ja hallo ersttla,... Am Dienstag, 15. Februar 2005 17:35 schrieb Andreas Kretschmer: > am Tue, dem 15.02.2005, um 9:44:28 +0100 mailte Jan L?hr folgendes: > > ja hallo erstmal,... > > > > ich versuche gerade mich in openswan einzuarbeiten. Ungl�cklicherweise > > Kenn ich nicht, aber FreeSwan. Kann sein, da� ich daher nun was flasches > sagen bzw. etwas, was f�r Dich nicht gilt.
Ok... > > erstellt openswap bei jedem ipsec restart ein interface ipsec0, dass das > > VPN-Gateway vom Rest des Netzwerks trennt. > > Sei froh, da� es das gibt! Der IPSEC-Code in Kernel 2.6 erstellt dies > z.B. nicht (FreeSwan macht es). �ber dieses virtuelle Interface siehst > Du das, was �ver ipsec geht, aber unverschl�sselt. Echt gut, weil hier > kannst Du Dein VPN mit iptables filtern. Tja. Nur wenn ping mit einem send_to fehler abricht, wenn Pakete in den Rest des NWs gehen sollen, wird's brenzklig. > > Dies passiert dadurch, dass ein Interface ipsec0 angelegt wird, dass > > genau die gleiche ip-Adresse hat, wie die Haupt-Netzwerkkarte (eth1), > > (was > > Korrekt, FreeSwan auch (ipsec0 = externe IP) > > > zugegeben bei 3 NICs mit 5 Interfaces ein seltener Zufalll ist.) > > ? > > > Die ipsec.conf bezieht sich zudem noch auf ein ganz anderes subnet, s.d. > > ich > > i.a.W.: abkopiert, ohne zu verstehen, gell? Jaein Mit irgendwas f�ngt man ja an. Zu verstehen versuche ich das ganze schon. So lange ich aber nicht sagen, was hier wie geschieht kann ich dazu kaum was sagen... > > Keep smiling > > yanosz > > conn standard > > left=172.32.0.1 > > leftsubnet=172.32.0.1/32 > > leftnexthob=172.32.0.1 > > right=%any > > #rightsubnet=172.16.0.0/24 > > #rightsubnet=172.32.0.1 > > # auto=start > > ,----[ Auszug ] > > | # /etc/ipsec.conf - FreeS/WAN IPsec configuration file > | > | # More elaborate and more varied sample configurations can be found > | # in FreeS/WAN's doc/examples file, and in the HTML documentation. > | > | > | > | # basic configuration > | config setup > | # THIS SETTING MUST BE CORRECT or almost nothing will work; > | # %defaultroute is okay for most simple cases. > | interfaces=%defaultroute > | # Debug-logging controls: "none" for (almost) none, "all" for > | lots. klipsdebug=none > | plutodebug=none > | # Use auto= parameters in conn descriptions to control startup > | actions. plutoload=%search > | plutostart=%search > | # Close down old connection when new one using same ID shows up. > | uniqueids=yes > | > | > | > | # defaults for subsequent connection descriptions > | # (mostly to fix internal defaults which, in retrospect, were badly > | chosen) conn %default > | keyingtries=1 > | disablearrivalcheck=no > | authby=rsasig > | rightrsasigkey=%cert > | auto=add > | left=%defaultroute > | leftcert=gw-heynitzCert.pem > | leftid="C=DE, ST=Germany, L=Barsinghausen, O=Schollglas, OU=CA, > | CN=Andreas Kretschmer, [EMAIL PROTECTED]" > | > | > | conn bsh > | type=tunnel > | left=%defaultroute > | leftsubnet=192.16.1.0/24 > | right=62.159.xxx.yyy > | rightsubnet=192.8.1.0/24 > | rightrsasigkey=%cert > | rightid="C=DE, ST=Germany, O=Schollglas, CN=ipsec-bsh2004, > | [EMAIL PROTECTED]" auto=start > wer genau hinschaut sieht, da� das schwule Adressen in den lokalen > Netzen sind. Haben Leute vor mir verbockt. Ansonsten ist das eine > Konfig, die mit Freeswan aus stable seit ca. 2 Jahren super > funktioniert, mit Zertifikaten (keine PSK). > > > ipsec0 hat die IP 192.168.1.200 ... > > Das ist IMHO schon Schei�e^Wflasch. Da geh�rt die externe IP hin. Ja. Ich habe schon /etc nach 192.168.1.200 durchgegreppte, komme aber nicht auf irgendeine Datei in der die IP steht... Wie kommt ipsec0 eigentlich an seine IP? Keep smiling yanosz
