OVPN Roadwarrior in IPSEC routen

Das schwierige Thema VPN!
fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: OVPN Roadwarrior in IPSEC routen

Post by fow0ryl » October 20th, 2019, 5:23 pm

Hallo Chris,

danke für deine Glückwünsche. Aber ohne deine Vorarbeit wäre ich da nicht hingekommen. Also nochmal Dank an dich zurück.

Mit dem Einrichten über die WUI habe ich schlechte Erfahrungen gemacht :(
So hat z.B. das SNAT damit scheinbar gar nicht funktioniert. Und wie bei dir, kann ich nur auf einem Produktionssystem testen.
Brauche also etwas, das 100% nachvollziehbar ist und notfalls von einem DAU vor Ort bedient werden kann.
Ganz abgesehen davon sieht die WUI bei mir völlig anders aus (ipfire-2.23-core136), was die Sache für einen Anfänger nicht gerade einfacher macht !
Die Ergonomie des WUI finde ich ohnehin nicht gerade prall. So werden z.B. Fehlermeldungen so unscheinbar präsentiert, das sowohl ich, als auch mein Bekannter sie praktisch immer übersieht.

Inhaltlich argumentierst du auf der einen Seite so, das es besser sei, Regeln nur selektiv einzusetzen. Da bin ich bei dir. Bei der Variante über das ipsec-policy script geschieht das aber zu einem großen Teil. Bei der WUI ist die Regel hingegen unabhängig vom ipsec immer da. Oder etwa nicht?
Mir fehlt da zu viel Hintergrundwissen, oder ich steh einfach nur auf dem Schlauch.

Die SNAT Regel wird vom Script nur dann aktiviert, wenn (pro IPSEC Konfigurationszeile) 2 Bedingungen gegeben sind.
1. Die Verbindung muss aktiv sein (gilt bisher schon grundsätzlich für alle IPSEC Regeln)
2. Es muss mindestens ein zweites lokales Netz definiert sein. Das trifft bei den meissten Anwendungsfällen wahrscheinlich nicht zu.

Die gleichen Regeln gelten auch für die Entschärfung des IPSECBLOCK. Es wird ja schließlich kein einfaches "iptables -F IPSECBLOCK" gemacht.
Ganz so pauschal, wie du es -vielleicht überspitzt- dargestellt hast, ist es also nicht.
Nur wenn man in einer Regel mehrere "rechte" Subnetze verwendet, kann man in der jetzigen Version nicht selektieren, für welches der "rechten" Subnetze die Eintragungen gemacht werden sollen. Das war aber auch nicht mein Anwendungsfall. Da darfst du dich gern austoben ;)

Wir wollen hier ja Alle an der Verbesserung des ipfire mitarbeiten. Der eine oder andere Irrweg wird sich dabei wohl nicht vermeiden lassen.
Und die Modifikation der ipsec-policy ist erst mal nur ein Testballon. Beim nächsten Update könnte es ziemlich schnell eng werden.
Also her mit neuen Ideen....

Gruß
Henning

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: OVPN Roadwarrior in IPSEC routen

Post by ChrisK » October 20th, 2019, 5:34 pm

Hallo Henning,

ich glaube du hast mich etwas falsch verstanden: Das granulare Entschärfen des IPSECBLOCKs finde ich ja gut. Die Idee das selektiv über das Source-Netz zu machen ist glaube ich der richtige Ansatz!
Lediglich das automatische Erzeugen des NATings an dieser Stelle im Skript halte ich für problematisch aus den bereits genannten Gründen.

Deine WUI sieht komplett anders aus? Das kann gut sein. Ich habe unter "System->Benutzeroberfläche" den Style "ipfire" eingestellt. Dann sieht es eben so aus.

Was die gedachte Funktion des IPSECBLOCK angeht: Ich habe das im Changelog so verstanden dass es eben genau in dem Fall dass eine IPSec-Verbindung down ist sämtlichen Traffic dahin schucken soll damit es nicht fälschlicherweise direkt über RED rausgeht.
Das erfüllt die Regel auch. Die Fehlfunktion ist, dass sie sämtlichen Traffic zwischen den Tunneln frisst sobald irgend einer der IPSec-Tunnel down ist.
Vielleicht wäre es auch eine Idee wenn die WUI beim Erzeugen eines NATing prüft, ob sich das Zielnetzwerk in einem IPSec-Tunnel befindet und dann entsprechend eine "Ausnahme" (wie deine Idee mit dem "iptables -A IPSECBLOCK -s "${leftsubnet}" -d "${rightsubnet}" -j ACCEPT") einfügt.

VG
Chris

fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

Re: OVPN Roadwarrior in IPSEC routen

Post by fow0ryl » October 20th, 2019, 6:28 pm

Hallo,

als Style habe ich auch ipfire gewählt.
Dennoch sieht es ganz anders aus ...
So fehlen z.B. die ganzen OpenVPN Einträge.
2019-10-20 20_19_34-ipfire-x86-64.png
Gruß
Henning

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: OVPN Roadwarrior in IPSEC routen

Post by ChrisK » October 21st, 2019, 9:28 am

Hallo Henning,

ich glaube die OpenVPN-IFs tauchen nur dann dort auf, wenn man auch net2net-Tunnel über OpenVPN eingerichtet hat.
Aber vom Prinzip her ist das Problem beim Zugriff auf IPSec-Tunnel von RoadWarrior aus ja das gleiche wie aus einem OpenVPN-Netzwerk.

Post Reply