Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2394 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 physical eth-devices on same Ethernet allowed?

isenberg_01
I'm using the following network device configuration on the outside interfaces:

eth0: unencrypted Internet traffic
eth1: all IPsec Internet traffic for site-to-site VPNs

Both devices are connected on the same Ethernet switch.

The reason for this: I want to have dedicated traffic analysis for all IPsec traffic and a simple and safe reject rule for all RFC1918 private networks coming in or sending out wrongly via eth0. I additional want to have an own IP address for the IPsec gateway and as IPsec cannot be used on a device alias, this seems to be the only solution.

Is this configuration technically allowed? I'm wondering, as sometimes a "tcpdump -i eth0" shows response packets from requests going out over eth1 IPsec.


This thread was automatically locked due to age.
Parents
  • 0
    Many OS's, including Linux, can get confused when 2 NICs are on the same physical network.

    It's probably not a good idea.

    You should be able to do traffic analysis on the firewall using the TUN interface, or on a sniffer by filtering for IPSEC.

    Barry
  • 0 in reply to BarryG
    Many OS's, including Linux, can get confused when 2 NICs are on the same subnet.


    They are on the same Ethernet.
    They are not on the same subnet:

    eth0: unencrypted Internet traffic is on subnet x.y.8.100/25
    eth1: all IPsec Internet traffic for site-to-site VPNs is on subnet x.y.14.200/28

    However, as Astaro seems to be affected by that strange limitation of Linux, I will remove eth1 and switch the IPsec gateway address to eth0.
Reply
  • 0 in reply to BarryG
    Many OS's, including Linux, can get confused when 2 NICs are on the same subnet.


    They are on the same Ethernet.
    They are not on the same subnet:

    eth0: unencrypted Internet traffic is on subnet x.y.8.100/25
    eth1: all IPsec Internet traffic for site-to-site VPNs is on subnet x.y.14.200/28

    However, as Astaro seems to be affected by that strange limitation of Linux, I will remove eth1 and switch the IPsec gateway address to eth0.
Children
No Data