© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Wed, Apr 02, 2003 at 04:50:05PM +0100, ml-eng(at)qvc.com wrote:
>
> hallo,
>
> ich erinnere mich vor einiger zeit schonmal IPSec zwischen 2 BSD kisten
> ans laufen gebracht zu haben. ich hatte mir auch die ipsec.conf
> weggesichert.
> allerdings sind die nimmer aufzufinden. ich meine ich haette nur eintraege
> in
> dieser conf machen muessen. ich hatte einen rechner 172.25.204.254 und
> einen
> 172.25.204.254. der ipverkehr zwischen diesen kisten war mit IPSec
> verschluesselt.
> nu sitze ich hier und will die sache wieder ans rennen bekommen, nix geht,
> garnix.
>
> HOST A:172.25.204.253
> ipsec.conf :
> flush;
> spdflush;
> add 172.25.204.253 172.25.204.254 esp 1000 -E blowfish-cbc "blahblah";
> add 172.25.204.254 172.25.204.253 esp 1001 -E blowfish-cbc "blahblah";
> spdadd 172.25.204.253 172.25.204.254 any -P out ipsec
> esp/transport/172.25.204.253-172.25.204.254/require;
> spdadd 172.25.204.254 172.25.204.253 any -P in ipsec
> esp/transport/172.25.204.254-172.25.204.253/require;
>
>
> HOST B:172.25.204.254
> ipsec.conf:
> flush;
> spdflush;
> add 172.25.204.254 172.25.204.253 esp 1000 -E blowfish-cbc "blahblah";
> add 172.25.204.253 172.25.204.254 esp 1001 -E blowfish-cbc "blahblah";
> spdadd 172.25.204.254 172.25.204.253 any -P out ipsec
> esp/transport/172.25.204.254-172.25.204.253/require;
> spdadd 172.25.204.253 172.25.204.254 any -P in ipsec
> esp/transport/172.25.204.253-172.25.204.254/require;
Bei Transport Mode hast du keine embedded Addressen:
spdadd 172.25.204.253 172.25.204.254 any -P in ipsec
esp/transport//require;
> ja ja, ipsec_enable="YES" habe ich :) setkey -f /etc/ipsec.conf starte ich
> auch nach
> aenderungen. IPSEC usw. ist auch im kernel und compeli. :)
> hmmmm, die kisten koennen sich nicht sehen, ich sehe im tcpdump
> aber das da esp sachen kommen. ich lese ueberall racoon, bin mir aber recht
> sicher
> das ich das frueher nicht hatte. wer weiss wo der fehler liegt.
racoon ist für dynamische Keys.
Wenn du über mehrere Stunden hinweg beim gleichen Key bleibst, dann ist
das ganze recht witzlos - auch wenn er länger als nur 8 Zeichen ist.
Wobei ich selber dafür lieber den isakmpd benutze.
In deinem Beispiel ist zwar die Übertragung verschlüsselt (ESP) , aber
es fehlt die Authentisierung (AH).
Ohne AH kann man dir immer noch Fremde Packete unterschieben.
Meist macht zusätzlich noch IPCOMP Sinn, um nicht jedes Packet
Fragmentieren zu müßen.
In der Regel läßt man die vollständige IPSec Konfiguration vom IKE
Daemon, also vom raccon oder isakmpd erledigen.
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 02 Apr 2003 - 18:32:03 CEST