Routing durch IP Sec Tunnel

Kufstein

B1G-Software-Kunde
#1
Hallöchen zusammen

Ich bin grad am Standortvernetzung und komme nicht weiter:


Ich habe Links eine Fritzbox 7590 (10.2.2.0/24) ---> diese eine IPSec-Tunnel zu einem Server im Internet (185.16.xx.xx) auf. Auf der anderen Seite habe ich ebenfalls einen IPSec Tunnel (10.99.99.0/24) auf den Serber im Internet.

Auf dem Server im Internet läuft StrongWan mit Debian 9.
Mein Problem ist nun, dass ich aus dem Netz 10.99.99.0 nicht 10.2.2.0 erreiche. Vom Shell auf dem Server (185.16.xx.xx) erreiche ich ebenfalls 10.2.2.0 nicht.
Von 10.2.2.0 erreiche ich allerdings 10.99.99.0/24.

Ich weiss jetzt nicht wo ich anfangen soll zu suchen. Muss ich noch irgendwie eine spezielle route hinzufügen oder sowas ?

Meine Config auf ipsec sieht wie folgt aus:

Code:
conn test1
        # PSK Authentifizierung
        authby=secret
        # nur Responder
        auto=add
        auto=start
        auto=route
    
        left=domain.ch
        leftsubnet=10.99.99.0/24
        
        right=aussenstelle.domain.ch
        rightid=@aussenstelle.domain.ch
        rightsubnet=10.2.2.0/24
      
        ike=aes256-sha-modp1024
        esp=aes256-sha1-modp1024
Die Config von der Fritz.Box hier:
Code:
vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "TEST 1";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remotehostname = "domain.ch";
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "ausenstelle1.domain.ch";
                }
                remoteid {
                        fqdn = "domain.ch";
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "HIEREINGEHEIMERKEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.2.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.99.99.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip 10.2.2.0/24 255.255.255.0 10.99.99.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Für jeglichen Tipp bin ich dankbar.
 
Top