ipsec und nat

speedball

Member
klappt leider alles nicht ... hier die routen :

netstat -rnf inet

nternet:
Destination Gateway Flags Refs Use Mtu Interface
default 217.5.98.14 UGS 3 9996 1492 tun0
192.168.1/24 link#4 UC 0 0 - sis2
192.168.1.32 0:40:f4:36:eb:31 UHL 2 8258 - sis2
192.168.2/24 link#1 UC 0 0 - wi0
192.168.88/24 link#3 UC 0 0 - sis1
208.192.32.0/30 link#2 UC 0 0 - sis0
217.5.98.14 80.128.245.110 UH 1 0 1492 tun0


netstat -rnf encap

ncap:
Source Port Destination Port Proto SA(Address/Proto/Type/Di
rection)
213.7.23.153/32 0 192.168.1/24 0 0 213.7.23.153/50/use/in

192.168.1/24 0 213.7.23.153/32 0 0 213.7.23.153/50/require


das muss mit dem redirecten in pf zu tun haben !!! der udp redirect funktioniert bestens, aber den esp redirect bekomm ich nicht hin. wo kommen diese dubiosen ip adressen denn her ??

esp 192.168.1.77 <- 216.204.127.214 <- 213.7.23.153 NO_TRAFFIC:SINGLE

216.204.127.214 ?????????????
 

atarianer

Member
Wenn ich das richtig verstanden habe läuft doch isakmpd auch auf deinem Router. Warum machst du dann einen Redirect?

Kannst du mal eine kleine Übersicht der IP-Adressen und Subnetze posten? Ich hab da nicht ganz den Überblick.

Gruß
atarianer
 

speedball

Member
Ja, das war der Knackpunkt !!!! ich hatte in der isakmpd.conf ein Liste-on: 192.168.1.77 !!!!!

natürich hat isakmpd dann nicht mehr auf das externe interface gehorcht und ich musste ein redirect machen, aber das hat dann den rückweg zum client verfälscht !!

Ich hatte das ursprünglich drin, weil ich dachte ich müsste die interfaces angeben, auf die isakmpd reagiert, da ich ja auch die wlan clients im netz ipsec machen lasse !!!
Aber ich muss einfach weglassen !!!


Ich danke Euch für Eure Hilfe :)
 

CW

Netswimmer
Original geschrieben von speedball
Ja, das war der Knackpunkt !!!! ich hatte in der isakmpd.conf ein Liste-on: 192.168.1.77 !!!!!

natürich hat isakmpd dann nicht mehr auf das externe interface gehorcht und ich musste ein redirect machen, aber das hat dann den rückweg zum client verfälscht !!

Ich hatte das ursprünglich drin, weil ich dachte ich müsste die interfaces angeben, auf die isakmpd reagiert, da ich ja auch die wlan clients im netz ipsec machen lasse !!!
Aber ich muss einfach weglassen !!!


Ich danke Euch für Eure Hilfe :)

Gut, dass es geklappt hat.

Und das nächste mal, bitte, alle relevanten (auch potentiell) Informationen posten.

Weil wie ich sehe, saß das Problem in der isakmpd.conf.

Aber Hauptsache, dass es jetzt klappt :)

Gruß

CW
 

kith

unfuck me!
Teammitglied
esp ist schon ein protokoll. nur nicht eines wie tcp/ip. genauso wie ftp ein protokoll ist...

*klugscheiss haarespalt* :)
 
Oben