Grundproblem

• Um den Ping zu einem Netz vom VPN Gateway zu ermöglichen wendet Strongwan einen Trick an
• Die Route zum Partner Netz wird von der inneren Source Ip gesetzt.
• 192.168.202.0/24 via 192.168.6.202 dev enp0s3 proto static src 192.168.201.1

[Bearbeiten]

• Wenn nun das Nat falsch ist und auch die Pakete ins Partner Netz genatet werden.
• Wird die Adresse des nächsten Gateway Richtung anderes VPN Gateway benutzt.
• Das ist normalerweise der Router des Providers.
• Im Labor ist es aber das Labor Gateway selbst und dort landet der unverschlüsselte Verkehr.
• Dieser kann dann auch beantwortet werden.

Gefahr in der realen Welt

• Bei Fehlkonfiguration ist der Traffic bis zum Gateway der Providers unverschlüsselt
• Dieser sollte die Pakete verwerfen da es sich um eine private IP handelt.
• Wenn man, was selten vorkommt, eine öffentliche IP in die VPN packt.
• Geht diese komplett unverschlüsselt über das Netz.