NFtables - Strongswan IPSEC Linux PSK - Security und Firewall Labor
Zur Navigation springen
Zur Suche springen
Partner Parameter definieren
- vim /etc/nftables-vars.conf
define PARTNERIP = 192.168.hs.2YY
define PARTNERVPNNET = { 172.26.2YY.0/24, 10.2YY.1.0/24 }
Input Chain
- IKE Verbindungsaufbau und ESP freischalten vom VPN Partner
ct state new iif $WANDEV ip saddr $PARTNERIP ip daddr $WANIP udp dport 500 accept ct state new iif $WANDEV ip saddr $PARTNERIP ip daddr $WANIP ip protocol esp accept
Forward Chain
- Ok - Die Partnernetze dürfen bei uns rein
ct state new iif $WANDEV oif $LANDEV ip saddr $PARTNERVPNNET ip daddr $LAN accept ct state new iif $WANDEV oif $SERVERDEV ip saddr $PARTNERVPNNET ip daddr $SERVER accept
- Besser - meta ipsec exists prüft, ob ein Paket durch IPsec verschlüsselt/authentifiziert wurde
ct state new iif $WANDEV oif $LANDEV ip saddr $PARTNERVPNNET ip daddr $LAN meta ipsec exists accept ct state new iif $WANDEV oif $SERVERDEV ip saddr $PARTNERVPNNET ip daddr $SERVER meta ipsec exists accept
Postrouting
Wir müssen die VPN-Netze zur Gegenseite vor dem SNATen rausholen.
ip saddr $LAN oif $WANDEV ip daddr $PARTNERVPNNET return ip saddr $SERVER oif $WANDEV ip daddr $PARTNERVPNNET return