NFtables - Strongswan IPSEC Linux PSK - Security und Firewall Labor
Zur Navigation springen
Zur Suche springen
Partner Parameter definieren
define partnerip = 192.168.hs.2yy
define partnervpnnet = { 172.16.2yy.0/24, 172.17.2yy.0/24 }
Input Chain
- IKE Verbindungsaufbau und ESP freischalten vom VPN Partner
ct state new iif $wandev ip saddr $partnerip ip daddr $wanip udp dport 500 accept ct state new iif $wandev ip saddr $partnerip ip daddr $wanip ip protocol esp accept
Forward Chain
- Ok - Die Partnernetz dürfen bei uns rein
ct state new iif $wandev oif $landev ip saddr $partnervpnnet ip daddr $lan accept ct state new iif $wandev oif $serverdev ip saddr $partnervpnnet ip daddr $server accept
- Besser - meta ipsec exists prüft, ob ein Paket durch IPsec verschlüsselt/authentifiziert wurde
ct state new iif $wandev oif $landev ip saddr $partnervpnnet ip daddr $lan meta ipsec exists accept ct state new iif $wandev oif $serverdev ip saddr $partnervpnnet ip daddr $server meta ipsec exists accept
Postrouting
Wir müssen die VPN Netze zur Gegenseite vor dem SNATen rausholen
oif $wandev ip saddr $lan ip daddr $partnervpnnet return oif $wandev ip saddr $server ip daddr $partnervpnnet return