Re: IPSec und Redirect

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Mon, 23 Jun 2003 22:22:19 +0200

On Mon, Jun 23, 2003 at 06:02:28PM +0200, Hendrik Scholz wrote:
> Moin Moin!
>
> On Mon, 23 Jun 2003 15:24:09 +0200
> Matthias Teege <matthias-dbsdq(at)mteege.de> wrote:
>
> > 64 bytes from 192.168.3.16: icmp_seq=10 ttl=63 time=19.966 ms
>
> > Soweit ich das verstanden habe, gehen alle Pakete über den Access
> > Point. Dieser versucht dem Klienten nun mitzuteilen, daß der
> > Gesprächspartner auch direkt erreichbar ist und sendet die Redirect
> > Message. Das IPSec Setup ignoriert das aber und sendet weiter über
> > den AccessPoint.
>
> Das IPSec kommt da wohl nicht zu tragen. Die ttl deutet auf einen Hop zwischen den Endpunkten. Mit tcpdump solltest Du sehen, ob die
> Pakete ICMP oder Proto 50/51 sind. Fuer mich sieht es so aus, als wenn das im Moment ohne IPSec rennt, denn dann koennte der AP (die .89 wenn ich das richtig interpretiere) ja keinen redirect schicken.

Natürlich kann der einen redirect schicken - Sind ja immer noch die
gleichen IPs im Header, sonst könnte ja keine Kiste die Packete routen.
Die IPs werden nur im Tunnel Mode überlagert.

Zu Thema redirect gibt es für IPv4 zwei sysctl:
net.inet.ip.redirect: 1
net.inet.icmp.drop_redirect: 0
Der erste sagt, daß redirects verschickt werden sollen und der
zweite, ob redirects akzeptiert werden.
In erster Linie sollte man sich aber Gedanken darüber machen,
ob die Netztopology geschickt gewählt wurde.

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 23 Jun 2003 - 22:22:28 CEST

search this site