[lugbe] Ipsec mit FreeSWan über adsl-bridge

["Andreas Marbet" <andreas.marbet at bluefire.ch>]

Nach tagelangem Probieren noch ein Hilferuf an die Liste.

Ich versuche ein VPN aufzubauen zwischen Bern und einer Niederlassung in Deutschland (Ulm). In Bern sind wir mit einer Standleitung (fixe Ips) ans Netz angebunden, in Ulm ist vorläufig ein Zugang via T-DSL in Betrieb (dynamisch zugewiesene Adressen). An beiden Orten setze ich Firewalls (SuSE 8.0 und SuSE 7.3 mit FreeSWan 1.95 bzw 1.91) ein, derjenige in Ulm hat zwei Netzwerkkarten, eine am DSL-Modem, die andere fürs interne Netz. Der Firewall in Bern routet zwischen dem internen Netz und dem Internet.

Aufbau:

Netz Bern (192.168.1.0)
	|
	|
Firewall/VPN Bern
	|
	|
Irgendein Router
	|
	|
Internet
	|
	|
ADSL-Modem Ulm
	|
	|
Firewall/VPN Ulm
	|
	|
Internes Netz Ulm (192.168.69.0)

Ziel: die beiden internen Netze mit ipsec zu verbinden.

Ich habe bereits erfolgreich einige VPNs zwischen Bern und ADSL-Zugängen aufgebaut, allerdings noch nie mit einem Modem und nur in der Schweiz. Soweit vermute ich mal, dass die Konfiguration in Bern ok ist und nichts abgeblockt wird.

In Ulm funktioniert alles bis aufs ipsec. Der Start von FreeSwan verläuft wie ich es gewohnt bin; die beiden Firewalls authentifizieren sich und Pluto meldet anschliessend auf beiden Seiten "Ipsec SA established", die Einträge in der Routingtabelle (siehe unten) werden gesetzt.

Firewall-Ulm:~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.5.98.130    *               255.255.255.255 UH    0      0        0 ppp0
217.5.98.130    *               255.255.255.255 UH    0      0        0 ipsec0
192.168.69.0    *               255.255.255.0   U     0      0        0 eth0
192.168.100.0   217.5.98.130    255.255.255.0   UG    0      0        0 ipsec0
192.168.254.0   *               255.255.255.0   U     0      0        0 eth1
default         217.5.98.130    0.0.0.0         UG    0      0        0 ppp0


Firewall-Bern:~ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.50.228.48   *               255.255.255.240 U     0      0        0 eth1
195.50.228.48   *               255.255.255.240 U     0      0        0 ipsec0
192.168.69.0    195.50.228.yy   255.255.255.0   UG    0      0        0 ipsec0
192.168.100.0   *               255.255.255.0   U     0      0        0 eth0
default         195.50.228.yy   0.0.0.0         UG    0      0        0 eth1

Ich kann von keinem der beiden Endpunkte eine interne Maschine der Gegenstelle via ipsec erreichen (d.h. ping, ftp usw). Ein tcpdump -i ipsec0 meldet zwar ausgehende Pakete, dasselbe auf der Gegenstelle zeigt aber gar nichts.

Aufgefallen ist mir, dass ein ifconfig ipsec0 (nur in Ulm) nur unter 'dropped' etwas aufweist. Das kann ja wohl nicht gut sein.

Firewall-Ulm:~ # ifconfig ipsec0
ipsec0    Link encap:IPIP Tunnel  HWaddr
          inet addr:80.145.77.xx  Mask:255.255.255.255
          UP RUNNING NOARP  MTU:16260  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:16 overruns:0 carrier:0
          collisions:0 txqueuelen:10
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Das Spiel habe ich bereits mit SuSE 8.0 / FreeSWan 1.95 auf beiden Seiten wie auch mit SuSE 7.3 / FreeSWan 1.91 gespielt, mit identischem Ergebnis.
Das Modem in Ulm ist übrigens via Ethernetkarte (eth1) an den Firewall angeschlossen, das Modem fungiert als reine Bridge. Der DSL-Zugang ist via ppp0 und PPPoE.
Meine Kenntnisse in bridging und DSL-Modems sind minimal, wahrscheinlich ist hier auch das Problem. Werden die Routen richtig gesetzt? Was ist mit den dropped packets? Irgendein 'nexthop' - Eintrag ungültig

Kann mir irgendjemand weiterhelfen?

Andreas

------------ ipsec.conf Ulm -------------

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
# VPN-Gateway Ulm

# basic configuration
config setup
        # THIS SETTING MUST BE CORRECT or almost nothing will work;
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        plutoload=blueulm
        plutostart=blueulm
        uniqueids=yes

# defaults for subsequent connection descriptions
conn %default
        keyingtries=0
        authby=rsasig
        disablearrivalcheck=no
        compress=no
        right=195.50.228.yy
        rightid=195.50.228.yy
        rightsubnet=192.168.100.0/24
        rightnexthop=192.168.100.93

# connection for bluefire Ulm
conn blueulm
        auto=add
        rightrsasigkey=0sAQN8.......
        left=%defaultroute
        leftsubnet=192.168.69.0/24
        leftid= at vpnulm.bluefire.ch
        leftrsasigkey=0sAQN..............


------------- ipsec.conf Bern --------------------


# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
# VPN-Gateway bluefire Bern

# basic configuration
config setup
        interfaces="ipsec0=eth1"
        klipsdebug=none
        plutodebug=none
        plutoload=%search
        plutostart=%search
        uniqueids=yes

# defaults for subsequent connection descriptions
conn %default
        keyingtries=0
        authby=rsasig
        right=195.50.228.yy
        rightid=195.50.228.yy
        rightsubnet=192.168.100.0/24
        rightnexthop=195.50.228.49
        disablearrivalcheck=no

# connection for bluefire Ulm
conn blueulm
        auto=add
        rightrsasigkey=0sAQN......
        left=0.0.0.0
        leftsubnet=192.168.69.0/24
        leftid= at vpnulm.bluefire.ch
        leftrsasigkey=0sAQNsKw...........