Hallo zusammen,
mich beschäftigt aktuell ein kleines Masquerading Problem im Zusammenhang mit IPSec. Wir haben eine Netz zu Netz IPSec Verbindung mit einer Gegenstelle, die aus unserer Sicht eine Blackbox ist, d.h. außer den Verbindungsparametern keine Infos. Der Knackpunkt dabei ist, dass die Pakete die in den Tunnel reingehen mit einer öffentlichen IP-Adresse maskiert werden müssen, da die Gegenstelle sonst blockt. Aktuell machen wir das über ein zweites Linux-System, dass die Pakete vom Quellsystem annimmt, über ein Transit-Netz maskiert, zur eigentlichen Firewall weiterleitet und von dort aus in den VPN Tunnel steckt.
Da in Kürze sowohl die Hardware als auch das Konzept ausgetausch werden, soll dieser Umstand vereinfacht werden, sprich wenn möglich ohne das maskierte Transit-Netz auskommen. Maskiere ich die Pakete über das Interface, über das der Tunnel aufgebaut wird, sieht man zwar am Beispiel von ping den icmp echo request auf der Gegenstelle aber der reply bleibt trotz manuell gesetzter Rückroute aus.
Ist das so gar nicht möglich und jede Anstrengung dieses Problem zu lösen vergeudete Zeit oder haben wir nur den falschen Ansatz?
Gruß, Christian
mich beschäftigt aktuell ein kleines Masquerading Problem im Zusammenhang mit IPSec. Wir haben eine Netz zu Netz IPSec Verbindung mit einer Gegenstelle, die aus unserer Sicht eine Blackbox ist, d.h. außer den Verbindungsparametern keine Infos. Der Knackpunkt dabei ist, dass die Pakete die in den Tunnel reingehen mit einer öffentlichen IP-Adresse maskiert werden müssen, da die Gegenstelle sonst blockt. Aktuell machen wir das über ein zweites Linux-System, dass die Pakete vom Quellsystem annimmt, über ein Transit-Netz maskiert, zur eigentlichen Firewall weiterleitet und von dort aus in den VPN Tunnel steckt.
Da in Kürze sowohl die Hardware als auch das Konzept ausgetausch werden, soll dieser Umstand vereinfacht werden, sprich wenn möglich ohne das maskierte Transit-Netz auskommen. Maskiere ich die Pakete über das Interface, über das der Tunnel aufgebaut wird, sieht man zwar am Beispiel von ping den icmp echo request auf der Gegenstelle aber der reply bleibt trotz manuell gesetzter Rückroute aus.
Ist das so gar nicht möglich und jede Anstrengung dieses Problem zu lösen vergeudete Zeit oder haben wir nur den falschen Ansatz?
Gruß, Christian