:strip_exif()/u/53402/krat.gif?f=community)
Ik heb een VPN verbinding nodig tussen een client netwerk en een server. Het client netwerk heeft een publiek dynamisch IP adres, de server een vast publiek IP adres. Aan beide kanten heb ik een Ubuntu 8 server staan met Openswan. De authenticatie verloopt via X509 certificaten.
De huidige configuratie is als volgt:
Server:
- IP adres 72.58.xxx.xxx
- Subnet 255.255.255.248
ipsec.conf:
De client:
- IP adres: dynamic
- Lokaal ip adres: 10.0.3.1
- Subnet: 255:255:255:0
- Client in het netwerk 10.0.3.16
Ipsec.conf:
De verbinding wordt nu netjes opgezet. Daarnaast kan ik ook daadwerkelijk pingen vanaf de server naar de client en het netwerk daarachter. Andersom echter niet. Ik kan wel pingen, er is gewoon een beschikbare route, maar dit gaat niet via de tunnel.
Ik heb getracht dit op te lossen door aan beide kanten in de ipsec.conf 3 regels toe te voegen:
Dan wordt de verbinding nog steeds gewoon opgezet, maar het verkeer blijft buiten de tunnel omgaan.
Ik heb zelf mijn sterke twijfels bij de parameter leftsubnet en rightsubnet, volgens mij zouden deze anders moeten zijn op de beide uiteinde van dit netwerk. Als ik dat echter doe wordt de tunnel helemaal niet meer opgezet, INVALID_ID_INFORMATION is dan de melding.
Ik zit even vast...
De huidige configuratie is als volgt:
Server:
- IP adres 72.58.xxx.xxx
- Subnet 255.255.255.248
ipsec.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
| version 2.0
config setup
interfaces=%defaultroute
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8
plutodebug=none
plutostderrlog=/var/log/pluto.log
conn %default
keyingtries=100
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn road
left=72.58.xxx.xxx
leftsubnet=72.58.xxx.xxx/32
leftcert=server.comp.nl.pem
right=%any
rightsubnet=10.0.3.0/24
auto=add
pfs=yes
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore |
De client:
- IP adres: dynamic
- Lokaal ip adres: 10.0.3.1
- Subnet: 255:255:255:0
- Client in het netwerk 10.0.3.16
Ipsec.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
| config setup
interfaces=%defaultroute
nat_traversal=yes
plutodebug=none
plutostderrlog=/var/log/pluto.log
conn %default
keyingtries=%forever
compress=yes
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn road
left=72.58.xxx.xxx
leftsubnet=72.58.xxx.xxx/32
leftcert=server.comp.nl.pem
right=%defaultroute
rightsubnet=10.0.3.0/24
rightcert=client03.comp.nl.pem
auto=start
pfs=yes
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore |
De verbinding wordt nu netjes opgezet. Daarnaast kan ik ook daadwerkelijk pingen vanaf de server naar de client en het netwerk daarachter. Andersom echter niet. Ik kan wel pingen, er is gewoon een beschikbare route, maar dit gaat niet via de tunnel.
Ik heb getracht dit op te lossen door aan beide kanten in de ipsec.conf 3 regels toe te voegen:
code:
1
2
3
| conn road-all
leftsubnet=0.0.0.0/0
also=road |
Dan wordt de verbinding nog steeds gewoon opgezet, maar het verkeer blijft buiten de tunnel omgaan.
Ik heb zelf mijn sterke twijfels bij de parameter leftsubnet en rightsubnet, volgens mij zouden deze anders moeten zijn op de beide uiteinde van dit netwerk. Als ik dat echter doe wordt de tunnel helemaal niet meer opgezet, INVALID_ID_INFORMATION is dan de melding.
Ik zit even vast...
http://www.bonuszoeken.nl