Re: OpenSWAN - aller anfang scheint schwer

[Jan Lühr <jluehr@gmx.net>]

ja hallo ersttla,...

Am Dienstag, 15. Februar 2005 17:35 schrieb Andreas Kretschmer:
> am  Tue, dem 15.02.2005, um  9:44:28 +0100 mailte Jan L?hr folgendes:
> > ja hallo erstmal,...
> >
> > ich versuche gerade mich in openswan einzuarbeiten. Unglücklicherweise
>
> Kenn ich nicht, aber FreeSwan. Kann sein, daß ich daher nun was flasches
> sagen bzw. etwas, was für Dich nicht gilt.

Ok...

> > erstellt openswap bei jedem ipsec restart ein interface ipsec0, dass das
> > VPN-Gateway vom Rest des Netzwerks trennt.
>
> Sei froh, daß es das gibt! Der IPSEC-Code in Kernel 2.6 erstellt dies
> z.B. nicht (FreeSwan macht es). Über dieses virtuelle Interface siehst
> Du das, was üver ipsec geht, aber unverschlüsselt. Echt gut, weil hier
> kannst Du Dein VPN mit iptables filtern.

Tja. Nur wenn ping mit einem send_to fehler abricht, wenn Pakete in den Rest 
des NWs gehen sollen, wird's brenzklig.

> > Dies passiert dadurch, dass ein Interface ipsec0 angelegt wird, dass
> > genau die gleiche ip-Adresse hat, wie die Haupt-Netzwerkkarte (eth1),
> > (was
>
> Korrekt, FreeSwan auch (ipsec0 = externe IP)
>
> > zugegeben bei 3 NICs mit 5 Interfaces ein seltener Zufalll ist.)
>
> ?
>
> > Die ipsec.conf bezieht sich zudem noch auf ein ganz anderes subnet, s.d.
> > ich
>
> i.a.W.: abkopiert, ohne zu verstehen, gell?

Jaein Mit irgendwas fängt man ja an. Zu verstehen versuche ich das ganze 
schon. So lange ich aber nicht sagen, was hier wie geschieht kann ich dazu 
kaum was sagen...

> > Keep smiling
> > yanosz
> > conn standard
> >         left=172.32.0.1
> >         leftsubnet=172.32.0.1/32
> >         leftnexthob=172.32.0.1
> >         right=%any
> >         #rightsubnet=172.16.0.0/24
> >         #rightsubnet=172.32.0.1
> > #       auto=start
>
> ,----[  Auszug  ]
>
> | # /etc/ipsec.conf - FreeS/WAN IPsec configuration file
> |
> | # More elaborate and more varied sample configurations can be found
> | # in FreeS/WAN's doc/examples file, and in the HTML documentation.
> |
> |
> |
> | # basic configuration
> | config setup
> |         # THIS SETTING MUST BE CORRECT or almost nothing will work;
> |         # %defaultroute is okay for most simple cases.
> |         interfaces=%defaultroute
> |         # Debug-logging controls:  "none" for (almost) none, "all" for
> | lots. klipsdebug=none
> |         plutodebug=none
> |         # Use auto= parameters in conn descriptions to control startup
> | actions. plutoload=%search
> |         plutostart=%search
> |         # Close down old connection when new one using same ID shows up.
> |         uniqueids=yes
> |
> |
> |
> | # defaults for subsequent connection descriptions
> | # (mostly to fix internal defaults which, in retrospect, were badly
> | chosen) conn %default
> |         keyingtries=1
> |         disablearrivalcheck=no
> |         authby=rsasig
> |         rightrsasigkey=%cert
> |         auto=add
> |         left=%defaultroute
> |         leftcert=gw-heynitzCert.pem
> |         leftid="C=DE, ST=Germany, L=Barsinghausen, O=Schollglas, OU=CA,
> | CN=Andreas Kretschmer, E=andreas.kretschmer@schollglas.com"
> |
> |
> | conn bsh
> |         type=tunnel
> |         left=%defaultroute
> |         leftsubnet=192.16.1.0/24
> |         right=62.159.xxx.yyy
> |         rightsubnet=192.8.1.0/24
> |         rightrsasigkey=%cert
> |         rightid="C=DE, ST=Germany, O=Schollglas, CN=ipsec-bsh2004,
> | E=andreas.kretschmer@schollglas.com" auto=start

> wer genau hinschaut sieht, daß das schwule Adressen in den lokalen
> Netzen sind. Haben Leute vor mir verbockt. Ansonsten ist das eine
> Konfig, die mit Freeswan aus stable seit ca. 2 Jahren super
> funktioniert, mit Zertifikaten (keine PSK).
>
> > ipsec0 hat die IP 192.168.1.200 ...
>
> Das ist IMHO schon Scheiße^Wflasch. Da gehört die externe IP hin.

Ja. Ich habe schon /etc nach 192.168.1.200 durchgegreppte, komme aber nicht 
auf irgendeine Datei in der die IP steht... Wie kommt ipsec0 eigentlich an 
seine IP?

Keep smiling
yanosz