IPSec Tunnel via KAME Tools

Zum Grundsätzlichen Aufbau des Tunnels geht man günstigstensfalls entsprechend des IPSec-Howtos ( http://www.ipsec-howto.org/x304.html ) vor.

Für nachfolgende Beispiele nehmen wir einen Tunnel zwischen 192.168.1.0/24 und 192.168.2.0/24 über zwei Router an.

192.168.1.1/24--Router 1--a.b.c.d  -------------> Transfernetz, z.B. Internet ------------------> e.f.g.h--Router2--192.168.2.1/24
      eth0                           eth1                                                                                      eth0                    eth1

Die Routen ins Zielnetz kann man einfach aufs Device legen. Z.B. auf Router 1

route add -net 192.168.2.0/24 eth1

und auf Router 2

route add -net 192.168.1.0/24 eth0

Soll von den Routern selbst auch auf die jeweiligen Zieladressen zugegriffen werden, so ist die Source-Adresse anzupassen. (Der Router nimmt defaultmäßig die IP Adresse des Netzinterfaces, welches dem Ziel am nächsten ist. Diese ist jedoch im Tunnel leider nicht definiert)

Also am Router 1

iptables -t nat -A POSTROUTING -d 192.168.2.0/24 -j SNAT --to-source 192.168.1.1

Und am Router 2

iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -j SNAT --to-source 192.168.2.1

... dann klappts auch mit dem Tunnelnachbarn :)

--- Michael Freitag