Am Sonntag, 31. Oktober 2004 12:43 schrieb Bj�rn Schmidt: > Matthias Houdek wrote: > >>>Was soll IPSec machen (Tunnel von wo nach wo?)? > >> > >>Kein Tunnel. Transport Modus, wie hier: > >> > >> http://www.ipsec-howto.org/x247.html > > > > und diese IPSec-Verbindung soll den gesamten Verkehr zwischen > > 192.168.1.1 und 192.168.1.2 verschl�sseln? > > Ja. Wenn es irgendwann mal funktionieren sollte gibt es noch ein ippp > Device dazu und dar�ber lasse ich auch nur IPsec zu. Aber das ist im > Moment nicht interessant.
Ja. > > Dann d�rften zwischen diesen beiden Rechnern keine UDP- oder > > TCP-Pakete mehr direkt ausgetauscht werden (au�er UPD-500 zu > > Authentifizierung), > > Tun sie auch nicht. Doch, lt. deinem IPTables-Log kommen defekte TCP-Port 22-Pakete an eth0 an, und die werden geblockt (da INVALID - sind sie ja auch wirklich). > > sondern nur noch alles �ber Protokoll 50 bzw. 51 (AH bzw. ESP) > > geleitet werden (d.h., alle TCP-Segmente sind in das AH/ESP-Segment > > gekapselt). > > Der kernel schickt sich die aus den ESP-Paketen entpackten TCP, > ...-Pakete selbst nochmal zu. Das kann ich mit tcpdump allerdings nicht > sehen weil das kernelintern abl�uft. Ach, du bist auf der Eingangsfirewall? Irgendwie hab ich da wohl was verwechselt. Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und werden erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die dann verworfen werden? (Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie ohne separates IPSec-Interface - oder? Ich hab mir das noch gar nicht so richtig angeschaut, bei mir l�uft noch alles mit dem 2.4er bestens :-) > > Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht > > ordentlich konfiguriert ist, sonst w�rden keine TCP-22-Segmente (SSH) > > mehr an den Interfaces auftreten. > > Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die > Schnittstelle f�r den sshd). Nene, IPsec ist korrekt konfiguriert. > > [...] > die IPsec-Verbindung steht aber. Ping z.B. funktioniert Ping ist aber auch kein TCP. Geht ein Telnet? Hm, die Mitschnitte zeigen einem herzlich wenig �ber den Inhalt der ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer reinschaust. Mich w�rde mal interessieren, was da im IPSec-Segment �berhaupt an Daten �bertragen wird. Offensichtlich werden die Daten entweder nicht ordentlich eingepackt oder nicht ordentlich ausgepackt. -- Gru� MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).
