[Problem] FritzBox 7490 client und StrongSwan Server Traffic Routen

d3a1hmas13r

Neuer User
Mitglied seit
28 Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

Meine Fritte verbindet sich erfolgreich mit einem StrongSwan Server per SiteToSite.
Mobile Clients (SmartPhones) können Sich auch Problemlos mit dem StrongSwan verbinden.
Pings vom HomeNet (hinter FB) zu den mobilen geräten und umgekehrt funktioniert soweit.
Die Teilnehmer können auch untereinander kommunizieren, ich kann auf das HeimNetz zugreifen.

Nun das eigentliche Problem:
Ich würde gerne mit meinen SmartPhones über die Internet Verbindung vom HomeNet surfen, d.h. den gesamten Traffic durch den Tunnel schicken.





Configs sehen so aus
StrongSwan IPsec (Version: 5.2.1):

Code:
conn HomeNet
    type=tunnel
    left=serverip (10.10.10.10)
    [email protected]
    leftsubnet=192.168.113.0/24
    leftfirewall=yes
    ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
    esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
    right=%any
    [email protected]
    rightsubnet=192.168.13.0/24
    rightallowany=yes
    rightfirewall=yes
    mobike=no
    keyexchange=ike
    ikelifetime=3600s
    keylife=3600s
    authby=psk
    auto=add
Code:
conn clients_HomeNet
    keyexchange=ikev2
    ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
    esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftauth=pubkey
    leftcert=serverCert.pem
    leftid="C=DE, O=VPN, CN=server.domain.vpn"
    leftsubnet=192.168.13.0/24
    leftfirewall=yes
    right=%any
    rightsourceip=192.168.113.0/24
    rightauth=pubkey1
    rightcert=clientCert.pem
    rightid="C=DE, O=VPN, CN=home.dyndns"
    rightauth2=eap-mschapv2
    auto=add
FritzBox (FritzOS: 7.01):
Code:
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "vpn";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = serverip (10.10.10.10);
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "home.dyndns";
                }
                remoteid {
                        ipaddr = serverip (10.10.10.10);
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "verysecretPSK";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.113.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.113.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Jemand Vorschläge was ich ändern muss?

Vielen Dank.
 
Zuletzt bearbeitet:

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
Ich würde gerne mit meinen SmartPhones über die Internet Verbindung vom HomeNet surfen, d.h. den gesamten Traffic durch den Tunnel schicken.
wenn die Fritzbox der Internet-Router ist, und die Smartphone über VPN ins Internet sollen;
warum richtest Du nicht direkt in der Fritzbox die VPN-Einwahl für SmartPhones ein ?
dies wäre doch naheliegend.
 

d3a1hmas13r

Neuer User
Mitglied seit
28 Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Moin,

danke für den Gedanken, das geht aber nicht da mein Internetanschluss keine Öffentliche IP hat somit ist die FB nicht erreichbar.

Danke.
 

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
ich gehe davon aus, dass der StrongSwan Server bei einem Hosting-Provider steht;
welches Betriebssystem läuft auf diesem Server ?
könntest Du da Policy-Based-Routing (PBR) per iproute2 installieren,
dann sollte die Anforderung aus #1 machbar sein;
 

d3a1hmas13r

Neuer User
Mitglied seit
28 Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Moin,
genau das ist ein Vollwärtiger V-Rootserver ich habe root zugang und kann rumspielen ;)
Als Debian ist derzeit Jessie drauf, denn nach dem Update auf Strech und StrongSwan 5.5.1 ging nichts mehr.

Was würdest du als konfig mit iproute2 empfehlen?

Danke
 

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
meine Idee war, PBR mit Selektor basierend auf Source-IPs (192.168.113.1, 192.168.113.2) wählen und dann next hop auf 192.168.13.1 setzen;
in wie weit IPsec-/IKE-Traffic mit PBR kompatibel ist, kann ich aus Stegreif heraus nicht sagen, dies muss noch genauer geprüft werden.

Andererseits sind die Möglichkeiten bei einem "Dual-Default-Gateway-Betrieb" begrenzt.