Site2site VPN mit Zonen-Firewall

    Ich habe grade ein kleines Problem beim Einrichten eines site-to-site VPN zwischen 2 Vyatta Routern.


    Spoiler anzeigen


    Auf dem anderen Router natürlich das Gegenstück, der Tunnel ist auch up. NAT exception für Masquerade habe ich erstellt.


    destination {
    address 10.52.0.0/24
    }
    exclude
    outbound-interface eth0
    source {
    address 10.42.0.0/24
    }
    translation {
    address masquerade
    }



    Bleibt Traffic von 10.42.0.0 nach 10.52.0.0 nun innerhalb der Zone? Ich kann ja für das VPN keine Zone erstellen.
    Oder geht der Tunnel-Traffic vom entsprechenden Subnet auf die local zone, übers VPN und dann von der local Zone aufs andere Subnet?


    Edit: 2. Spoiler entfernt da immer der Erste aufgeht.

    So wie ich dich verstanden habe meinst du das z.B: 10.42.0.0/24 dann nicht auf 10.52.1.0/24 zugreifen kann?


    Normalerweise sollte das nicht gehen solange du kein Routing zwischen den beiden Subnets einrichtest.

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

    Wie hast du das Routing gemacht? Mit VRF oder mit normalen Routes? Wo hast du überhaupt den Vyatta her und warum? :gap

    Bremsen macht die Felge dreckig!
    Mitglied der PC4all Schlägertruppe!!!
    DutcheKa (04:41 PM) : aye, skipper ;)
    ...Weasel stopped DLS spamming-spree!
    "National sein heisst nicht, fremde Völker hassen, sondern das eigene Volk lieben." Peter Rosegger (1843 - 1918)
    Unbent, Unbowed, Unbroken! ©Hammerfall 2005 - Pain is temporary, Pride is forever ©? - ONE SHALL STAND. ONE SHALL FALL.©The Transformers 1984


    Meine Ricardo-Auktionen!

    Hap jetzt rausgefunden was das Problem ist.


    Von 10.52.0.0/24 nach 10.42.0.0/24 landen die Pakete auf eth0 anstatt eth1.
    in die andere Richtung landen die Pakete beim richtigen Interface.
    Scheint also wirklich ein Routing-Problem zu sein. Ist aber komisch da ich keine static routes oder routing policies definiert habe.


    Interfaces:
    A:
    Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
    Interface IP Address S/L Description
    --------- ---------- --- -----------
    eth0 91.121.xx.xx/24 u/u
    eth1 10.52.0.1/24 u/u


    und


    B:
    Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
    Interface IP Address S/L Description
    --------- ---------- --- -----------
    eth0 212.47.xx.xx/24 u/u
    eth1 10.42.0.1/24 u/u



    DLS: Vyatta kriegt man hier: http://packages.vyatta.com/vyatta/iso/VC6.6/
    Habe aber eigentlich VyOS, da Vyatta Core von Brocade kaputtgemacht wird ^^.

    Das Problem war, dass Pakete die über den IPSEC Tunnel laufen standardmässig auf dem WAN Interface ankommen, ich ging davon aus dass diese auf das Interface gehen wo die IP drauf ist die ich tunnle. Dort habe ich natürlich keine Regel die den Zugriff auf das interne Netz zulässt. Mit der entsprechenden Regel (src=10.42.0.0/24 dst=10.52.0.0/24 von WAN auf LAN) funktionierts jetzt.

    Nice to know.


    Wie meinst du das, dass Brocade Vyatta kaputtmacht?
    Wir haben bei einem Kunden gerade Perf-Tests gemacht mit dem 5400, war leider sehr enttäuschend. Ev. geht der 5600 besser.

    Bremsen macht die Felge dreckig!
    Mitglied der PC4all Schlägertruppe!!!
    DutcheKa (04:41 PM) : aye, skipper ;)
    ...Weasel stopped DLS spamming-spree!
    "National sein heisst nicht, fremde Völker hassen, sondern das eigene Volk lieben." Peter Rosegger (1843 - 1918)
    Unbent, Unbowed, Unbroken! ©Hammerfall 2005 - Pain is temporary, Pride is forever ©? - ONE SHALL STAND. ONE SHALL FALL.©The Transformers 1984


    Meine Ricardo-Auktionen!

    Ich präzisiere: Vyatta Community Edition, für die zahlenden Kunden dürfte es besser/gleich sein.
    Gibt keine Updates mehr und das alte Forum mit dem gesammelten Know-How haben sie eingestampft.