Re: [openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?

To: debian-user-german@lists.debian.org
Subject: Re: [openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?
From: Daniel Musketa <Daniel@musketa.de>
Date: Tue, 23 May 2006 23:08:48 +0200
Message-id: <[🔎] 200605232308.49174.Daniel@musketa.de>
In-reply-to: <[🔎] 200605231351.43277.msc@antzsystem.de>
References: <[🔎] 200605231000.56352.Daniel@musketa.de> <[🔎] 200605231351.43277.msc@antzsystem.de>

Am Dienstag 23 Mai 2006 13:51 schrieb Markus Schulz:
> On Tuesday 23 May 2006 10:00, Daniel Musketa wrote:
> > ich habe einen IPsec-VPN-Server, 
[...]
> > Server ist über PPPoE/DSL mit der Welt verbunden und hat seine eigene
> > (aber täglich wechselnde) IP.
> >
> > Aus der /etc/ipsec.conf (left ist local, right remote):
> >
> > 	# <vigor_client>
> > 	conn vigor
> > 		authby=secret
> > 		auto=add
> > 		compress=yes
> > 		left=84.179.65.xxx
>
> Versuch mal:
>                 left=%defaultroute
>
> > 		leftsubnet=192.168.1.0/24
> > 		right=%any
> > 		rightsubnet=192.168.0.0/24
> > 		type=tunnel
> > 	# </vigor_client>
>
> So hatte ich das früher bei FreeSWan. Dort habe ich dann die Einwahl per
> Cronjob nachts von Hand neu gemacht (damit immer zur gleichen Uhrzeit)
> und das IPSec neu gestartet. Dabei muss man dann nichts im Configfile
> ersetzen.
> Das sollte bei OpenSWan auch funktionieren.

Das habe ich gerade (noch unter dem PPPoE-Setup) mal probiert: Setze ich 
"left=%defaultroute" und starte ipsec neu, wird keine Verbindung aufgebaut. 
auth.log erhält die Meldung 

    pluto[14997]: packet from <remote ip>:500: initial Main Mode message
    received on <local ip>:500 but no connection has been authorized

Setze ich wieder die aktuelle (öffentliche) IP und restarte ipsec, bekomme ich 
sofort eine Verbindung:


Am Dienstag 23 Mai 2006 10:00 schrieb Daniel Musketa:
> Jetzt möchte ich den Server hinter einen NAT-Router (Fritz!Box) stellen.
> Der Server hätte also ein neues Subnetz mit dem Router.
> Dieser Router (192.168.254.254) ist so eingestellt, daß er alle Pakete, die
> nicht für ihn selbst sind (die Fritz!Box macht beispielsweise VoIP), an den
> Debain-Server (192.168.254.1) weiterleitet (im Fritz-Konfigurationsmenü
> heißt das "exposed Host" -- ist das sowas wie 'ne DMZ?).
>
> Was muß dann bei "left=" eingetragen werden?
> 
> Bonusfrage: Hätte es auch eine elegantere Variante gegeben, als jedesmal
> die IP in der conf-Datei zu ändern?

War das "%defaultroute" Deine Empfehlung für das bestehende (Bonusfrage) oder 
das geplante Setup hinter dem NAT-Router?


Liebe Grüße

Daniel




PS: Warum bekomme ich erst jetzt (22:58 Uhr) Nachrichten von 15:19 Uhr? Liegt 
das an mir oder an der Liste (bin erst neu dabei)?

Reply to:

References:
- [openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?
  - From: Daniel Musketa <Daniel@musketa.de>
- Re: [openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?
  - From: Markus Schulz <msc@antzsystem.de>

Prev by Date: [evtl OT] ACPI Tabelle in der Win Registry [war: Langläufiger Linux Laptop?]
Next by Date: Encoding beim Speichern von Datein mit VIM
Previous by thread: Re: [openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?
Next by thread: Re: [openSwan] ipsec.conf: Welche IP bei left= wenn hinter NAT-Router?
Index(es):
- Date
- Thread