Am Sonntag, 31. Oktober 2004 12:43 schrieb Björn Schmidt: > Matthias Houdek wrote: > >>>Was soll IPSec machen (Tunnel von wo nach wo?)? > >> > >>Kein Tunnel. Transport Modus, wie hier: > >> > >> http://www.ipsec-howto.org/x247.html > > > > und diese IPSec-Verbindung soll den gesamten Verkehr zwischen > > 192.168.1.1 und 192.168.1.2 verschlüsseln? > > Ja. Wenn es irgendwann mal funktionieren sollte gibt es noch ein ippp > Device dazu und darüber lasse ich auch nur IPsec zu. Aber das ist im > Moment nicht interessant.
Ja. > > Dann dürften zwischen diesen beiden Rechnern keine UDP- oder > > TCP-Pakete mehr direkt ausgetauscht werden (außer UPD-500 zu > > Authentifizierung), > > Tun sie auch nicht. Doch, lt. deinem IPTables-Log kommen defekte TCP-Port 22-Pakete an eth0 an, und die werden geblockt (da INVALID - sind sie ja auch wirklich). > > sondern nur noch alles über Protokoll 50 bzw. 51 (AH bzw. ESP) > > geleitet werden (d.h., alle TCP-Segmente sind in das AH/ESP-Segment > > gekapselt). > > Der kernel schickt sich die aus den ESP-Paketen entpackten TCP, > ...-Pakete selbst nochmal zu. Das kann ich mit tcpdump allerdings nicht > sehen weil das kernelintern abläuft. Ach, du bist auf der Eingangsfirewall? Irgendwie hab ich da wohl was verwechselt. Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und werden erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die dann verworfen werden? (Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie ohne separates IPSec-Interface - oder? Ich hab mir das noch gar nicht so richtig angeschaut, bei mir läuft noch alles mit dem 2.4er bestens :-) > > Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht > > ordentlich konfiguriert ist, sonst würden keine TCP-22-Segmente (SSH) > > mehr an den Interfaces auftreten. > > Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die > Schnittstelle für den sshd). Nene, IPsec ist korrekt konfiguriert. > > [...] > die IPsec-Verbindung steht aber. Ping z.B. funktioniert Ping ist aber auch kein TCP. Geht ein Telnet? Hm, die Mitschnitte zeigen einem herzlich wenig über den Inhalt der ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer reinschaust. Mich würde mal interessieren, was da im IPSec-Segment überhaupt an Daten übertragen wird. Offensichtlich werden die Daten entweder nicht ordentlich eingepackt oder nicht ordentlich ausgepackt. -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).