am Tue, dem 15.02.2005, um 9:44:28 +0100 mailte Jan L?hr folgendes: > ja hallo erstmal,... > > ich versuche gerade mich in openswan einzuarbeiten. Ungl�cklicherweise
Kenn ich nicht, aber FreeSwan. Kann sein, da� ich daher nun was flasches sagen bzw. etwas, was f�r Dich nicht gilt. > erstellt openswap bei jedem ipsec restart ein interface ipsec0, dass das > VPN-Gateway vom Rest des Netzwerks trennt. Sei froh, da� es das gibt! Der IPSEC-Code in Kernel 2.6 erstellt dies z.B. nicht (FreeSwan macht es). �ber dieses virtuelle Interface siehst Du das, was �ver ipsec geht, aber unverschl�sselt. Echt gut, weil hier kannst Du Dein VPN mit iptables filtern. > Dies passiert dadurch, dass ein Interface ipsec0 angelegt wird, dass genau > die gleiche ip-Adresse hat, wie die Haupt-Netzwerkkarte (eth1), (was Korrekt, FreeSwan auch (ipsec0 = externe IP) > zugegeben bei 3 NICs mit 5 Interfaces ein seltener Zufalll ist.) ? > Die ipsec.conf bezieht sich zudem noch auf ein ganz anderes subnet, s.d. ich i.a.W.: abkopiert, ohne zu verstehen, gell? > Keep smiling > yanosz > conn standard > left=172.32.0.1 > leftsubnet=172.32.0.1/32 > leftnexthob=172.32.0.1 > right=%any > #rightsubnet=172.16.0.0/24 > #rightsubnet=172.32.0.1 > # auto=start ,----[ Auszug ] | # /etc/ipsec.conf - FreeS/WAN IPsec configuration file | | # More elaborate and more varied sample configurations can be found | # in FreeS/WAN's doc/examples file, and in the HTML documentation. | | | | # basic configuration | config setup | # THIS SETTING MUST BE CORRECT or almost nothing will work; | # %defaultroute is okay for most simple cases. | interfaces=%defaultroute | # Debug-logging controls: "none" for (almost) none, "all" for lots. | klipsdebug=none | plutodebug=none | # Use auto= parameters in conn descriptions to control startup actions. | plutoload=%search | plutostart=%search | # Close down old connection when new one using same ID shows up. | uniqueids=yes | | | | # defaults for subsequent connection descriptions | # (mostly to fix internal defaults which, in retrospect, were badly chosen) | conn %default | keyingtries=1 | disablearrivalcheck=no | authby=rsasig | rightrsasigkey=%cert | auto=add | left=%defaultroute | leftcert=gw-heynitzCert.pem | leftid="C=DE, ST=Germany, L=Barsinghausen, O=Schollglas, OU=CA, CN=Andreas Kretschmer, [EMAIL PROTECTED]" | | | conn bsh | type=tunnel | left=%defaultroute | leftsubnet=192.16.1.0/24 | right=62.159.xxx.yyy | rightsubnet=192.8.1.0/24 | rightrsasigkey=%cert | rightid="C=DE, ST=Germany, O=Schollglas, CN=ipsec-bsh2004, [EMAIL PROTECTED]" | auto=start `---- wer genau hinschaut sieht, da� das schwule Adressen in den lokalen Netzen sind. Haben Leute vor mir verbockt. Ansonsten ist das eine Konfig, die mit Freeswan aus stable seit ca. 2 Jahren super funktioniert, mit Zertifikaten (keine PSK). > > ipsec0 hat die IP 192.168.1.200 ... Das ist IMHO schon Schei�e^Wflasch. Da geh�rt die externe IP hin. Wie gesagt: FreeSwan mit Debian/Stable 1.96, das kann aber mit Deiner Version anders sein. Und: es ist eine Netz-Netz - Konfiguration, kein Roadwarrior. Andreas -- Diese Message wurde erstellt mit freundlicher Unterst�tzung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082�, E 13.56889� ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
