IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 19.08.2017, 13:06

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Routing über IPSec
BeitragVerfasst: 14.05.2017, 12:35 
Offline
Rookie
Themenstarter
Rookie

Registriert: 04.04.2015
Beiträge: 4
Hallo zusammen!

Ich habe zwischen 2 IPCops eine IPSec-Verbindung aufgebaut. In meinem eigenen Netz läuft ein Asterisk, der sich bei KDG sowie bei einer Telefonanlage in dem entfernten Netz (192.168.37.3) registrieren soll. Die Telefonanlage kann ich anpingen, die SIP-Pakete kommen jedoch nicht dort an. Statt dessen finde ich als Antwort-Ziel-IP jeweils meine eigene öffentliche IP-Adresse.

Code:
Protokoll    Original            Original            Antwort            Antwort            Ablaufdatum   Verbindung
          Quell-IP:Port          Ziel-IP:Port       Quell-IP:Port       Ziel-IP:Port          (sek.)       Status   
udp      192.168.36.202:5060   83.169.182.33:5060   83.169.182.33:5060   xxx.xxx.xxx.108:5060   3598          assured
udp      192.168.36.202:5060   192.168.37.3:5060    192.168.37.3:5060    xxx.xxx.xxx.108:5060   3599          unreplied

Das Merkwürdige daran ist, dass es manchmal funktioniert. Dann steht als Antwort-Ziel-IP - wie erwartet - die IP-Adresse des Asterisk (192.168.36.202) in der Liste.
Kann mir jemand diesen Effekt erklären? Ist es überhaupt ein IPCop-Problem?

Vielen Dank im Voraus!
Rob'


Nach oben
   
 Betreff des Beitrags: Re: Routing über IPSec
BeitragVerfasst: 14.05.2017, 18:27 
Offline
VPN-Experte
VPN-Experte
Benutzeravatar

Registriert: 04.02.2007
Beiträge: 254
Wohnort: Landsberg, Bayern, Deutschland
Servus,

könntest du noch mehr Details über deinen Netzaufbau posten? Skizee der Topologie, IP-Konfiguration des Asterisk-Rechners, der IPCops und der Telefonanlage sowie die ipsec.conf beider Cops.
Ich betreibe ebenfalls eine IPSec-Verbindung und hab in beiden grünen Netzwerken je einen Asterisk die sich tadellos miteinander unterhalten.

Viele Grüße
TwoFace

_________________
Über mich
Guggst du IPSec VPN hinter Routern
Bild


Nach oben
   
 Betreff des Beitrags: Re: Routing über IPSec
BeitragVerfasst: 16.05.2017, 00:08 
Offline
Rookie
Themenstarter
Rookie

Registriert: 04.04.2015
Beiträge: 4
Hallo TwoFace,

hier noch ein Ausschnitt aus der Verbindungstabelle:
Bild

Und das ist meine Netzwerkkonfiguration:

Asterisk (feste IP: 192.168.36.202) --- IPcop --- Kabelmodem <------------->DSL-Modem --- IPCop --- Auserswald Telefonanlage (feste IP: 192.168.37.3)
Beide Seiten haben jeweils eine dynamische IP-Adresse, und es ist auf beiden Seiten ein DynDNS-Dienst eingerichtet.

meine ipsec.conf:
Code:
version 2.0

config setup
        protostack=netkey
        klipsdebug="none"
        plutodebug="none"
        uniqueids=yes
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.36.0/255.255.255.0,%v4:!192.168.37.0/255.255.255.0

conn %default
        keyingtries=0
        disablearrivalcheck=no
        leftupdown=/usr/local/bin/ipsecupdown.sh

#
# net-2-net to RED
conn MeinIPSec
        left=xxxxxx.xxxxxxxx.de
        leftsubnet=192.168.36.0/255.255.255.0
        right=yyyyy.yyyyyyy.de
        rightsubnet=192.168.37.0/255.255.255.0
        leftid="@xxxxxx.xxxxxxxx.de"
        rightid="@yyyyy.yyyyyyy.de"
        ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024!
        esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5!
        ikelifetime=1h
        keylife=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        pfs=yes
        authby=secret
        auto=start

Auf den entfernten IPCop habe ich leider von hier aus keinen Zugriff. Erwähnen sollte ich noch, dass es mit einem Softphone auf meinem PC immer funktioniert.

Rob'


Nach oben
   
 Betreff des Beitrags: Re: Routing über IPSec
BeitragVerfasst: 16.05.2017, 00:47 
Offline
Rookie
Themenstarter
Rookie

Registriert: 04.04.2015
Beiträge: 4
Nachdem ich nun noch einmal gesucht habe, habe ich diesen Beitrag gefunden: http://www.ipcop-forum.de/forum/viewtopic.php?f=59&t=31134. Es scheint also so, dass mein Asterisk sich verbinden will, bevor der Tunnel aufgebaut ist. Der IpCop schickt dann die Pakete übers Internet, und das bleibt dann auch so, nachdem der Tunnel aufgebaut ist.

Gibt es auch eine Lösung für dieses Problem?

Rob'


Nach oben
   
 Betreff des Beitrags: Re: Routing über IPSec
BeitragVerfasst: 16.05.2017, 07:02 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 777
Hallo,
Asterisk Routen passen ?
(wieso darf der übers Internet überhaupt ?)

Fred


Nach oben
   
 Betreff des Beitrags: Re: Routing über IPSec
BeitragVerfasst: 16.05.2017, 12:51 
Offline
Rookie
Themenstarter
Rookie

Registriert: 04.04.2015
Beiträge: 4
Der Asterisk hat keine Routen und braucht auch keine bzw. würden sie ihm auch nichts nützen. Der IPCop kennt nur sein (Standard-)Gateway, und dorhin schickt er auch alle Pakete, was vollkommen richtig ist. Das Problem ist, dass zum Zeitpunkt, wenn der Asterisk aktiv wird, der Tunnel noch nicht eingerichtet ist. Der IPCop weiß also auch noch nichts von einem 192.168.37er Netz und sendet die Pakete ins Internet, wo sie im Nirvana verschwinden. Diese Einstellung - Pakete für 192.168.37.3 ins Internet schicken - bleibt erhalten, auch wenn der Tunnel dann aufgebaut ist. Der IPcop schickt also auch weiterhin alle Pakete für 192.168.37.3 ins Internet statt über den nun vorhandenen Tunnel. Wenn ich nun den Asterisk neu starten würde, würde es funktionieren. Und das erklärt auch, warum ich mit einem Softphone von meinem PC immer eine Verbindung hinkriege.

Die Frage lautet nun: Wie bringe ich meinen IPCop dazu, die einmal getroffene Einstellung zu verwerfen und die Pakete doch noch über den Tunnel zu schicken?

Ich sage schon mal danke für jeden Tip.

Gruß Rob'


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de