Hallo,
ich habe ein problem. Ich versuche hier eine ipsec verbindung mit freeswan innerhalb des gleich subnetzes aufzubauen. Das sieht dann so aus, das rechs und links die kisten hinter dem gateway ips aus dem gleichen subnetz haben. Also zB rechts 192.168.0.1, 192.168.0.3 und links 192.168.0.2,192.168.0.4.
Ich suche jetzt schon nen ganze Weile im Netz, aber ich habe nur gefunden das sowas funktioniert, aber ich finde nicht wie sowas funktioniert. Ich habe etwas von bridging und von proxy_arp gelesen, weiss aber nich ob das das richtige ist.
Kann mir da jemand weiterhelfen ? Gibts da irgendwo eine Anleitung für sowas ? Oder weiss jemand wie man das zum laufen bekommt ?
Natürlich das ganze auf Linuxkisten. Ich nutze Debian.
Hoffe ich habe alles beschrieben, wenn noch was fehlt dann bitte beschweren.


Vielen Dank
Torsten

Hallo Torsten,

üblicherweise verbindet man mittels ipsec (FreeSWAN) zwei oder mehr Netze. Jedes dieser Netze verfügt dabei über ein eigenes Gateway auf dem die Daten der angeschlossenen Netzteilnehmer ver- bzw. entschlüsselt und authentifiziert werden.

Für Dein Vorhaben würde dies folgendes bedeuten:
- Du benötigst zwei unterschiedliche Subnetze (bspw. 192.168.0.0/29 und 192.168.0.8/29 oder ähnlich)
- Du benötigst innerhalb jedes dieser Netze ein eigenes Gateway
- Auf den Gateways konfigurierst Du FreeSWAN mit den Routen für das Partnernetz
- Auf den Clients wird es jeweils eine Default-Route tun

Man kann in der Praxis auch "Peer-to-Peer" Verbindungen über ipsec (also von jedem Rechner zu jedem anderen) aufbauen, doch verbietet sich das zumeist aus praktikablen Gründen.

Anleitungen zum Aufbau eines FreeSWAN-VPN findest Du unter http://www.freeswan.org.

Harry

Hallo,

ich weiss, dass ich wahrscheinlich an deiner Frage vorbeiantworte, aber ich benutze IPSec eigentlich nur mit *BSD, über FreeS/WAN kann ich dir nicht viel sagen.
Deshalb: warum teilst du nicht dein Subnet? Also eins mit den Adressen 192.168.0.1-127 und das zweite mit 192.168.0.128-254? Denn es ist doch relativ unwahrscheinlich, dass du alle IPs im C-Netz nutzt, oder? Es gibt doch so ein lustiges Programm, mit dem man die zugehörigen Netmasks ausrechnen kann, muss jetzt aber tippen wie das heisst... ipcalc vielleicht?!
Dann würde sich die Umstellung doch auch in Grenzen halten, oder?
Nur so als Tip(p),

emwe

Original geschrieben von emwe
Es gibt doch so ein lustiges Programm, mit dem man die zugehörigen Netmasks ausrechnen

Oder Binärrechnen lernen, dann musst Du nicht immer ein Tool rauskramen.
Ist auch nicht schwer, wenn man's einmal kapiert hat.

Original geschrieben von bom
Oder Binärrechnen lernen, dann musst Du nicht immer ein Tool rauskramen.
Ist auch nicht schwer, wenn man's einmal kapiert hat.
Jo genau - so schwer ist es nicht, auch wenn die /29 als Subnetzmaske in meinem Vorschlag irgendwie komisch ausschaut :D

Harry

@Harry /29 sind immerhin 6 nutzbare Adressen. Das reicht mit Sicherheit 95% der User hier für zu Hause :)

Original geschrieben von bom
@Harry /29 sind immerhin 6 nutzbare Adressen. Das reicht mit Sicherheit 95% der User hier für zu Hause :)
Genau - und diese 6 nutzbaren IP-Adressen pro Subnetz reichen genau für die Anforderungen aus, die Torsten oben geschildert hat :D

Harry

Hi,
erstmal danke für die antworten.
Es handelt sich hierbei um ziemlich viele computer, und ich will nicht alles umstellen. Das eigentlich wichtige Problem ist aber das die rechner alle in einer windowsdomäne hängen, und das geht nur wenn sie im gleich subnetz sind. Deswegen brauche ich sowas.
Mit verschiedenen Subnetzen funzt freeswan prima, das hab ich schon getestet. Aber wie gesagt ich brauche wirklich einen VPN in ein und demselben subnetz.
Hat jemand eine idee ?

MfG
Torsten

Hallo Torsten,

irgendwie habe ich das Gefühl, dass es für Dein Problem eine bessere Lösung gäbe ... jedoch kennen wir Dein Problem bisher zu wenig.
Vielleicht zeigst Du einfach mal in kurzen Stichpunkten auf, warum Du eine VPN-Verbindung zwischen den Rechnern in Deinem Netz für sinnvoll hältst.

btw: Du kannst auch Windows-Rechner aus unterschiedlichen Subnetzen in einer Domäne zusammenfassen => WINS.

Harry

Das mit NetBIOS ist so eine Sache...

Du kannst auch in mehreren Subnets damit arbeiten.
Dazu wird allerdings ein WINS-Server benötigt und Du musst NetBIOS trafific über Deine Leitung lassen(was ich nie machen würde.....)

Ansonsten sieht's mit VPN ganz schlecht aus, da eben dieselben IP-Adressen auf beiden Seiten verwendet werden(Admin hauen der das verbrochen hat... wer nimmt auch schon 192.168.0.0/24 her...).

Das wird nie hinhauen. Denk einfach mal an das routing!
Client auf Seite A mit 192.168.0.99 will zu Server 192.168.0.56 auf Seite B.
Das Paket wird niemals am Router bzw. VPN Gateway ankommen, da er beim suchen nach der 192.168.0.56 in seinem Subnetz sucht und dazu ersteinmal einen arp request macht. Da arp bzw. rarp nur in ein und demselben Subnet funktioniert, bekommt er keine Antwort und damit ist die Sache dann für ihn gestorben.

Dir wird also nichts anderes übrig bleiben, als eine Seite in ein anderes Subnet zu packen.
Such Dir am besten die Site mit den wenigsten Server aus, da Du dann am wenigsten zu tun hast.
Da Du sagtest, dass er viele PCs sind, gehe ich davon aus, dass Du DHCP verwendest. Also dann kein Thema(wenn nicht wieder Admin hauen :D)

Hab genau das auch vor, zwei gleiche Subnetze mit VPN zu verbinden.

Einerseits müsste es mit proxy-arp gehen (aber warsch. nur mit einem Rechner, proxy-arpen mag ich eh nich gern) und andererseits mit ner Bridge.

Jetzt hab ich gelesen dass das neue CIPE bridgen kann:

Release 1.5 CIPE 1.5 brings back protocol 4 for newer Linux kernels and it is even possible to run an Ethernet bridge over CIPE (under 2.4 or using the bridge patches for 2.2). CIPE 1.5 also contains the first version of PKCIPE.

Hat das schon jemand mal versucht?
Sonst muss ich das wohl oder übel mal testen ;)
Mal schaun ob das mit Freeswan auch geht.

Falls es nicht hinhaut kann ich ja immer noch subnetting machen.

Grüsse, Stefan

Also ich hab das gestern mit FreeS/WAN geschafft. Allerdings nich mit RSA sondern PSK (in der ipsec.secrets), aber das sollte mit RSA auch funktionieren.
Hier die Config:
(192.168.0.12)
conn blubb
type=tunnel
# Left security gateway, subnet behind it, next hop toward right.
left=192.168.0.12
leftsubnet=0.0.0.0/0
# Right security gateway, subnet behind it, next hop toward left.
right=192.168.0.13
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
auto=add
authby=secret
pfs=no
compress=no

(192.168.0.13)
conn blubb
type=tunnel
# Left security gateway, subnet behind it, next hop toward right.
left=192.168.0.13
# Right security gateway, subnet behind it, next hop toward left.
right=192.168.0.12
rightsubnet=0.0.0.0/0
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
auto=add
authby=secret
pfs=no
compress=no

Nach dem Aufbau der Verbindung konnte 192.168.0.13 nicht mehr ins Internet, da 192.168.0.12 als NAT-Gateway fungiert und ich kein NAT-T-Patch installiert hab, aber die Kommunikation zwischen 192.168.0.12 und 192.168.0.13 lief verschlüsselt - quod erat demonstrandum :D

Gruß,
Thorsten

So gerade eben steht mein cipe-VPN, schauen wir doch mal ob das hinhaut..

1. Netzwerk 192.168.1.0/24 mit Router 192.168.1.1

2. Netzwerk 192.168.1.0/24 mit Router 192.168.1.100

Jetzt will ich vom Netzwerk 1 aus _nur_ auf den Router 1.100 kommen..
das muss doch mit proxy-arp gehen.

Bridgen kann man die beiden Netzwerke indem man die cipdb0-Geräte mit brctl packt und zur internen Netzwerkkarte bridged, wär kein Problem.

Grüsse, Stefan