IPsec und private IP

tag-icon tag-icon ipsec
IPsec und private IP

Ich erstelle ein IPsec/L2TP-Netzwerk und möchte einen Server und mehrere Clients haben.

Auf jedem Client funktionierte IPsec nur richtig, indem ich die IP der Schnittstelle, die den Datenverkehr hostet, als leftsourceip einstellte. Wenn diese Schnittstelle öffentlich ist, scheint das in Ordnung zu sein, aber wenn sich die Maschine hinter einem NAT befindet und die Schnittstelle eine private IP hat, scheint es irgendwie falsch zu sein.

Hier ist ein Beispiel für die Konfiguration von IPSec vom Client aus:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=route
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    esp=aes256-sha256-modp4096!
    ike=aes256-sha256-modp4096!
    rekey=no
    right=ipsec.server.url
    rightid=%any
    rightauth=pubkey
    rightprotoport=17/1701
    left=10.0.0.60
    leftsubnet=10.0.0.60/32
    leftid=%any
    leftauth=pubkey
    leftcert=my-cert.crt
    leftsendcert=always
    leftprotoport=17/1701
    leftsourceip=10.0.0.60

Die IP dieses Clients ist 10.0.0.60, also erstellt IPSec einen Tunnel zwischen dem Server/32 und dieser IP/32 und es funktioniert gut.

Da es sich aber um eine private IP handelt, könnte ich zwei Clients mit derselben IP haben, sodass es nicht mehr funktioniert. Und ich glaube nicht, dass es eine gute Idee ist, die öffentliche IP dieses Clients einzugeben, da ich mehrere Clients mit derselben IP haben kann.

Ich sehe mindestens zwei Lösungen. Wenn ich meiner ausgehenden Schnittstelle auf meinem Client manuell eine virtuelle IP zuweise, kann ich leicht vermeiden, mehreren Clients dieselbe IP zuzuweisen, aber dazu ist eine manuelle Aktion erforderlich und einige Clients erlauben mir nicht, eine neue Adresse zuzuweisen (eingebettete Hardware).

Die andere Lösung wäre, IPSec so zu konfigurieren, dass virtuelle IPs verteilt werden. In diesem Fall habe ich allerdings das Gefühl, als würde ich ein L2-VPN innerhalb eines L3-VPN einrichten und hätte zwei IP-Netzwerke übereinander.

Ich bin verwirrt. Übersehe ich etwas? Wie konfiguriere ich IPsec mit L2TP richtig?

Danke

verwandte Informationen