Dennis, In einer Gateway2Gateway Lösung kannst Du AFAIK die VPNServer nicht gegenseitig erreichen, Du kannst aber trotzdem den Tunnel ins andere Netz nutzen. Versuch mal ein Host2Host vpn zu basteln, außer, Du gibst Dich damit wie es jetzt ist zufrieden ;-) Stefan
Ich beschäftige mich nun schon seit einigen Tagen damit, mein Heim-Netz und das Heim-Netz eines Freundes per FreeS/WAN VPN zusammenzubringen. Die Situation ist folgende:
Mein Netz: Hauptserver (DNS, DHCP, Samba, FTP) 192.168.1.250/255.255.255.0 Router (+VPN) 192.168.1.254/255.255.255.0 1 WinXP Client 192.168.1.1 DSL-Verbindung zum Internet ppp0, dyn. IP
Netz von meinem Kollegen: Hauptserver und Router (+VPN) (1 PC) 192.168.1.1/255.255.255.0 2 Clients WinXP 192.168.1.25 und .26 /255.255.255.0 DSL-Verbindung zum Internet ppp0, dyn. IP
Beide Internetverbindungen machen Masquerading über SuSE-FW2. UDP-500, 50,51 habe ich freigeschaltet.
Die Konfigurationsdatei /etc/ipsec.conf sieht auf beiden Seiten so aus: ---schnipp--- config setup interfaces=%defaultroute klipsdebug=all plutodebug=all plutoload=%search plutostart=%search uniqueids=no
conn %default keyingtries=0 compress=yes disablearrivalcheck=no authby=secret
conn vpn left=<Dynamic-DNS ICH> leftsubnet=192.168.1.0/24 leftnexthop=%defaultroute (bei Kollegen steht hier meine ppp0 P-t-P IP) right=<Dynamic-DNS KOLLEGE> rightsubnet=192.168.1.0/24 rightnexthop=<P-t-P IP von ppp0> (bei Kollegen steht hier auch %defaultroute) type=tunnel auto=add authby=secret ---schnapp---
/etc/ipsec.secrets sieht so aus:
---schnipp
: PSK "passphrase" ---schnapp--- Wenn ich nun IPSec durch "rcipsec start" starte und danach auf einer Seite die Verbindung durch "ipsec --auto vpn" starten will, kann ich nach einigen Sekunden meinen Router nicht mehr pingen und muss ihn neustarten....
Ich denke die Konfigurationsdateien müsseten in Ordnung sein, da er mir in /var/log/messages anzeigt: router01 pluto[16209]: added connection description "vpn" router01 pluto[16209]: | 192.168.1.0/24===<IP ppp0>---<IP ppp0 P-t-P>... ...<IP ppp0 P-t-P>---<IP ppp0>===192.168.1.0/24
Nach dem Verbindungsstart durch "ipsec --auto vpn" taucht in /var/log/messages u.A. folgendes auf: ---schnipp--- Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: found address family=2, AF_INET, 217 .225.222.28. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: found src address. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: successful. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_msg_interp: processing ext 6 c17129f8 with processor c3c4c240. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: found address family=2, AF_INET, 80. 135.110.228. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: found dst address. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: tdb_said.dst set to 80.135.110.228. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_address_process: successful. Apr 1 17:50:43 router01 kernel: klips_debug:pfkey_msg_interp: processing ext 21 c1712a10 with processor c3c4c240. ---schnapp---
skb->len=75 hard_header_len:0 Apr 1 17:52:05 router01 kernel: klips_debug: IP: ihl:20 ver:4 tos:0 tlen:75 id:37059 DF frag_off:0 tt l:54 proto:6 (TCP) chk:11594 saddr:xxx.xxx.xxx.xxx:pppp daddr:192.168.1.250:3518 Apr 1 17:52:05 router01 kernel: klips_debug:ipsec_findroute: xxx.xxx.xxx.xxx->192.168.1.250 Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: * See if we match exactly as a host destination Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: ** try to match a leaf, t=0xc17124c0 Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: *** start searching up the tree, t=0xc17124c0 Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: **** t=0xc17124d8 Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: **** t=0xc3f8c3e0 Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: ***** cp2=0xc276acf8 cp3=0xc0b11510 Apr 1 17:52:05 router01 kernel: klips_debug:rj_match: ***** not found. Apr 1 17:52:05 router01 kernel: klips_debug:ipsec_tunnel_start_xmit: checking for local udp/500 IKE pac ket saddr=c3ee000f, er=00000000, daddr=c0a801fa, er_dst=0, proto=6 sport=0 dport=0 Apr 1 17:52:05 router01 kernel: klips_debug:ipsec_tunnel_start_xmit: Original head,tailroom: 84,1441 Apr 1 17:52:05 router01 kernel: klips_debug:ipsec_tunnel_start_xmit: shunt SA of DROP or no eroute: dro
Und nach einiger Zeit noch folgendes: (was dann immer wieder so weiter geht, bis zum Neustart *g*) ---schnipp--- Apr 1 17:52:04 router01 kernel: NET: 3 messages suppressed. Apr 1 17:52:04 router01 kernel: martian source 192.168.1.254 from 192.168.1.250, on dev eth0 Apr 1 17:52:04 router01 kernel: ll header: ff:ff:ff:ff:ff:ff:00:04:76:0b:93:f9:08:06 Apr 1 17:52:05 router01 kernel: klips_debug:ipsec_tunnel_start_xmit: pping. ---schnapp
Hat jemand eine Idee oder einen Tipp, wo mein Problem liegt? Liegt es vielleicht daran, dass wir beide ein lok. Netz 192.168.1.* haben und die Rechner mit den Routen durcheinanderkommen? Habe mich schon die ganze Zeit gefragt, ob das geht, aber leider nichts gefunden.