Re: iptables & ipsec - Schwääre Kost...?
Matthias Houdek wrote:
Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und werden
erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die dann
verworfen werden?
Äääh nein. Die Pakete möchten den Firewall-Rechner -von wo aus die Verbindung
aufgebaut werden soll- gerne verlassen (sie schaffen es ja nicht in der
_OUTPUT_ Chain Akzeptiert zu werden). Wenn ich das richtig interpretiere
sind die Pakete schon kaputt _bevor_ sie verschlüsselt werden.
(Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie
ohne separates IPSec-Interface - oder?
Genau so ist es. IPsec ist für den normalen User transparent, er merkt
nicht das er es benutzt. Na gut, bei älteren Rechnern kann schon die
maximale Übertragungsrate "etwas" absinken, aber das wäre auch alles.
Daraus ziehe ich den Schluss, dass dein IPSec schon mal nicht
ordentlich konfiguriert ist, sonst würden keine TCP-22-Segmente (SSH)
mehr an den Interfaces auftreten.
Du meinst sicher "auf dem Draht" und nicht an den Interfaces (die
Schnittstelle für den sshd). Nene, IPsec ist korrekt konfiguriert.
[...]
die IPsec-Verbindung steht aber. Ping z.B. funktioniert
Ping ist aber auch kein TCP. Geht ein Telnet?
Kann ich gerade nicht ausprobieren weil es das Ergebnis eines anderen
Experimentes verfälschen würde.
Hm, die Mitschnitte zeigen einem herzlich wenig über den Inhalt der
ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer
reinschaust.
Das teste ich sobald der Rechner wieder frei ist. Vermutlich wird es nichts
bringen da die Pakete "scheinbar" schon _vor_ der verschlüsselung
nicht ganz der Spezifikation entsprechen.
Mich würde mal interessieren, was da im IPSec-Segment
überhaupt an Daten übertragen wird. Offensichtlich werden die Daten
entweder nicht ordentlich eingepackt oder nicht ordentlich ausgepackt.
Zu späterer Stunde kann ich mehr dazu sagen...
--
Mit freundlichen Gruessen
Bjoern Schmidt
Reply to: