PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPSec-Verbindung nur auf bestimmtem Port zulassen



Slurm
08.05.04, 10:26
Ich habe einen VPN-Server (Freeswan 1.99) an dem sich verschiedene Roadwarrior verbinden. Jeder Roadwarrior hat eine eigene Connection in ipsec.conf.

Einen dieser Roadwarrior (dyn. IP) möchte ich nur auf einen Port im Subnet begrenzen, alle anderen (auch dyn. IPs) dürfen alle Ports verwenden. Geht das? Und wenn ja, wie?

emba
08.05.04, 18:44
kannst du nicht mit DNS arbeiten (dynDNS) für den roadwarrior und dann eine entsprechende iptables rule stricken?

greez

Slurm
08.05.04, 19:00
Das ist ein interessanter Ansatz. Ich hab leider keinen Zugriff auf die Roadwarrior (macht ein Freund) und hatte eigentlich gehofft, dass ich eine Lösung finde, die sich direkt in Freeswan (ipsec.conf) implementieren läßt.

Wenn es mit Freeswan direkt nicht geht, werd ich aber auf jeden Fall mal die Variante genauer anschauen.

emba
08.05.04, 19:05
mach freeswan für jeden roadwarrior einen eigenen prozess auf?
hab nur einmal damit gearbeitet und kann mich net mehr erinnern

greez

Harry
11.05.04, 17:55
Hi,

das sollte über die ipsec.conf in dem Abschnitt für den betreffenden RW mit der Option "leftupdown" möglich sein. Du kannst hier den Pfad zu einem Shellskript angeben, das ausgeführt wird, wenn die Connection aufgebaut wird, also der Client quasi "anruft". Innerhalb des Skripts kannst Du auf eine Reihe von Umgebungsvariablen zugreifen; so auch auf die Variable $PLUTO_PEER_CLIENT, die die aktuell IP-Adresse des RW enthält.

Damit kannst Du auch dynamisch mit "iptables -[A|I] -s $PLUTO_PEER_CLIENT ..." eine weitere Paketfilterregel generieren.

Doku in "man 5 ipsec.conf" und "man 8 ipsec_pluto" :)

Harry

Slurm
11.05.04, 18:07
Genau so etwas hab ich mir vorgestellt, aber im manual anscheinend immer überlesen (oder nicht kapiert ;) ).

Danke für die Hilfe, Harry, und natürlich auch alle Anderen!