Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und werden erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die dann verworfen werden?
���h nein. Die Pakete m�chten den Firewall-Rechner -von wo aus die Verbindung aufgebaut werden soll- gerne verlassen (sie schaffen es ja nicht in der _OUTPUT_ Chain Akzeptiert zu werden). Wenn ich das richtig interpretiere sind die Pakete schon kaputt _bevor_ sie verschl�sselt werden.
(Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie ohne separates IPSec-Interface - oder?
Genau so ist es. IPsec ist f�r den normalen User transparent, er merkt nicht das er es benutzt. Na gut, bei �lteren Rechnern kann schon die maximale �bertragungsrate "etwas" absinken, aber das w�re auch alles.
Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht ordentlich konfiguriert ist, sonst w�rden keine TCP-22-Segmente (SSH) mehr an den Interfaces auftreten.
Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die Schnittstelle f�r den sshd). Nene, IPsec ist korrekt konfiguriert.
[...] die IPsec-Verbindung steht aber. Ping z.B. funktioniert
Ping ist aber auch kein TCP. Geht ein Telnet?
Kann ich gerade nicht ausprobieren weil es das Ergebnis eines anderen Experimentes verf�lschen w�rde.
Hm, die Mitschnitte zeigen einem herzlich wenig �ber den Inhalt der ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer reinschaust.
Das teste ich sobald der Rechner wieder frei ist. Vermutlich wird es nichts bringen da die Pakete "scheinbar" schon _vor_ der verschl�sselung nicht ganz der Spezifikation entsprechen.
Mich w�rde mal interessieren, was da im IPSec-Segment �berhaupt an Daten �bertragen wird. Offensichtlich werden die Daten entweder nicht ordentlich eingepackt oder nicht ordentlich ausgepackt.
Zu sp�terer Stunde kann ich mehr dazu sagen...
-- Mit freundlichen Gruessen Bjoern Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
