Fried Zoltan
2005-02-10 15:47:44 UTC
Sziasztok,
Openswan-el (v2.2.1) foglalkozom egy ideje 2.6-os kernel mellett.
nativ ipsec-et hasznalva. Van egy kis elmeteti problemam a nativ ipsec
es az iptables korul.
Nem szivesen ternek vissza 2.4-es kernelhez, mert 9 linuxon kene
ezt megtennem az orszag 7 kulonbozo pontjan.
A szitut:
Openswan-al 2.2.1-es verzio sikerult egy tesztrendszeren osszehozni a
vpn-t. a tcpdump- mutatja hogy az adatok az eth0-an titkositva
jonnek-mennek.
Ugye itt nincs ipsecX iface. Ti hogyan oldottatok meg azt hogy a az
iptables-el korlatozni szurni ezeket a csomagokat? A problemam az hogy
ha - jol gondolom - akkor BAD ifacen jon good ip-rol csomag befele.
Ugyebar elvileg ezt a ronda egyen is eloidezheti. Amit lattam a
tesztrendszeren hogy pl ping eseten a cel allomason
jott a titkositott es a kibontott
csomag is az eth0-rol. namarmost ha tiltom az ilyen a kibontott (eth0)
csomagot akkor az nekem nem jo. Viszont akkor mi van a ronda egyennel.
Az is bejon? hogyan tudom kulonvalsztani a ipsecrol jovo es a nem
ipsecrol jovo csomagokat, ha iface megegyezik?
iptables igy nez ki egy ping eseten linuxrol linuxra. eth0 a bad iface.
Itt a ket sorban az SRC es DST megegyezik. A
titkositto elso resz a publikus ip, a kibontott masodik a lokalis.
Ebben az esetben megegyeznek. Gondolom.
Feb 9 17:43:51 kozpont kernel: input IN=eth0 OUT= SRC=192.168.11.1
DST=192.168.12.1 LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=59928 DF
PROTO=ESP SPI=0xabbb2193
Feb 9 17:43:51 kozpont kernel: input IN=eth0 OUT= SRC=192.168.11.1
DST=192.168.12.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=549 DF PROTO=ICMP
TYPE=8 CODE=0 ID=64054 SEQ=9474
Erositsetek meg hogy rosszul gondolok valamit!
Ha igen akkor hol gondolom rosszul?
Mas:
Egy erdekesseg, ami miatt sokat szivtam: az ipsec.conf-ban az conn
alatt az auto=start volt berakva, es az ipsec inditasakor a pluto
cannot start... -al lealt. miutan auto=add ra atirtam es kezzel
inditottam az ipsec-et mukodott.
Ez mormalis igy? ha igen miert?
Mas:
Van ra mod, hogy a KLIPS mukodjon 2.6-os kernellel es 2.2.1-es
openswan ? probaltam a openswan 2.3-as KLIPS-et lefoditva berakni
es inditva a 2.2.1-es openswan mellett, de nem titkositott.
Gondolom nem is fog. de hatha.
Elore is koszi a segitseget:
Zoli
Openswan-el (v2.2.1) foglalkozom egy ideje 2.6-os kernel mellett.
nativ ipsec-et hasznalva. Van egy kis elmeteti problemam a nativ ipsec
es az iptables korul.
Nem szivesen ternek vissza 2.4-es kernelhez, mert 9 linuxon kene
ezt megtennem az orszag 7 kulonbozo pontjan.
A szitut:
Openswan-al 2.2.1-es verzio sikerult egy tesztrendszeren osszehozni a
vpn-t. a tcpdump- mutatja hogy az adatok az eth0-an titkositva
jonnek-mennek.
Ugye itt nincs ipsecX iface. Ti hogyan oldottatok meg azt hogy a az
iptables-el korlatozni szurni ezeket a csomagokat? A problemam az hogy
ha - jol gondolom - akkor BAD ifacen jon good ip-rol csomag befele.
Ugyebar elvileg ezt a ronda egyen is eloidezheti. Amit lattam a
tesztrendszeren hogy pl ping eseten a cel allomason
jott a titkositott es a kibontott
csomag is az eth0-rol. namarmost ha tiltom az ilyen a kibontott (eth0)
csomagot akkor az nekem nem jo. Viszont akkor mi van a ronda egyennel.
Az is bejon? hogyan tudom kulonvalsztani a ipsecrol jovo es a nem
ipsecrol jovo csomagokat, ha iface megegyezik?
iptables igy nez ki egy ping eseten linuxrol linuxra. eth0 a bad iface.
Itt a ket sorban az SRC es DST megegyezik. A
titkositto elso resz a publikus ip, a kibontott masodik a lokalis.
Ebben az esetben megegyeznek. Gondolom.
Feb 9 17:43:51 kozpont kernel: input IN=eth0 OUT= SRC=192.168.11.1
DST=192.168.12.1 LEN=136 TOS=0x00 PREC=0x00 TTL=64 ID=59928 DF
PROTO=ESP SPI=0xabbb2193
Feb 9 17:43:51 kozpont kernel: input IN=eth0 OUT= SRC=192.168.11.1
DST=192.168.12.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=549 DF PROTO=ICMP
TYPE=8 CODE=0 ID=64054 SEQ=9474
Erositsetek meg hogy rosszul gondolok valamit!
Ha igen akkor hol gondolom rosszul?
Mas:
Egy erdekesseg, ami miatt sokat szivtam: az ipsec.conf-ban az conn
alatt az auto=start volt berakva, es az ipsec inditasakor a pluto
cannot start... -al lealt. miutan auto=add ra atirtam es kezzel
inditottam az ipsec-et mukodott.
Ez mormalis igy? ha igen miert?
Mas:
Van ra mod, hogy a KLIPS mukodjon 2.6-os kernellel es 2.2.1-es
openswan ? probaltam a openswan 2.3-as KLIPS-et lefoditva berakni
es inditva a 2.2.1-es openswan mellett, de nem titkositott.
Gondolom nem is fog. de hatha.
Elore is koszi a segitseget:
Zoli