UPC / DMZ / IPFire

Alle technisch orientierten Fragen und Diskussionen zum Thema Internet-Zugänge via Fernsehkabel und Glas, Satellit und Stromleitungen.
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen zum Thema Internet-Zugänge via Fernsehkabel und Glas, Satellit und Stromleitungen.

Analog- und Digital-TV gehört in diese Kategorie.

Diskussionen ĂĽber Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER gefĂĽhrt.

Re: UPC / DMZ / IPFire

Beitragvon zid » Fr 04 Dez, 2015 12:01

hallo beneheld,

>"...Ich kann jeweils vom einen Netz den Host des anderen Netzes anpingen - die Geräte dahinter jedoch nicht..."
ich geh mal davon aus, das du mit "Host" den ipsec peer meinst.
da deine beschreibungen nicht sehr genau sind, kann ich mir nur 2 szenarien vorstellen:

1. die forward chain blockt den getunnelten traffic:
bei s2s hast du z.b.:
auf der linken seite das lan: 10.0.0.0/24
auf der rechten seite das lan: 10.0.1.0/24
security policy somit: 10.0.0.0/24 <-> 10.0.1.0/24
dann brauchst du in der forward chain auf der linken seite die regel (wobei ich jetzt davon ausgehe, daĂź du den enddropper ĂĽber die policy schauckelst und net explizit setzt):

Code: Alles auswählen
iptables -A FORWARD -s 10.0.1.0/24 -d 10.0.0.0/24 -j ACCEPT

und auf der rechten seite natĂĽrlich genau die umgekehrte regel:

Code: Alles auswählen
iptables -A FORWARD -s 10.0.0.0/24 -d 10.0.1.0/24 -j ACCEPT

2. auf der kritischen seite gilt: gate != ipsec-gate, wobei das ipsec-gate nicht nachgeschaltet ist, sondern als stub im netz des gate hängt:
also z.b.:
du hast auf der rechten seite das gate 10.0.1.1/24 und an dem router ist das ipsec-gate mit der ip 10.0.1.2/24 ĂĽber einen lanport verbunden. die rechner im rechten lan haben natĂĽrlich eine default route via 10.0.1.1 gesetzt, und wenn jetzt ein packerl aus dem linken netz mit der src-ip 10.0.0.x daherkommt, geht die antwort klarerweise zum 10.0.1.1, der aber nicht den tunnel terminiert, womit die ganze gschicht hoffnungslos schiefgeht.
du muĂźt also auf allen rechnern im rechten lan eine netzroute fĂĽrs linke lan via 10.0.1.2 setzen:

Code: Alles auswählen
ip r a 10.0.0.0/24 via 10.0.1.2

und fĂĽr die firewall gilt das im abschnitt 1 gesagte.


>"...wie bringe ich das eine Ende des Tunnels dazu, allen Traffic über das IPSec zu tunneln, damit es am anderen Ende rauskommt? Sprich ich möchte von ausserhalb über den Tunnel über meinen Anschluss daheim surfen..."
korrigier mich, wenn ich jetzt falsch lieg, aber ich begreif deine beschreibung so:
- grundsituation is s2s.
- und du möchtest hausnummer auf der linken seite nicht direkt über den inet access der linken seite ins netz gehen, sondern den traffic der linken seite durch den ipsec-tunnel schieben und danach über den inet access der rechten seite ins netz gehen. wir reden also wirklich über biederes s2s und net über road warrior/mode config, tunnel hopping, dynamische tunnel-/firewall-konfigs oder ähnliche spielchen, auf die meine leute (der riddik z.b. :D) so stehen?
wenn ja, dann einfach die security policy ändern von...
- 10.0.0.0/24 <-> 10.0.1.0/24
...auf
- 10.0.0.0/24 <-> 0.0.0.0/0
- forward chain auf der rechten seite fürs lan der linken seite öffnen:

Code: Alles auswählen
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT


einen kleinen epilog gibts natĂĽrlich auch:
falls an den beiden enden deines tunnels keine gerouteten netze im spiel sind, kannst du die forward chains auf beiden seiten komplett ausräumen, weil sie eh net zum zug kommen. eh klar, oder? und wenn 'ne forward chain leer is, gibts keinen zoff mim forwarding des tunnelled traffic... ;)



kleinem,

>"...Ăśber diesen Tunnel musst du dann eine Route ins jeweils andere Netz und umgekehrt setzen.."
nein, bei ipsec ist das nicht notwenig, weil die gschicht ĂĽber sie security policy erledigt wird. bei andren vpn-tunnels- ovpn, l2tp, pptp...- aber schon, weils dort keine security policy gibt...;)

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: UPC / DMZ / IPFire

Beitragvon Riddik » Fr 04 Dez, 2015 13:45

tunnel hopping, dynamische tunnel-/firewall-konfigs oder ähnliche spielchen, auf die meine leute (der riddik z.b. :D)

Tunnel Hoppen tu i am liebsten :D :D :D
:ok: :angel:
____________________________________________________
Lg Riddik
Riddik
Board-User Level 1
Board-User Level 1
 
Beiträge: 638
Registriert: Di 14 Feb, 2012 09:44

Re: UPC / DMZ / IPFire

Beitragvon zid » Fr 04 Dez, 2015 13:57

naja, wir wollns ja auch a biĂźl lustig ham, sonst wirds uns eh fad in der birn... :D

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Vorherige

ZurĂĽck zu KABEL & GLAS, SAT & STROM

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 20 Gäste