Version vom 9. Dezember 2022, 05:52 Uhr

Grundproblem

Um den Ping zu einem Netz vom VPN Gateway zu ermöglichen wendet Strongwan einen Trick an
Die Route zum Partner Netz wird von der inneren Source Ip gesetzt.
192.168.202.0/24 via 192.168.6.202 dev enp0s3 proto static src 192.168.201.1

Wenn nun das Nat falsch ist und auch die Pakete ins Partner Netz genatet werden.
Wird die Adresse des nächsten Gateway Richtung anderes VPN Gateway benutzt.
Das ist normalerweise der Router des Providers.
Im Labor ist es aber das Labor Gateway selbst und dort landet der unverschlüsselte Verkehr.
Dieser kann dann auch beantwortet werden.

Bei Fehlkonfiguration ist der Traffic bis zum Gateway der Providers unverschlüsselt
Dieser sollte die Pakete verwerfen da es sich um eine private IP handelt.
Wenn man, was selten vorkommt, eine öffentliche IP in die VPN packt.
Geht diese komplett unverschlüsselt über das Netz.

@@ Zeile 1: / Zeile 1: @@
+=Grundproblem=
 *Um den Ping zu einem Netz vom VPN Gateway zu ermöglichen wendet Strongwan einen Trick an
-*Die Route zum Partner netz wird von der inneren Source Ip gesetzt.
+*Die Route zum Partner Netz wird von der inneren Source Ip gesetzt.
 *192.168.202.0/24 via 192.168.6.202 dev enp0s3 proto static src 192.168.201.1
 {{#drawio:strongswan-sicher1}}
+*Wenn nun das Nat falsch ist und auch die Pakete ins Partner Netz genatet werden.
+*Wird die Adresse des nächsten Gateway Richtung anderes VPN Gateway benutzt.
+*Das ist normalerweise der Router des Providers.
+*Im Labor ist es aber das Labor Gateway selbst und dort landet der unverschlüsselte Verkehr.
+*Dieser kann dann auch beantwortet werden.
+=Gefahr in der realen Welt=
+*Bei Fehlkonfiguration ist der Traffic bis zum Gateway der Providers unverschlüsselt
+*Dieser sollte die Pakete verwerfen da es sich um eine private IP handelt.
+*Wenn man, was selten vorkommt, eine öffentliche IP in die VPN packt.
+*Geht diese komplett unverschlüsselt über das Netz.