|
|
|
|||||||
| Portal | Wiki | IRC-Chat | Registrieren | Benutzerliste | Suchen | Heutige Beiträge | Alle Foren als gelesen markieren |
 |
|
|
Themen-Optionen | Thema bewerten | Ansicht |
30.03.2012, 12:31
|
#1 |
|
Registered User
Registrierungsdatum: Jan 2007
Ort: /Germany/Düsseldorf
Beiträge: 1.209
|
IPsec Pakete kommen aus dem Tunnel, aber nicht ans interne Interface
Hallo,
der Aufbau und tcpdumps sind hier zu finden: http://pastebin.ca/2133905 Ich versuche über einen IPsec Tunnel per lynx die Weboberfläche eines APs zu Testzwecken aufzurufen. Die Pakete wandern laut tcpdump auf in den Tunnel und werden von der anderen Seite auch wieder beantwortet; allerdings kommen die Pakete auf dem internen Interface em0 nicht an. Das interface ist mit "set skip on enc0" vom paketfiltern ausgenommen, die Pakete dürften mit "pass on $int_if from $anderes_netz" auf dem internen interface auch nicht geblockt werden. pflog0 zeigt ebenfalls keine blocks an. Beide Endpunkte sind OpenBSD hosts mit nahezu identischen pf.configs... Nur mit dem unterschied, dass der Verkehr auf dem einen das dahinterliegende Netz erreicht und auf dem anderen nicht. Vlt. hat jemand einen Tipp. |
|
|
|
30.03.2012, 13:30
|
#2 |
|
Registered User
Registrierungsdatum: Nov 2003
Ort: Bergisch Gladbach
Beiträge: 568
|
moin
funktioniert es den wenn pf abgeschaltet ist ? pfctl -d ip.forwarding an ? routing geprueft ? ipsec tunnel oder transport config ? holger |
|
|
|
|
30.03.2012, 13:43
|
#3 |
|
Registered User
Registrierungsdatum: Jan 2007
Ort: /Germany/Düsseldorf
Beiträge: 1.209
|
pf möchte ich jetzt ungern abschalten um das zu testen. sonstiger seitenaufbau oder internetverkehr mit anderen internethosts funktioniert problemlos.
route -n show: [snip] Encap: Source Port Destination Port Proto SA(Address/Proto/Type/Direction) 192.168.75/24 0 192.168.50/24 0 0 88.xxx.yyy.86/esp/use/in 192.168.50/24 0 192.168.75/24 0 0 88.xxx.yyy.86/esp/require/out ipsecctl -sa: FLOWS: flow esp in from 192.168.75.0/24 to 192.168.50.0/24 peer 88.xxx.yyy.86 srcid router.mydomain.org dstid host.dyndns.org type use flow esp out from 192.168.50.0/24 to 192.168.75.0/24 peer 88.xxx.yyy.86 srcid router.mydomain.org dstid host.dyndns.org type require SAD: esp tunnel from 88.xxx.yyy.86 to 178.aaa.bbb.114 spi 0xa9b4f2ca auth hmac-sha2-384 enc blowfish esp tunnel from 178.aaa.bbb.114 to 88.xxx.yyy.86 spi 0xe551e3eb auth hmac-sha2-384 enc blowfish die gateways sind im tunnelmodus konfiguriert und die antworten kommen ja auch durch den tunnel zurück. die pakete gehen auf dem weg enc0 ---> em0 "verloren" und ich wüsste momentan nicht, wo ich da noch suchen könnte. |
|
|
|
|
30.03.2012, 21:22
|
#4 |
|
Registered User
Registrierungsdatum: Nov 2003
Ort: Bergisch Gladbach
Beiträge: 568
|
was sagt pflog ?
ist esp bzw ah (je nach konfig ) auch via pf erlaubt ? sprich gibt es sowas wie pass quick on enc0 esp ( syntax ggf pruefen ) holger |
|
|
|
|
31.03.2012, 21:15
|
#5 |
|
Registered User
Registrierungsdatum: Jan 2007
Ort: /Germany/Düsseldorf
Beiträge: 1.209
|
pflog sagt nix (stand im originalpost) und enc0 ist mit "set skip enc0" vom filtern ausgenommen. esp darf auf das externe interface. Ich werd mir die pf-config nochmal ansehen und ggf. posten, falls ich nicht darauf komme, wo mein fehler liegt.
|
|
|
|
|
| Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste) | |
| Themen-Optionen | |
| Ansicht | Thema bewerten |
|
|
Ähnliche Themen
|
||||
| Thema | Erstellt von | Forum | Antworten | Letzter Beitrag |
| FreeBSD Samba PDC Howto | Highfish | Howtos | 103 | 25.09.2006 21:14 |
| Die Geschichte von BSD (bzw. UNIX) | asg | News | 31 | 11.05.2006 20:20 |
| m0n0wall: Geht NAT vor dem VPN Tunnel? | Hermez | FreeBSD - Netzwerk | 13 | 22.10.2004 16:25 |
| Bastion Hosts-, Paketfilter-, IPSec-, Proxiesplazierung im eigenen Netz | I.MC | Netzwerk | 8 | 10.07.2003 02:43 |
| Pakete direkt aus dem Internet installieren !? | genin | FreeBSD - Allgemein | 3 | 17.03.2003 13:51 |
Linear-Darstellung
