[SOLVED] Site-to-site-VPN (IPSec): Routingprobleme

[Graefe]

Hallo,
ich habe es als Anfänger nach vielen Tagen endlich geschafft, auf einem Debian-11-basierten Container mit StrongSwan ein Site-to-site-VPN per IPSec zustande zu bringen. Auf Seite A habe ich routerseits (Ubiquiti DreamMachine Pro) ein Port-forward für 500 und 4500 auf die lokale IP des Containers gemacht. Ansonsten im Knoten und Container keine Firewall-Regeln, TUN-Device habe ich aktiviert. Gegenseite (Seite B) Fritzbox mit integriertem VPN-Server.

Aktueller Stand:
1) der VPN-Tunnel wird aufgebaut.
2) Von der Konsole des VPN-Containers (Seite A) können alle Geräte auf Seite B angepingt werden. Aber die sonstigen Geräte im Netzwerk Seite A können keine Geräte auf Seite B anpingen.
3) Von allen Geräten auf Seite B kann nur die lokale IP des VPN Containers (Seite A) angepingt werden, die sonstigen Geräte auf Seite B nicht.
Was läuft hier schief? Offensichtlich ist die Verbindung zwischen Container und dem lokalen Netzwerk auf Seite A gestört. Ich habe keine Ahnung, wo ich jetzt weiter suchen soll. Ist das Problem Container-seits zu suchen? Oder sind das die Firewall-/Routingeinstellungen des Routers?
Vielen Dank für Tipps!
Graefe

 

[coldenburg]

IPSec debuggen ist natürlich immer nicht ganz so einfach, erst recht nicht wenn man die Konfiguration nicht kennet.
Pauschal würde ich jetzt erstmal prüfen ob alle Zielnetze korrekt in der Phase 2 Definition auf beiden Seiten enthalten sind und auch korrekt in den Tunnel geroutet werden.
Was sagt denn das Logfile von StrongSWan dazu.

 

[Graefe]

Hm, hier mal die Konfiguration:

config setup
conn praxis
compress=yes
aggressive=yes
fragmentation=yes
keyexchange=ikev1
mobike=yes
reauth=yes
rekey=yes
forceencaps=no
installpolicy=yes
type=tunnel
dpdaction=restart
dpddelay=10s
dpdtimeout=60s
left=%default route
leftid=sxxx.ddnss.de
right=bxxx.ddnss.de
ikelifetime=3600s
lifetime=3600s
ike=aes256-sha512-modp1024!
reqid=1
rightsubnet=192.168.5.0/24
leftsubnet=192.168.3.0/24
esp=aes256-sha512-modp1024!
authby=secret
auto=start

Und hier das StrongSwan log:

Feb 7 21:42:33 vpn charon: 14[JOB] DPD check timed out, enforcing DPD action
Feb 7 21:42:33 vpn charon: 14[IKE] restarting CHILD_SA buero
Feb 7 21:42:33 vpn charon: 14[IKE] initiating Aggressive Mode IKE_SA buero[3] to 87.178.33.224
Feb 7 21:42:33 vpn charon: 14[ENC] generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
Feb 7 21:42:33 vpn charon: 14[NET] sending packet: from 192.168.3.19[500] to 87.178.33.224[500] (370 bytes)
Feb 7 21:42:33 vpn charon: 06[NET] received packet: from 87.178.33.224[500] to 192.168.3.19[500] (578 bytes)
Feb 7 21:42:33 vpn charon: 06[ENC] parsed AGGRESSIVE response 0 [ SA KE No ID HASH V V V V V V NAT-D NAT-D ]
Feb 7 21:42:33 vpn charon: 06[IKE] received XAuth vendor ID
Feb 7 21:42:33 vpn charon: 06[IKE] received DPD vendor ID
Feb 7 21:42:33 vpn charon: 06[IKE] received NAT-T (RFC 3947) vendor ID
Feb 7 21:42:33 vpn charon: 06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Feb 7 21:42:33 vpn charon: 06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Feb 7 21:42:33 vpn charon: 06[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
Feb 7 21:42:33 vpn charon: 06[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
Feb 7 21:42:33 vpn charon: 06[IKE] local host is behind NAT, sending keep lives
Feb 7 21:42:33 vpn charon: 06[IKE] IKE_SA buero[3] established between 192.168.3.19[sxxx.ddnss.de]...87.178.33.224[bxxx.ddnss.de]
Feb 7 21:42:33 vpn charon: 06[IKE] scheduling reauthentication in 2530s
Feb 7 21:42:33 vpn charon: 06[IKE] maximum IKE_SA lifetime 3070s
Feb 7 21:42:33 vpn charon: 06[ENC] generating AGGRESSIVE request 0 [ HASH NAT-D NAT-D ]
Feb 7 21:42:33 vpn charon: 06[NET] sending packet: from 192.168.3.19[4500] to 87.178.33.224[4500] (236 bytes)
Feb 7 21:42:33 vpn charon: 06[ENC] generating QUICK_MODE request 944775398 [ HASH SA No KE ID ID ]
Feb 7 21:42:33 vpn charon: 06[NET] sending packet: from 192.168.3.19[4500] to 87.178.33.224[4500] (428 bytes)

192.168.3.19 ist die lokale Adresse des Proxmox-Containers, auf dem StrongSwan läuft. 87.178.33.224 ist die korrekt aufgelöste öffentliche DynDNS-Adresse der Gegenstelle.
Hilft das weiter?

 

[Graefe]

Ich habe nun eine Static Route im Router auf das VPN-Gateway (Next Hop) für alle Aufrufe von Seite A auf das Subnetz von Seite B eingerichtet. Es läuft!