Re: vpnc mal wieder

From: Harold Gutch <logix(at)foobar.franken.de>
Date: Fri, 30 Apr 2004 10:09:40 +0200



On Fri, Apr 30, 2004 at 09:29:45AM +0200, Peter Wullinger wrote:


> 


> Guten Morgen,


> 


> Das war hier zwar schon mal mit vorgeschlagener Lösung dran: 


> (http://www.freebsd.de/archive/de-bsd-questions/de-bsd-questions.200312/0372.html), aber irgendwie klappt's bei mir nicht ...


> 


> Beim Ausprobieren von vpnc (http://www.unix-ag.uni-kl.de/~massar/vpnc/)


> kommt bei mir unter -CURRENT die Fehlermeldung:


> 


> socket(SOCK_RAW): Protocol not supported. 


> 


> Eine Neuübersetzung der Kernels mit 


> - FAST_IPSEC, 


> - FAST_IPSEC ohne INET6


> - IPSEC und IPSEC_ESP


> - nur IPSEC_ESP


> führt zum selben Resultat.


> 


> Beim einem Kernel völlig ohne IPSec läuft der ISAKMP-Handshake


> mit der Gegenstelle durch und auch das Interface wird konfiguriert.


> IPSec kann ich mangels Kernelfunktionalität allerdings natürlich


> nicht betreiben und versuchsweise Pings auf die Tunneladressen


> landen auch im Datennirwana.



In dem Fall brauchst du aber keinerlei Kernelfunktionalitaet,


weil vpnc das alles macht.  Bist du dir denn sicher, dass das


nicht einfach ein Routingproblem ist?



> Ein Blick in /usr/src/sys/netinet/in_proto.c zeigt:


> $FreeBSD: src/sys/netinet/in_proto.c,v 1.71 2004/04/07 20:46:13 imp Exp $


> #ifdef FAST_IPSEC


> [...]


> { SOCK_RAW, &inetdomain,    IPPROTO_ESP,    PR_ATOMIC|PR_ADDR,


>   esp4_input,   0,      esp4_ctlinput,  0,


>   0,      


>   0,        0,      0,      0,


>   &nousrreqs


> },


> [...]


> 


> Das sollte meiner Meinung nach eigentlich passen, d.h. für FAST_IPSEC


> sollte der entsprechende control hook verfügbar sein. 



Nein, die ersten zwei Hooks (esp4_input und esp4_ctlinput) sind


fuer IPSec im Kernel.  Was du hier eigentlich gerne haettest,


waere ein "echter" Hook fuer Requests die ins Userland gehen,


also gerade _kein_ "&nousrreqs".



> Allerdings kann ich das mangels Wissen über die entsprechenden


> Kernelteile nicht wirklich zuverlässig beurteilen.



Dito...



> Mach ich irgendwas falsch oder sollte ich den Port jetzt erst mal


> als nicht funktionstüchtig betrachten?



Es ist jetzt schon eine Weile her, dass ich den getestet habe,


bei mir ging er aber.  Was fuer eine FreeBSD-Version und was fuer


eine Version des Ports benutzt du denn?



bye,


  Harold



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 30 Apr 2004 - 10:10:38 CEST













search this site