isakmpd default-werte
- Ersteller kith
- Erstellt am
CW
Netswimmer
In der Manpage von isakmpd gibt es eine Option -R bei der du den "internen Zustand" von isakmpd in eine Datei ausgeben kannst.
Dazu noch kannst du auch Reports über alle SAs mit der Option S (die du an den daemon schickst) anwenden. Als Ergebnis bekommst du die Datei /var/run/isakmpd_sa.
Gruß
CW
Zuletzt bearbeitet:
kleine-fw (dynamic ip) ==ipsec==> internet ==ipsec==> grosse-fw (fixed ip)
openbsd 3.4 snapshot
also ich krieg immer erst daten durch den tunnel, wenn ich die pf regeln auf der grossen fw einmal geflushed und wieder eingelesen habe. pflog zeigt auch keine blocks an...
das ist nicht nur mit so seltsamen sachen wie outlook/exchange so, sondern sogar bei einem einfachen ping.
irgendwelche ideen vor/ratschlaege?
auf wunsch poste ich auch logs/config/debug etc...
pf.conf
http://www.icd-f32.com/pf2.conf (nicht mehr ganz so frisch und wahrscheinlich redundanzen drin).
openbsd 3.4 snapshot
also ich krieg immer erst daten durch den tunnel, wenn ich die pf regeln auf der grossen fw einmal geflushed und wieder eingelesen habe. pflog zeigt auch keine blocks an...
das ist nicht nur mit so seltsamen sachen wie outlook/exchange so, sondern sogar bei einem einfachen ping.
irgendwelche ideen vor/ratschlaege?
auf wunsch poste ich auch logs/config/debug etc...
pf.conf
http://www.icd-f32.com/pf2.conf (nicht mehr ganz so frisch und wahrscheinlich redundanzen drin).
Zuletzt bearbeitet:
hmm seltsam ich habe heute die regeln fuer das enc0 etwas spezifischer geschrieben (from <loc_int> to <loc_ext> und vice versa), ploetzlich hat alles funktioniert... seeehr strange...
wie auch immer, im moment kaempfe ich auch eher daran, dass isakmpd ziemlich lange braucht um die SA's zu updaten wenn die kleinen fw's eine neue ip bekommen haben.
wie auch immer, im moment kaempfe ich auch eher daran, dass isakmpd ziemlich lange braucht um die SA's zu updaten wenn die kleinen fw's eine neue ip bekommen haben.
double-p
BOFH
Hi,
passende timeouts setzen, bzw auch auf den 'kleinen' ueber
das FIFO interface des isakmpd entsprechende delete/updates
triggern.
Zum enc0 filtering.. uhuu, da muss man vorsichtig sein, da gibt's
immer mal "nette" effekte von packeten, die man "2 mal" sieht - einmal
noch encapsulated, einmal nicht. hat daniel hartmeier schon zigmal
in foren/MLs besprochen -see archives (vor allem auf benzedrine.cx)
HTH
passende timeouts setzen, bzw auch auf den 'kleinen' ueber
das FIFO interface des isakmpd entsprechende delete/updates
triggern.
Zum enc0 filtering.. uhuu, da muss man vorsichtig sein, da gibt's
immer mal "nette" effekte von packeten, die man "2 mal" sieht - einmal
noch encapsulated, einmal nicht. hat daniel hartmeier schon zigmal
in foren/MLs besprochen -see archives (vor allem auf benzedrine.cx)
HTH