IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 14.12.2017, 10:57

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 27.01.2017, 15:16 
Offline
Chief Inspector
Themenstarter
Chief Inspector
Benutzeravatar

Registriert: 22.04.2010
Beiträge: 199
Hallo,
ich möchte folgendes Szenario realisieren: 2 Standorte die per IPSEC Net-to-Net verbunden sind. Zusätzlich ist der IPCop1 ein OpenVPN Roadwarrior auf den sich verschiedene Clients (Homeoffice) verbinden sollen.
Nur wie ist es möglich, dass die OpenVPN Clients eine Verbindung in den Standort 2 (Ipcop2) bekommen und umgedreht Rechner aus dem Standort 2 Zugriff auf die Rechner im OpenVPN Netz haben?

Bild
Bild

Ich habe probiert mein IPSEC Netz mittels der Netzmaske zu erweitern:
Zitat:
IPCop1 (der auch OpenVPN managed):
grün: 192.168.0.0/24
OpenVPN: 192.168.2.0/24
und IPSec Local Subnetz auf 192.168.0.0/22
PLUS openvpn server.conf
"push 192.168.0.0 255.255.252.0" <- Damit alle im Netzwerk erreichbar sind
"push 192.168.1.0 255.255.255.0" <- Damit auch das fremde Netzwerk über IPSec erreichbar ist

den anderen IPCop2 (Netzwerk in den alle von IPCop1 reinwollen):
grün: 192.168.1.0/24
und IPSec Remote Subnetz auf 192.168.0.0/22


Wenn ich das allerdings mache bricht bei beiden Cop's die Verbindung ab. Es geht lokal nichts mehr, kein DHCP, kein Ping, TOD.
Ich kann beide Ipcop's dann nur neu starten (blöd weil einer der beiden ja im anderen Standort steht :roll: ) und so schnell wie möglich über das Webfrontend den Tunnel deaktiveren. Wie kann das passieren? Verschlüsselung zu hoch?

Ergo, funktioniert es nicht über IPSEC die Netzmaske zu erweitern, da ich mir jedesmal die Cop's abschieße!

Ipcop1
Code:
# net-2-net to RED
conn TunnelZuStandort2
        left=%defaultroute
        leftsubnet=192.168.0.0/255.255.252.0
        right=ipcop2.dyndns.de
        rightsubnet=192.168.1.0/255.255.255.0
        leftid="@ipcop1.dyndns.de"
        rightid="@ipcop2.dyndns.de"
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start


Ipcop2
Code:
# net-2-net to RED
conn TunnelZuStandort1
        left=%defaultroute
        leftsubnet=192.168.1.0/255.255.255.0
        right=ipcop1.dyndns.de
        rightsubnet=192.168.0.0/255.255.252.0
        leftid="@ipcop2.dyndns.de"
        rightid="@ipcop1.dyndns.de"
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start


Wie kann ich mein Vorhaben realisieren?

Vielen Dank! MfG :winken:

_________________
IPCop v2.1.9 // Futro S200 // 512 MB RAM // 800 Mhz // 4GB CF-Karte // Green + Red (ADSL2) (FritzBox 7312)
IPCop2 v2.1.9 // Futro S200 // 512 MB RAM // 800 Mhz // 4GB CF-Karte // Green + Red (VDSL2) (Sphairon Speedlink 1113 VDSL2 Modem)


Nach oben
   
BeitragVerfasst: 27.01.2017, 16:08 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 05.06.2009
Beiträge: 602
Wohnort: Nordlicht im Ländle
Hallo aTg!s,

die Rechner aus Homeoffice X erreichen die Rechner in Grün 1 (Grün am Standort 1, also 192.168.0.0/24), weil der IPCop die Pakete von OpenVPN-Netzwerk (192.168.2.0/24) nach Grün 1 routet. Wie die Routing-Tabelle aussieht, das kannst Du im GUI unter Status / Netzwerkstatus / Einträge der Routing-Tabelle nachlesen. Dort wirst Du keinen Routing-Eintrag finden, über den Pakete aus 192.168.2.0/24 in Richtung Grün 2, also nach 192.168.1.0/24 über das VPN geroutet werden.

Wie Du diese Routen gezielt setzt, kann ich Dir aber nicht sagen. Das dürfte etwas Gebastel erfordern. Ich bin an der Lösung interessiert ;-)

Grüße, zargano


Nach oben
   
BeitragVerfasst: 01.02.2017, 14:37 
Offline
Thread-Maintainer
Thread-Maintainer
Benutzeravatar

Registriert: 22.09.2006
Beiträge: 309
Hallo zusammen,

das lässt sich mit zusätzlichen IPSec Tunneln realisieren. Dann braucht man auch nichts händisch routen.

In den Einstellungen musst du unter lokales Subnetz dein OpenVPN Subnetz eintragen.

Ich habe mich an Eckis Tutorial gehalten http://ipcop.gutzeit.ch/2006/02/18/tunnels-are-cheap.htm

MfG
kaschuppke

_________________
Wer Zeit findet darf Sie behalten

Bild Bild Bild Bild


Nach oben
   
BeitragVerfasst: 01.02.2017, 20:15 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 05.06.2009
Beiträge: 602
Wohnort: Nordlicht im Ländle
kaschuppke hat geschrieben:
das lässt sich mit zusätzlichen IPSec Tunneln realisieren.
Stimmt! Manchmal sieht man halt den Wald vor lauter Bäumen nicht :sagnix:

Grüße, zargano


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de