"e-route" (IPSEC)

18/01/2012 - 16:44 von Heiko Nocon | Report spam
Ich bin im Urlaub auf ein interessantes Problem gestoßen. Also nicht
wirklich ein Problem, denn es hat alles funktioniert, wie es soll. Das
Problem ist nur, daß ich nicht so richtig verstehe, warum es
funktioniert hat.

Also erstmal die gegenwàrtige (und auch im Urlaub aktive) Konfiguration.
Es handelt sich um ein IPSEC-VPN mit dem primàren Ziel, von meinem
Netbook aus auf mein heimisches LAN zugreifen zu können. Zu Hause als
Gateway ein NAT-Router mit der hierzulande üblichen dynamischen IP
(deswegen natürlich mit DynDNS), das andere Ende ist die virtuelle
VPN-IP meines "Roadwarrior" Netbooks.

192.168.0.0/24-defaultroute==defaultroute-172.16.0.1/32

Nun hatte ich im Urlaub die Situation, daß sich mein Netbook seinerseits
in einem Hotel-WLAN hinter einem NAT-Router befand. Soweit nichts
ungewöhnliches, in der normalen Anwendung (Notebook in einem deutschen
Mobilfunknetz) ist das ja meist genauso.

Das für mich Neue war, daß das Hotelnetz 172.16.0.0/22 war und das
default Gateway dort war 172.16.0.1. Ooops. Genau die Adresse meines
VPN-Endpunkts...

Funktioniert hat es aber (entgegen erster Befürchtungen) trotzdem. Bei
dem Versuch, eine Erklàrung dafür zu finden, ist mir klar geworden, daß
ich nicht wirklich weiß, wie diese Geschichte mit den "e-routes"
funktioniert, mit denen der pluto-daemon da hantiert (ist IKEv1, weil
der Router kein IKEv2 kann).

Im Zusammenhang damit steht dann auch noch die Idee, daß es ganz schick
wàre, den gesamten Traffic des Netbooks, also nicht nur Zugriffe auf das
heimische LAN, sondern auch dessen "Internetzugang" über das VPN zu
leiten, also alles außer dem für den Aufbau und Erhalt des Tunnels
nötige vor dem Betreiber des Netzes zu verbergen, in dem ich mich mit
meinem Netbook befinde. Bis zum nàchsten Urlaub will ich das
realisieren.

Mir ist allerdings nicht klar, ob es möglich ist, das grundsàtzlich und
auch unter allen denkbaren ungünstigen Umstànden zu realisieren. Also
z.B. in der Situation, die ich jetzt im Urlaub hatte, wo der
VPN-Endpunkt im Konflikt mit dem Gastnetz steht. Oder vielleicht auch in
der Situation, daß das Gastnetz mit meinem LAN in Konflikt steht, was ja
nicht so sehr unwahrscheinlich ist.
 

Lesen sie die antworten

#1 Anonym
18/01/2012 - 18:53 | Warnen spam
On 01/18/2012 04:44 PM, Heiko Nocon wrote:
Ich bin im Urlaub auf ein interessantes Problem gestoßen. Also nicht
wirklich ein Problem, denn es hat alles funktioniert, wie es soll. Das
Problem ist nur, daß ich nicht so richtig verstehe, warum es
funktioniert hat.




Es mag ja sein, daß ich jetzt was nicht mitkriege. Aber ich sehe Dein
Problem nicht.

Du kannst zu einem öffentlich sichtbaren Knoten von Deinem Rechner aus
eine TCP bzw. UDP Sitzung aufbauen und darin Deine verschlüsselten
Pakete tunneln. Oder wie auch immer Du Deinen Tunnelmechanismus auch
implementierst. Es gibt da wohl auch einen eigenen IP Nutzlasttypen für,
ich vergesse das immer. Aber vermutlich nimmst Du UDP oder TCP, damit
das mit NAT geht.

Hier ist TUN, da ist NEL. Zwischen Schtuergert und Cannstatt, ja da
gibts ein TUN NEL, wenn man reinfàhrt, wirds dunkel, wenn man rausfàhrt,
wirds hell.

End of Story.

Ähnliche fragen