Libreswan VPN met SNAT source-ip

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • chrisO
  • Registratie: Mei 2003
  • Laatst online: 06-06 14:22
In een testomgeving probeer ik een IPSec VPN tunnel op te zetten tussen 2 computers met behulp van LibreSwan:

Computer A (192.168.150.12)
Computer B (192.168.150.14)

Op computer B draait ook nog een docker Nginx container met ip: 172.17.0.2

Het is de bedoeling dat:
  1. Computer A dmv de VPN bij Nginx kan komen op computer B
  2. De source-IP van computer A dient te worden aangepast, zodat deze in het 172.17.0.0/24 subnet ligt
De VPN tunnel realiseren zonder het 2e punt lukt (de source-IP is dan 10.0.0.1 ipv 172.17.0.120)
Het probleem is dat er met de aangepaste source-ip (172.17.0.120), geen ESP netwerk packets meer over de externe verbinding van computer A naar computer B gaan.

Dit is de configuratie die LibreSwan gebruikt op computer A:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
conn default
   authby=secret
   auto=start
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   ikelifetime=86400s      
   ikev2=yes
   pfs=yes
   salifetime=3600s
   left=192.168.150.12
   leftsourceip=172.17.0.120
   leftsubnet=10.0.0.0/24
   right=192.168.150.14
   rightsubnet=172.17.0.0/24
   type=tunnel
   vti-interface=vti0
   vti-routing=no
   mark=5/0xffffffff


Relevante ip routes:
  • 10.0.0.0/24 dev vti0 proto kernel scope link src 10.0.0.1
  • 172.17.0.0/24 dev vti0 scope link src 172.17.0.120
Ik heb ook al geprobeerd om ipv de leftsourceid de source-ip aan te passen mbv een SNAT post-routing regel, maar dan blijft hetzelfde issue; de packets gaan wel naar de vti0 interface, maar er verlaten geen ESP packets computer A.

Waarom werkt het met het aangepaste source-ip niet, en hoe los ik dit op?

Alle reacties


Acties:
  • 0 Henk 'm!

  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 19:45

Hero of Time

Moderator LNX

There is only one Legend

Je kan niet hetzelfde subnet hebben aan beide kanten van de tunnel. Heb je dat toch, dan zal je met NAT moeten gaan werken om toch een ander subnet te hebben in je Phase 2 configuratie. De reden dat het niet meer werkt zodra je hetzelfde subnet hebt, is dat de routering niet weet waar het verkeer heen zou moeten. Het is namelijk locally connected alsmede aan de andere kant van de tunnel. Dat gaat niet. Het is het equivalent voor een IP conflict, twee systemen die hetzelfde IP adres hebben. Want wat bepaald nou of 172.17.0.2 lokaal op je netwerk is, of aan de andere kant van de tunnel?

Commandline FTW | Tweakt met mate