Interessanterweise ja. Allerdings dauert es ca. 2,5 Minuten bis das "hostname login:" erscheint.
Da würde mich dann doch mal ein Sniffer-Mitschnitt interessieren. Das ist ja doch zu drollig.
Folgt bald.
Aber irgendwann werden wir uns sicher mit der Hand an die Stirn klatschen und sagen: "Klar, logisch - man sind wir blöd." ;-)
:)
Ich poste hier mal meine Configs, in der Hoffnung dass jemand das Problem (ssh geht gar nicht, telnet login kommt erst nach 2,5 Minuten) nachvollziehen und lösen kann:
IPsec-Setup-Howto ==================
Im Kernel das hier aktivieren:
Networking support (NET) [Y/n/?] y * * Networking options * PF_KEY sockets (NET_KEY) [Y/n/m/?] y IP: AH transformation (INET_AH) [Y/n/m/?] y IP: ESP transformation (INET_ESP) [Y/n/m/?] y IP: IPsec user configuration interface (XFRM_USER) [Y/n/m/?] y
Cryptographic API (CRYPTO) [Y/n/?] y HMAC support (CRYPTO_HMAC) [Y/n/?] y Null algorithms (CRYPTO_NULL) [Y/n/m/?] y MD5 digest algorithm (CRYPTO_MD5) [Y/n/m/?] y SHA1 digest algorithm (CRYPTO_SHA1) [Y/n/m/?] y DES and Triple DES EDE cipher algorithms (CRYPTO_DES) [Y/n/m/?] y AES cipher algorithms (CRYPTO_AES) [Y/n/m/?] y
==================
racoon installieren.
==================
[EMAIL PROTECTED]:/var/log# cat /etc/ipsec.conf #!/usr/sbin/setkey -f
flush; spdflush;
spdadd 192.168.1.0/24 192.168.1.0/24 any -P in ipsec esp/transport//require; spdadd 192.168.1.0/24 192.168.1.0/24 any -P out ipsec esp/transport//require;
[EMAIL PROTECTED]:/var/log# cat /etc/racoon/racoon.conf path certificate "/etc/racoon/certs";
listen { isakmp 192.168.1.1 [500]; }
remote anonymous { exchange_mode main; certificate_type x509 "ipsec.crt" "ipsec.key"; verify_cert on; my_identifier asn1dn; peers_identifier asn1dn;
proposal { authentication_method rsasig; dh_group modp1024; encryption_algorithm 3des; hash_algorithm md5; } }
sainfo anonymous { authentication_algorithm hmac_md5,hmac_sha1; compression_algorithm deflate; encryption_algorithm 3des; pfs_group modp1024; }
================
Zertifikate erstellen und nach /etc/racoon/certs/ kopieren: https://kilobyte.dyndns.info/howtos/index.html
================
Im gleichen Verzeichnis einen SymLink gegen das RootCA erstellen: ln -s rootCA.crt `openssl x509 -noout -hash < rootCA.crt`.0
Fertig. Nach einem Neustart von Racoon und einem setkey -f /etc/ipsec.conf sollte alles funktionieren, wäre da nicht die -->
FIREWALL: ================ [EMAIL PROTECTED]:/var/log# cat /root/bin/einfacheFirewall #!/bin/sh
iptables -P INPUT DROP
iptables -P OUTPUT DROP iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
=================
Mit dieser Firewall funtioniert es einwandfrei: [EMAIL PROTECTED]:/var/log# cat /root/bin/einfacheFirewall #!/bin/sh
iptables -P INPUT DROP
iptables -P OUTPUT DROP iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW,INVALID -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW,INVALID-j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW, INVALID -j ACCEPT
-- Mit freundlichen Gruessen Bjoern Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)