Re: iptables & ipsec - Schwääre Kost...?

To: debian-user-german@lists.debian.org
Subject: Re: iptables & ipsec - Schwääre Kost...?
From: Matthias Houdek <linux@houdek.de>
Date: Sun, 31 Oct 2004 17:53:48 +0100
Message-id: <[🔎] 200410311753.48923.linux@houdek.de>
In-reply-to: <[🔎] 4184CFEE.5040707@uni-paderborn.de>
References: <[🔎] 418238FF.4010806@uni-paderborn.de> <[🔎] 200410311006.08779.linux@houdek.de> <[🔎] 4184CFEE.5040707@uni-paderborn.de>

Am Sonntag, 31. Oktober 2004 12:43 schrieb Björn Schmidt:
> Matthias Houdek wrote:
> >>>Was soll IPSec machen (Tunnel von wo nach wo?)?
> >>
> >>Kein Tunnel. Transport Modus, wie hier:
> >>
> >>  http://www.ipsec-howto.org/x247.html
> >
> > und diese IPSec-Verbindung soll den gesamten Verkehr zwischen
> > 192.168.1.1 und 192.168.1.2 verschlüsseln?
>
> Ja. Wenn es irgendwann mal funktionieren sollte gibt es noch ein ippp
> Device dazu und darüber lasse ich auch nur IPsec zu. Aber das ist im
> Moment nicht interessant.

Ja.

> > Dann dürften zwischen diesen beiden Rechnern keine UDP- oder
> > TCP-Pakete mehr direkt ausgetauscht werden (außer UPD-500 zu
> > Authentifizierung),
>
> Tun sie auch nicht.

Doch, lt. deinem IPTables-Log kommen defekte TCP-Port 22-Pakete an eth0 
an, und die werden geblockt (da INVALID - sind sie ja auch wirklich).

> > sondern nur noch alles über Protokoll 50 bzw. 51 (AH bzw. ESP)
> > geleitet werden (d.h., alle TCP-Segmente sind in das AH/ESP-Segment
> > gekapselt).
>
> Der kernel schickt sich die aus den ESP-Paketen entpackten TCP,
> ...-Pakete selbst nochmal zu. Das kann ich mit tcpdump allerdings nicht
> sehen weil das kernelintern abläuft.

Ach, du bist auf der Eingangsfirewall? Irgendwie hab ich da wohl was 
verwechselt. 
Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und werden 
erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die dann 
verworfen werden? (Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie 
ohne separates IPSec-Interface - oder? Ich hab mir das noch gar nicht so 
richtig angeschaut, bei mir läuft noch alles mit dem 2.4er bestens :-)

> > Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht
> > ordentlich konfiguriert ist, sonst würden keine TCP-22-Segmente (SSH)
> > mehr an den Interfaces auftreten.
>
> Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die
> Schnittstelle für den sshd). Nene, IPsec ist korrekt konfiguriert.
>
> [...]
> die IPsec-Verbindung steht aber. Ping z.B. funktioniert

Ping ist aber auch kein TCP. Geht ein Telnet?

Hm, die Mitschnitte zeigen einem herzlich wenig über den Inhalt der 
ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer 
reinschaust. Mich würde mal interessieren, was da im IPSec-Segment 
überhaupt an Daten übertragen wird. Offensichtlich werden die Daten 
entweder nicht ordentlich eingepackt oder nicht ordentlich ausgepackt.

-- 
Gruß
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

Follow-Ups:
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

References:
- iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Matthias Houdek <linux@houdek.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

Prev by Date: Re: WLAN im IBM Thinkpad 51r (Centrino, 2200, 802.11 b/g) einrichten
Next by Date: Re: vpnc und default gateway
Previous by thread: Re: iptables & ipsec - Schwääre Kost...?
Next by thread: Re: iptables & ipsec - Schwääre Kost...?
Index(es):
- Date
- Thread