[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables & ipsec - Schwääre Kost...?

Matthias Houdek wrote:

Was soll IPSec machen (Tunnel von wo nach wo?)?


Kein Tunnel. Transport Modus, wie hier:

 http://www.ipsec-howto.org/x247.html
und diese IPSec-Verbindung soll den gesamten Verkehr zwischen 192.168.1.1 und 192.168.1.2 verschlüsseln? 

Ja. Wenn es irgendwann mal funktionieren sollte gibt es noch ein ippp Device
dazu und darüber lasse ich auch nur IPsec zu. Aber das ist im Moment nicht
interessant.
Dann dürften zwischen diesen beiden Rechnern keine UDP- oder TCP-Pakete mehr direkt ausgetauscht werden (außer UPD-500 zu Authentifizierung), 

Tun sie auch nicht.
sondern nur noch alles über Protokoll 50 bzw. 51 (AH bzw. ESP) geleitet werden (d.h., alle TCP-Segmente sind in das AH/ESP-Segment gekapselt). 

Der kernel schickt sich die aus den ESP-Paketen entpackten TCP, ...-Pakete
selbst nochmal zu. Das kann ich mit tcpdump allerdings nicht sehen weil das
kernelintern abläuft.
Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht ordentlich konfiguriert ist, sonst würden keine TCP-22-Segmente (SSH) mehr an den Interfaces auftreten. 

Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die Schnittstelle
für den sshd). Nene, IPsec ist korrekt konfiguriert.

tcpdump -i eth0 (ohne firewall, sad geflushed):
===============================================
12:01:46.706851 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E] 12:01:46.784881 IP skyron.isakmp > gigabyte.skyron.dyndns.info.isakmp: isakmp: phase 2/others ? oakley-quick[E] 12:01:46.785575 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E] 12:01:50.637071 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x0f83d0f2,seq=0x1) 12:01:50.637677 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08303576,seq=0x1) 12:01:50.639757 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x0f83d0f2,seq=0x2) 12:01:50.644313 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08303576,seq=0x2) 12:01:50.645537 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x0f83d0f2,seq=0x3) 
### weitere ESP Pakete


################################################################################

tcpdump -i eth0 (mit firewall, sad geflushed):
==============================================
12:35:24.005339 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E] 12:35:24.083259 IP skyron.isakmp > gigabyte.skyron.dyndns.info.isakmp: isakmp: phase 2/others ? oakley-quick[E] 12:35:24.083929 IP gigabyte.skyron.dyndns.info.isakmp > skyron.isakmp: isakmp: phase 2/others ? oakley-quick[E] 12:35:26.019066 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x1) 12:35:26.019597 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x1) 
12:35:29.082456 arp who-has gigabyte.skyron.dyndns.info tell skyron
12:35:29.082489 arp reply gigabyte.skyron.dyndns.info is-at 00:02:3f:73:ae:6e
12:35:29.390540 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x2) 12:35:35.189706 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x3) 12:35:35.389651 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x4) 12:35:36.989418 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x5) 12:35:47.587909 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x6) 12:36:11.584435 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x7) 


die IPsec-Verbindung steht aber. Ping z.B. funktioniert

tcpdump -i eth0 (mit firewall, fortsetzung von oben, ICMP statt SSH):
=====================================================================

12:36:16.583551 arp who-has gigabyte.skyron.dyndns.info tell skyron
12:36:16.583585 arp reply gigabyte.skyron.dyndns.info is-at 00:02:3f:73:ae:6e
12:36:23.382700 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x8) 12:36:33.399155 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x2) 12:36:33.399665 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0x9) 12:36:34.402169 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x3) 12:36:34.402599 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xa) 12:36:35.402937 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x4) 12:36:35.403370 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xb) 12:36:36.403789 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x5) 12:36:36.404214 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xc) 12:36:37.404704 IP gigabyte.skyron.dyndns.info > skyron: ESP(spi=0x08fc658b,seq=0x6) 12:36:37.405146 IP skyron > gigabyte.skyron.dyndns.info: ESP(spi=0x08fa28fc,seq=0xd) 


--
Mit freundlichen Gruessen
Bjoern Schmidt
Reply to: