Archiv verlassen und diese Seite im Standarddesign anzeigen : IPSec-Verbindung nur auf bestimmtem Port zulassen
Ich habe einen VPN-Server (Freeswan 1.99) an dem sich verschiedene Roadwarrior verbinden. Jeder Roadwarrior hat eine eigene Connection in ipsec.conf.
Einen dieser Roadwarrior (dyn. IP) möchte ich nur auf einen Port im Subnet begrenzen, alle anderen (auch dyn. IPs) dürfen alle Ports verwenden. Geht das? Und wenn ja, wie?
kannst du nicht mit DNS arbeiten (dynDNS) für den roadwarrior und dann eine entsprechende iptables rule stricken?
greez
Das ist ein interessanter Ansatz. Ich hab leider keinen Zugriff auf die Roadwarrior (macht ein Freund) und hatte eigentlich gehofft, dass ich eine Lösung finde, die sich direkt in Freeswan (ipsec.conf) implementieren läßt.
Wenn es mit Freeswan direkt nicht geht, werd ich aber auf jeden Fall mal die Variante genauer anschauen.
mach freeswan für jeden roadwarrior einen eigenen prozess auf?
hab nur einmal damit gearbeitet und kann mich net mehr erinnern
greez
Hi,
das sollte über die ipsec.conf in dem Abschnitt für den betreffenden RW mit der Option "leftupdown" möglich sein. Du kannst hier den Pfad zu einem Shellskript angeben, das ausgeführt wird, wenn die Connection aufgebaut wird, also der Client quasi "anruft". Innerhalb des Skripts kannst Du auf eine Reihe von Umgebungsvariablen zugreifen; so auch auf die Variable $PLUTO_PEER_CLIENT, die die aktuell IP-Adresse des RW enthält.
Damit kannst Du auch dynamisch mit "iptables -[A|I] -s $PLUTO_PEER_CLIENT ..." eine weitere Paketfilterregel generieren.
Doku in "man 5 ipsec.conf" und "man 8 ipsec_pluto" :)
Harry
Genau so etwas hab ich mir vorgestellt, aber im manual anscheinend immer überlesen (oder nicht kapiert ;) ).
Danke für die Hilfe, Harry, und natürlich auch alle Anderen!
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.