[Problem] FritzBox 7490 client und StrongSwan Server Traffic Routen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

d3a1hmas13r

Neuer User
Mitglied seit
28 Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

Meine Fritte verbindet sich erfolgreich mit einem StrongSwan Server per SiteToSite.
Mobile Clients (SmartPhones) können Sich auch Problemlos mit dem StrongSwan verbinden.
Pings vom HomeNet (hinter FB) zu den mobilen geräten und umgekehrt funktioniert soweit.
Die Teilnehmer können auch untereinander kommunizieren, ich kann auf das HeimNetz zugreifen.

Nun das eigentliche Problem:
Ich würde gerne mit meinen SmartPhones über die Internet Verbindung vom HomeNet surfen, d.h. den gesamten Traffic durch den Tunnel schicken.


283e8d-1552548346.png



Configs sehen so aus
StrongSwan IPsec (Version: 5.2.1):

Code: 
conn HomeNet
    type=tunnel
    left=serverip (10.10.10.10)
    [email protected]
    leftsubnet=192.168.113.0/24
    leftfirewall=yes
    ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
    esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
    right=%any
    [email protected]
    rightsubnet=192.168.13.0/24
    rightallowany=yes
    rightfirewall=yes
    mobike=no
    keyexchange=ike
    ikelifetime=3600s
    keylife=3600s
    authby=psk
    auto=add

Code: 
conn clients_HomeNet
    keyexchange=ikev2
    ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
    esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftauth=pubkey
    leftcert=serverCert.pem
    leftid="C=DE, O=VPN, CN=server.domain.vpn"
    leftsubnet=192.168.13.0/24
    leftfirewall=yes
    right=%any
    rightsourceip=192.168.113.0/24
    rightauth=pubkey1
    rightcert=clientCert.pem
    rightid="C=DE, O=VPN, CN=home.dyndns"
    rightauth2=eap-mschapv2
    auto=add

FritzBox (FritzOS: 7.01):
Code: 
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "vpn";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = serverip (10.10.10.10);
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "home.dyndns";
                }
                remoteid {
                        ipaddr = serverip (10.10.10.10);
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "verysecretPSK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.113.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.113.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Jemand Vorschläge was ich ändern muss?

Vielen Dank.
 
Zuletzt bearbeitet:
d3a1hmas13r schrieb:
Ich würde gerne mit meinen SmartPhones über die Internet Verbindung vom HomeNet surfen, d.h. den gesamten Traffic durch den Tunnel schicken.
Zum Vergrößern anklicken....
wenn die Fritzbox der Internet-Router ist, und die Smartphone über VPN ins Internet sollen;
warum richtest Du nicht direkt in der Fritzbox die VPN-Einwahl für SmartPhones ein ?
dies wäre doch naheliegend.
 
Moin,

danke für den Gedanken, das geht aber nicht da mein Internetanschluss keine Öffentliche IP hat somit ist die FB nicht erreichbar.

Danke.
 
ich gehe davon aus, dass der StrongSwan Server bei einem Hosting-Provider steht;
welches Betriebssystem läuft auf diesem Server ?
könntest Du da Policy-Based-Routing (PBR) per iproute2 installieren,
dann sollte die Anforderung aus #1 machbar sein;
 
Moin,
genau das ist ein Vollwärtiger V-Rootserver ich habe root zugang und kann rumspielen ;)
Als Debian ist derzeit Jessie drauf, denn nach dem Update auf Strech und StrongSwan 5.5.1 ging nichts mehr.

Was würdest du als konfig mit iproute2 empfehlen?

Danke
 
meine Idee war, PBR mit Selektor basierend auf Source-IPs (192.168.113.1, 192.168.113.2) wählen und dann next hop auf 192.168.13.1 setzen;
in wie weit IPsec-/IKE-Traffic mit PBR kompatibel ist, kann ich aus Stegreif heraus nicht sagen, dies muss noch genauer geprüft werden.

Andererseits sind die Möglichkeiten bei einem "Dual-Default-Gateway-Betrieb" begrenzt.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 466 (Mitglieder: 2, Gäste: 464)

Neueste Beiträge

Statistik des Forums

Themen
246,690
Beiträge
2,256,045
Mitglieder
374,664
Neuestes Mitglied
verrücktetmongo
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück