[openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?
Hallo,
ich habe einen IPsec-VPN-Server, der mich damals bei der Einrichtung ziemlich
Nerven gekostet hat ... Nach langem Probieren hatte ich dann folgende
Konfiguration:
Server ist über PPPoE/DSL mit der Welt verbunden und hat seine eigene (aber
täglich wechselnde) IP.
Aus der /etc/ipsec.conf (left ist local, right remote):
# <vigor_client>
conn vigor
authby=secret
auto=add
compress=yes
left=84.179.65.xxx
leftsubnet=192.168.1.0/24
right=%any
rightsubnet=192.168.0.0/24
type=tunnel
# </vigor_client>
Wenn sich die IP des Servers ändert, ändert ein ip-up.d/Skript die Zeile
"left=<ip>" und startet den ipsec-Dienst neu. Dann kann sich der Client neu
verbinden. Anders ging das damals irgendwie nicht, weil beide Tunnelenden
eine dynamische IP hatten, und ipsec "%any" bei left UND right nicht
akzeptierte ...
Jetzt möchte ich den Server hinter einen NAT-Router (Fritz!Box) stellen.
Der Server hätte also ein neues Subnetz mit dem Router.
Dieser Router (192.168.254.254) ist so eingestellt, daß er alle Pakete, die
nicht für ihn selbst sind (die Fritz!Box macht beispielsweise VoIP), an den
Debain-Server (192.168.254.1) weiterleitet (im Fritz-Konfigurationsmenü heißt
das "exposed Host" -- ist das sowas wie 'ne DMZ?).
Was muß dann bei "left=" eingetragen werden?
Bonusfrage: Hätte es auch eine elegantere Variante gegeben, als jedesmal die
IP in der conf-Datei zu ändern?
Liebe Grüße
Daniel
Reply to: