Moin zusammen,
ich denke die meisten wissen mit dem Begriff VPN etwas anzufangen. Meine Idee klingt eigentlich gar nicht so kompliziert: Zu Hause steht eine FritzBox, bei NetCup ein schicker VPS. Ein VPN zwischen den beiden wäre schön. Praktischerweise hat die FritzBox eine Unterstützung für Site2Site-VPN über IPSec. Auf dem Server läuft bereits sehr erfolgreich ein OpenVPN, Netzwerk-Kenntnisse sind (außer eben IPSec-spezifisches) vorhanden (Routing, iptables, ufw, sind mir alles wohlbekannte Begriffe). Meine (wie sich herausgestellt hat naive) Annahme: "Jetzt richte ich noch schnell das VPN zwischen Server und FritzBox ein". Denkste. Da sitze ich jetzt seit etlichen Tagen dran. Da hier aber anscheinend ein paar recht fähige Menschen rumlaufen gebe ich der Sache mal eine Chance und hoffe, dass mir von euch jemand weiterhelfen kann.
Das Setup
VPS bei NetCup, u. A. ein bridged interface (192.168.138.1/24), zu dem auch die OpenVPN-Verbindungen hingebridged werden
FritzBox 7590 (192.168.128.1/24) mit einer bereits aktiven Site2Site-VPN-Verbindung zu einer weiteren FritzBox 7490 (192.168.136.0/24)
Ziel(e)
- Vom VPS aus (192.168.138.1) auf Geräte aus dem Netz der FritzBox (192.168.128.x/24) zugreifen können
- Von den OpenVPN-Verbindungen auf Geräte aus dem Netz der FritzBox (192.168.128.x/24) zugreifen können
- Bonus: Vom OpenVPN auf (192.168.136.x/24) zugreifen können.
Mit einer Verbindung über den Ubuntu Network Manager (GUI) von irgendwo zur FritzBox kann ich beide FB-Subnetze erreichen, das klappt also einwandfrei. Jetzt aber gerne mit Site2Site.
Als Software auf Server-Seite für IPSec habe ich StrongSwan und Racoon gefunden, erster Versuch mit StrongSwan. Nach dem Wälzen der meisten Artikel, die es online zu dem Thema gibt, habe ich keine stabile Konfiguration hinbekommen. Häufigster Fehler:
Jan 10 08:31:29 gateway charon: 07[NET] received packet: from $fritzip[500] to $vpsip[500] (720 bytes)
Jan 10 08:31:29 gateway charon: 07[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
Jan 10 08:31:29 gateway charon: 07[IKE] received XAuth vendor ID
Jan 10 08:31:29 gateway charon: 07[IKE] received DPD vendor ID
Jan 10 08:31:29 gateway charon: 07[IKE] received NAT-T (RFC 3947) vendor ID
Jan 10 08:31:29 gateway charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 10 08:31:29 gateway charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jan 10 08:31:29 gateway charon: 07[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
Jan 10 08:31:29 gateway charon: 07[IKE] $fritzip initiating a Aggressive Mode IKE_SA
Jan 10 08:31:29 gateway charon: 07[IKE] IKE_SA (unnamed)[70] state change: CREATED => CONNECTING
Jan 10 08:31:29 gateway charon: 07[IKE] Aggressive Mode PSK disabled for security reasons
Jan 10 08:31:29 gateway charon: 07[IKE] queueing INFORMATIONAL task
Jan 10 08:31:29 gateway charon: 07[IKE] activating new tasks
Jan 10 08:31:29 gateway charon: 07[IKE] activating INFORMATIONAL task
Jan 10 08:31:29 gateway charon: 07[ENC] generating INFORMATIONAL_V1 request 777847307 [ N(AUTH_FAILED) ]
Jan 10 08:31:29 gateway charon: 07[NET] sending packet: from $vpsip[500] to $fritzip[500] (56 bytes)
Jan 10 08:31:29 gateway charon: 07[IKE] IKE_SA (unnamed)[70] state change: CONNECTING => DESTROYING
Alles anzeigen
Warum auch immer - manchmal klappt das mit der Verbindung (ESTABLISHED und so). ping geht trotzdem nicht durch.
Nächster Versuch mit Racoon: Angeblich schafft ders ne Verbindung herzustellen (trotz einer Meldung "ERROR: invalid transform-id=4 in IPCOMP"), ping geht auch nicht durch. Auf FritzBox-Seite leuchtet hier ein grünes Licht mit "alles bestens".
Da in den meisten Anleitungen im Internet nichts dergleichen steht, habe ich auch keine besonderen Routen eingerichtet. Mein Verständnis: Das Netz wird lokal nicht gefunden, also nimmts die default route. Eine ip policy Regel (welche von StrongSwan/racoon gesetzt wird) fängt Pakete an das Zielnetz ein, wickelt sie in IPSec und schickt sie weiter. Empfänger packt sie wieder aus.
Hat hier jemand schon mal Erfahrungen mit was vergleichbarem gesammelt, kennt sich mit IPSec aus oder möchte mir einfach Mut zusprechen? Dann Beileidsbekundungen und weitere Ideen zur Lösungsfindung gerne hierlassen. Danke!
Viele Grüße
Matthias