Kalle-Klump
Verdienter Ex-Admin
- Dabei seit
- 21.05.2001
- Beiträge
- 26.069
- Reaktionspunkte
- 17
Der Beitrag "Ecki’s Place Tunnels are cheap" ist mir bekannt, versuche diesen umzusetzen (mittels eroute). Folgende Konstellation:
Ich sitze an Client A und will auf einem Client in Netzwerk C zugreifen. Zwischen Firewall A und B gibt es einen IPsec Tunnel. Clients vom Netzwerk B können auf Ressourcen von Netzwerk C zugreifen. Der Zugriff von B nach C funktioniert nur wenn Firewall B die Daten masqiert (iptables -t nat -A CUSTOMPOSTROUTING -o eth2 -d 169.25.0.125 -j MASQUERADE und ich in der Oberfläche der Firewall B in DMZ-Schlupflöcher [GREEN/RED/ORANGE] die jeweiligen Ports freigebe). Die Kommunikation von B nach C funzt einwandfrei. Mein begehr ist von Netzwerk A auch auf Netzwerk C zuzugreifen (identische Ports, die von Netzwerk B erreichbar sind). Ich hab dazu auf Client A eine Default Route für Netzwerk C mit Ziel Router A gesetzt. Auf Firewall A setzte ich eine eroute (ipsec eroute --add --eraf inet --src 192.168.0.0/24 --dst 169.25.0.0/24 --af inet --edst 196.29.29.29 --spi 0x135 --proto tun ).
PING ist auf Firewall C nicht freigegeben, Tests sind deswegen schon eingeschränkt. Traceroute auf Firewall A gibt Anfragen auf Netzwerk C zur roten Schnittstelle, nächster Hop ist das Default Gateway zum roten Interface von Firewall A. Danach kommen noch ein paar öffentliche Router, aber nicht wirklich das was ich will. Wo ist mein Denkfehler?!?!
Ich sitze an Client A und will auf einem Client in Netzwerk C zugreifen. Zwischen Firewall A und B gibt es einen IPsec Tunnel. Clients vom Netzwerk B können auf Ressourcen von Netzwerk C zugreifen. Der Zugriff von B nach C funktioniert nur wenn Firewall B die Daten masqiert (iptables -t nat -A CUSTOMPOSTROUTING -o eth2 -d 169.25.0.125 -j MASQUERADE und ich in der Oberfläche der Firewall B in DMZ-Schlupflöcher [GREEN/RED/ORANGE] die jeweiligen Ports freigebe). Die Kommunikation von B nach C funzt einwandfrei. Mein begehr ist von Netzwerk A auch auf Netzwerk C zuzugreifen (identische Ports, die von Netzwerk B erreichbar sind). Ich hab dazu auf Client A eine Default Route für Netzwerk C mit Ziel Router A gesetzt. Auf Firewall A setzte ich eine eroute (ipsec eroute --add --eraf inet --src 192.168.0.0/24 --dst 169.25.0.0/24 --af inet --edst 196.29.29.29 --spi 0x135 --proto tun ).
PING ist auf Firewall C nicht freigegeben, Tests sind deswegen schon eingeschränkt. Traceroute auf Firewall A gibt Anfragen auf Netzwerk C zur roten Schnittstelle, nächster Hop ist das Default Gateway zum roten Interface von Firewall A. Danach kommen noch ein paar öffentliche Router, aber nicht wirklich das was ich will. Wo ist mein Denkfehler?!?!