IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 19.04.2018, 13:26

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 5 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: VPN Net-to-Net NAT config
BeitragVerfasst: 23.09.2016, 15:19 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 27.10.2005
Beiträge: 28
Wohnort: Landshut
Hallo,

ich hoffe ihr könnt mir bei einem kleinen Problem helfen.
Ich muss einen VPN aufbauen mit NAT.
Hier mal die Vorgaben, die ich dazu bekommen habe:

IPSec USA Peer: 204.x.x.x

IPSec Munich Peer: 88.x.x.x


PreShared Key: <key>

Ike: AES (256 bit), SHA1, DF2
8 hours

ESP: AES (256 bit), SHA1
8 hours

NO PFS

The encryption domains are as follows:

Germany USA
10.228.0.0/16 10.5.10.0/23

We need you to NAT your internal IP addresses to a range that is compatible with our corporate network before they traverse the VPN tunnel. Please do a 1 to 1 NAT for your IP range as below.

1:1 NAT

110.0.0.0/24 = 10.228.88.0/24
110.10.10.0/24 = 10.228.89.0/24


Den VPN ipsec habe ich soweit im IpCop Gui konfiguriert (da sollte soweit alles richtig sein - hoffe ich).

Mir geht es jetzt noch um die NAT config.

Hab vorher schon mal ein wenig hier nachgesehen und ähnliche Threads gefunden.

Von daher denke ich, ich muss dies über iptable Einstellungen lösen.

Liege ich extrem falsch wenn ich z.B. für den 110.0.0.0 Bereich folgende Befehle eingebe:

/sbin/iptables -t nat -A CUSTOMPREROUTING -o ipsec0 -d 10.228.88.0/24 -s 110.0.0.0/24 -j NETMAP --to 10.5.10.0/23
/sbin/iptables -t nat -A CUSTOMPOSTROUTING -o ipsec0 -d 10.5.10.0/23 -s 110.0.0.0/24 -j NETMAP --to 10.228.88.0/24

Würde mir dies das NAT für den Tunnel richtig einrichten? Hab bisher leider noch nie NAT gebraucht, daher bin ich hier etwas unsicher.
Unser 110er LAN ist eigentlich ein /8-Mask, aber für den Tunnel brauche ich nur die 110.0.0.x-Adressen und dann die 110.10.10.x mit (wenns so richtig ist) mit den entsprechenden zwei iptable commands.

Bin ich da jetzt völlig auf dem Holzweg, oder könnte dies so oder mit kleinen Änderungen funktionieren.

Nachtrag: Ich glaube die PRE ist falsch, die müste wohl eher so aussehen:

/sbin/iptables -t nat -A CUSTOMPREROUTING -o ipsec0 -d 10.228.88.0/24 -s 10.5.10.0/23 -j NETMAP --to 110.0.0.0/24

Für eure Hilfe im voraus vielen Dank,

Gruß, Joachim

_________________
Wer einen Rechtschreibfehler findet, darf ihn behalten ;-)))


Nach oben
   
 Betreff des Beitrags: Re: VPN Net-to-Net NAT config
BeitragVerfasst: 26.09.2016, 10:45 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 27.10.2005
Beiträge: 28
Wohnort: Landshut
Leider hat es so nicht funktioniert.

Ich habe die Zeilen in die rc.firewall.local unter start eingefügt und gespeichert. Den IpCop neu gestartet, aber wenn ich z.B. mit iptables -nvL CUSTOMPREROUTING danach suche, bekomme ich eine Fehlermeldung.
Wenn ich die iptables im GUI aufliste existiert auch weder CUSTOMPREROUTING noch CUSTOMPOSTROUTING.

Kann mir jemand hier helfen? Wo mache ich den Fehler?

OK, die CUSTOMPOSTROUTING und CUSTOMPREROUTING musste ich erst erzeugen, die gibt es jetzt, aber die Regel wird nicht übernommen?
Die Chains bleiben leer?

_________________
Wer einen Rechtschreibfehler findet, darf ihn behalten ;-)))


Nach oben
   
 Betreff des Beitrags: Re: VPN Net-to-Net NAT config
BeitragVerfasst: 26.09.2016, 20:26 
Offline
VPN-Experte
VPN-Experte
Benutzeravatar

Registriert: 04.02.2007
Beiträge: 260
Wohnort: Landsberg, Bayern, Deutschland
Servus

Zitat:
-o ipsec0
IPSec-Interfaces gibt es seit IPCop 2.x.x nicht mehr. Welche IPCop-Version verwendest du?
Die Fehlermeldung lautet bestimmt
Code:
iptables: No chain/target/match by that name.


Greetz
TwoFace

_________________
Über mich
Guggst du IPSec VPN hinter Routern
Bild


Nach oben
   
 Betreff des Beitrags: Re: VPN Net-to-Net NAT config
BeitragVerfasst: 26.09.2016, 21:32 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 27.10.2005
Beiträge: 28
Wohnort: Landshut
Hallo Greetz,

das hatte ich heute Abend auch schon gemerkt, da mir das Interface beim ifconfig fehlte. Ich verwende die 2.1.9.
Interessanterweise bekomme ich gar keine Fehlermeldung.
Jetzt stellt sich mir nur die Frage, wie ich das NAT einrichte. Im Moment habe ich da noch so keine Idee und leider läuft mir die Zeit weg.
Es muss doch eine Möglichkeit geben, wie man eine solche NAT einrichten kann?

Gruß,
Joachim

_________________
Wer einen Rechtschreibfehler findet, darf ihn behalten ;-)))


Nach oben
   
 Betreff des Beitrags: Re: VPN Net-to-Net NAT config
BeitragVerfasst: 27.09.2016, 08:47 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 27.10.2005
Beiträge: 28
Wohnort: Landshut
Kann die Version 2.1.9 dann überhaupt ein solches NAT?

Nachtrag:
Habs nun rausbekommen (nach vielen Tests). Ingesamt haben die iptables gestimmt (bis auf -i statt -o bei den PREROUTINGs). Man muss nur statt ipsec0 das wan-1 nehmen. Damit funktioniert das NAT und der Tunnel.
Die CUSTOMPOSTROUTING und CUSTOMPREROUTING die man per iptables -N <name> erzeugt, muss man auch in den Startbereich der rc.firewall.local setzen, sonst sind sie nach einem reboot weg.

_________________
Wer einen Rechtschreibfehler findet, darf ihn behalten ;-)))


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 5 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de