b1af13a:c67cfd1dcea83872
    racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    racoon: INFO: received Vendor ID: DPD
    racoon: INFO: begin Aggressive mode.
    racoon: [Unknown Gateway/Dynamic]: INFO: respond new phase 1 negotiation: xxx.xxx.xxx.19[500]<=>xxx.xxx.xxx.105[500]

    Das interessante ist das ERROR, kann das evtl. der Fehler sein?

    Hoffe Ihr könnt mir hier helfen wo der Fehler steckt.



  • Bei IPSEC bestimmt lediglich die Local- und Remote-subnet-definition des Tunnels den Verkehr, der durchgeht. Routen kann man nicht durch legen.

    Wenn ich das aus den Logs richtig ersehe hast Du folgende Netze:

    10.1.100.0/23 H1
    10.1.111.0/24 S1
    10.1.102.0/23 S2

    Du kannst jetzt folgenden Trick anwenden:

    • Für den H1-Standort definierst Du das Subnet im IPSEC-Tunnel als 10.1.96.0/20 (mußt Du entsprechend in der Lokalen-Subnet-Definition am Hauptstandort für beide Tunnel ändern und auch jeweils als remote Subnet an den Standorten S1 und S2 eintragen. Durch dieses aufsummierte größere Subnet wird jetzt von S1 nach S2 über H1 getunnelt. Andere Alternative wäre einfach noch einen Tunnel zwischen S1 und S2 aufzubauen (also ein Dreieck). Das hat den Vorteil, daß Verkehr, der bei H1 nix verloren hat den Anschluß nicht doppelt belastet (geht ja dort rein und raus), aber das ist eine Frage des Designs. Ich habe mal sowas in groß aufgebaut und da wird es sehr schnell unübersichtlich (wenn jeder Standort mit jedem per Tunnel verbunden wird, ging aber wegen der Trafficbelastung nicht anders).

    Bei mir auf der Arbeit habe ich das übrigens so realisiert, wie oben erklärt mit derzeit 8 Sublokationen, die alle über den Hauptstandort gerouted werden.



  • ich würde das zudem von den evtl. unterschiedlichen Bandbreiten abhängig machen wie ich ein ipsec-netz designe.



  • Danke schon mal für die Hilfe, ich werde dies mal heute Abend versuchen zu machen.

    Ich gebe bescheid.



  • Hallo,

    also dein Tipp war sehr gut und hat schonmal geholfen, nachdem ich dann noch eine Rule ins 10.1.96.0/20
    vom LAN erlaubt habe. Zumindest für dieses Netzbild, jedoch wollte ich dann noch ein S3(10.1.112.0/24)
    dazu schalten, die Verbindung wird auch sauber aufgebaut, Einstellungen dieselben wie bei den anderen S.
    Jedoch kann ich aus meinem H1 oder den S1,2 nicht auf S3 zugreifen.

    Jedoch kann ich direkt von der H1-FW die S3-FW pingen funktioniert auch umgekehrt, Jedoch nicht zwischen
    den anderen S-FW Punkten.

    Meine Vermutung liegt an den S3-FW, das diese bei den Rules schlampen tut. Sicher bin ich mir nicht.

    Hab Ihr noch Vorschläge, bin langsam alles durch und ich muß das zum Rennen bekommen.

    Danke



  • Dein H3 Standort liegt gerade so nicht mehr in dem Subnet 10.1.96.0/20. Das hört bei 10.1.111.255 auf. Du mußt den H3 Standort entweder in diese größere Subnetmaske bringen  oder das große Subnet so erweitern, daß H3 wieder mit reinpaßt. Benutze einfach einen Subnetcalculator, dann wird's einfacher  ;)

    Mal schnell gegoogelt: http://www.subnet-calculator.com/ oder auch http://www.heise.de/netze/lib/netzwerk-rechner.shtml (besonders empfehlenswert in dem Zusammenhang der 2. Rechner weiter unten ;) )



  • Ach ich depp, du hast Recht! Siehste wenn man mehr Köpfe hat geht alles besser. Danke nochmal.

    PD

    @hoba:

    Dein H3 Standort liegt gerade so nicht mehr in dem Subnet 10.1.96.0/20. Das hört bei 10.1.111.255 auf. Du mußt den H3 Standort entweder in diese größere Subnetmaske bringen  oder das große Subnet so erweitern, daß H3 wieder mit reinpaßt. Benutze einfach einen Subnetcalculator, dann wird's einfacher  ;)

    Mal schnell gegoogelt: http://www.subnet-calculator.com/ oder auch http://www.heise.de/netze/lib/netzwerk-rechner.shtml (besonders empfehlenswert in dem Zusammenhang der 2. Rechner weiter unten ;) )


Locked