Am Donnerstag, 20. Dezember 2001 19:14 schrieb Patrick von der Hagen: > On Thu, Dec 20, 2001 at 06:56:43PM +0100, Stefan Klein wrote: > [...] > > > Sieht so aus als ob die ftp Verbindung tatsächlich verschlüsselt > > wurde, ich bin aber immernoch ein wenig verwundert das man da > > nichts an der Prozessorlast sieht, wobei natürlich 7 kb/s jetzt > > nicht so der riesen Datenstrom ist. > > Du hast geschrieben, dass auf dem Gateway keine Prozessorlast zu > sehen ist. Da soll ja auch nichts zu sehen sein, denn soweit ich > IP-Sec verstanden habe, wird zwischen den beiden Endpunkten > verschlüsselt und nicht zwischen den einzelnen Hops. > Bei einer Verbindung Host A über Gateway G an Host B sieht G von der > Verschlüsselung gar nichts, für G ist ein verschlüsseltes Packet > nicht von einem normalen Packet zu unterscheiden. Es wird ein > normales Packet von A nach B erzeugt, das einen unverschlüsselten > Rahmen bekommt, den G lesen kann.
[...] Stimmt, aber wir verbinden zwei Netze und nicht zwei Host miteinander. Ich hab mich ein wenig ungenau ausgedrückt, das Netz sieht so aus: HostA ---- GatewayA ---- Internet ---- GatewayB ---- HostB NetzA--| |-- NetzB "Sicher"----"Sicher"-----"Unsicher"----"Sicher"----"Sicher" (Ich hoffe das ist zu erkennen) zwischen den beiden Gateways (Die primär als Masq. Firewall dienen) besteht ein Tunnel. Wobei der jeweilige "Nexthop" richtung Internet der Router des ISP(also der Gateway aus deinem Beispiel) ist. HostA weiß nichts von IPSec und kennt nur GatewayA als "Defaultrouter". Auf GatewayA ist nun eine route in NetzB eingerichtet die über das Interface ipsec0 geht und als Gateway GatewayB zugeornet hat. Also verschlüsselt der GatewayA alle Daten die von NetzA nach NetzB gehen und umgekehrt. Wobei für NetzA und NetzB IP aus dem privaten Nummernkreis vergeben sind. Grüße, -- Stefan rm -rf : remote mail, real fast. -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 1086 eingetragene Mitglieder in dieser Liste.
