Was soll IPSec machen (Tunnel von wo nach wo?)?
Kein Tunnel. Transport Modus, wie hier:
http://www.ipsec-howto.org/x247.html
und diese IPSec-Verbindung soll den gesamten Verkehr zwischen 192.168.1.1 und 192.168.1.2 verschl�sseln?
Ja. Wenn es irgendwann mal funktionieren sollte gibt es noch ein ippp Device dazu und dar�ber lasse ich auch nur IPsec zu. Aber das ist im Moment nicht interessant.
Dann d�rften zwischen diesen beiden Rechnern keine UDP- oder TCP-Pakete mehr direkt ausgetauscht werden (au�er UPD-500 zu Authentifizierung),
Tun sie auch nicht.
sondern nur noch alles �ber Protokoll 50 bzw. 51 (AH bzw. ESP) geleitet werden (d.h., alle TCP-Segmente sind in das AH/ESP-Segment gekapselt).
Der kernel schickt sich die aus den ESP-Paketen entpackten TCP, ...-Pakete selbst nochmal zu. Das kann ich mit tcpdump allerdings nicht sehen weil das kernelintern abl�uft.
Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht ordentlich konfiguriert ist, sonst w�rden keine TCP-22-Segmente (SSH) mehr an den Interfaces auftreten.
Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die Schnittstelle f�r den sshd). Nene, IPsec ist korrekt konfiguriert.
tcpdump -i eth0 (ohne firewall, sad geflushed): ===============================================
12:01:46.706851 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E]
12:01:46.784881 IP skyron.isakmp > gigabyte.skyron.dyndns.info.isakmp: isakmp: phase 2/others ? oakley-quick[E]
12:01:46.785575 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E]
12:01:50.637071 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x0f83d0f2,seq=0x1)
12:01:50.637677 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08303576,seq=0x1)
12:01:50.639757 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x0f83d0f2,seq=0x2)
12:01:50.644313 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08303576,seq=0x2)
12:01:50.645537 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x0f83d0f2,seq=0x3)
### weitere ESP Pakete
################################################################################
tcpdump -i eth0 (mit firewall, sad geflushed): ==============================================
12:35:24.005339 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E]
12:35:24.083259 IP skyron.isakmp > gigabyte.skyron.dyndns.info.isakmp: isakmp: phase 2/others ? oakley-quick[E]
12:35:24.083929 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E]
12:35:26.019066 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x1)
12:35:26.019597 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x1)
12:35:29.082456 arp who-has gigabyte.skyron.dyndns.info tell skyron
12:35:29.082489 arp reply gigabyte.skyron.dyndns.info is-at 00:02:3f:73:ae:6e
12:35:29.390540 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x2)
12:35:35.189706 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x3)
12:35:35.389651 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x4)
12:35:36.989418 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x5)
12:35:47.587909 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x6)
12:36:11.584435 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x7)
die IPsec-Verbindung steht aber. Ping z.B. funktioniert
tcpdump -i eth0 (mit firewall, fortsetzung von oben, ICMP statt SSH): =====================================================================
12:36:16.583551 arp who-has gigabyte.skyron.dyndns.info tell skyron
12:36:16.583585 arp reply gigabyte.skyron.dyndns.info is-at 00:02:3f:73:ae:6e
12:36:23.382700 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x8)
12:36:33.399155 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x2)
12:36:33.399665 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x9)
12:36:34.402169 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x3)
12:36:34.402599 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xa)
12:36:35.402937 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x4)
12:36:35.403370 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xb)
12:36:36.403789 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x5)
12:36:36.404214 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xc)
12:36:37.404704 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x6)
12:36:37.405146 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xd)
-- Mit freundlichen Gruessen Bjoern Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
