On Wed, Apr 02, 2003 at 11:08:58PM +0200, Dennis Bendowski wrote:
Der Rechner Deines Kollegen erhält genau die IP-Nummer, die er hat. Du setzt schließlich einen Tunnel auf, und kein NAT oder so etwas.
Wie meinst Du "erhält genau die IP, die we hat" denn jetzt?
Gegeben dieses Netzwerk: .3 Spielrechner | |--+-+------- 192.168.200.0/24 ----| <- Kollege | .1 Router | 195.244.233.33 +=========== Tunnel ==============+ 195.244.233.49 | .1 Router | |--+---- 192.168.100.0/24 ----------------+----| <- Du | .3 Spielrechner Dann kannst Du von 192.168.100.3 aus den Rechner 192.168.200.3 anpingen, so der Tunnel funktioniert. Zwischen dem Router 195.244.233.49 (Dein Router) und dem Router 195.244.233.33 (Router Deines Freundes) sieht Du Protocol 50 (ESP Tunnel Mode) Pakete mit der Absenderadresse 195.244.233.49 und der Zieladresse 195.244.233.33. Darin sind, verschluesselt und nicht erkennbar, die IP-Pakete mit der Absenderadresse 192.254.200.3 und der Zieladresse 192.168.100.3 enthalten. Auf 192.168.100.3 muss eine Route zu 192.168.200.0/24 eingerichtet werden, mit 192.168.100.1 als Gateway. Entsprechend muss 192.168.200.3 eine Route auf die 192.168.100.0/24 bekommen mit 192.168.200.1 als Gateway.
Was ich leider immer noch nicht verstanden habe, ist, was jetzt ganz genau mit left, right, leftnexthop, rightnexthop gemeint ist...
left und right stehen austauschbar für local und remote Side des Tunnels, man hat nicht local und remote genommen, weil die Konfigurationsdatei des FreeSWAN für beide Seiten austauschbar (d.h. gleich) sein soll. left und right sind die Tunnelendadressen, leftsubnet und rightsubnet sind die Netze hinter dem Tunnel. leftnexthop und rightnexthop sind Kludges, die notwendig sind, weil sich KLIPS (die FreeSWAN-Kernelschicht) nicht richtig in die Routinglayer des Kernels einfügt und daher nicht weiß, wo die ESP-Pakete hinzusenden sind. Es ist das Gateway, an das die ESP-Pakete zu senden sind, also in Deinem Fall in jedem Fall %defaultrouter (Es ist immer %defaultrouter einzutragen, wenn das Netzwerk ein Blattnetz ist, also nur einen Ausgang ins Internet hat. Es ist immer die Tunnelendadresse der Gegenseite einzutragen, wenn beide Tunnelenden auf demselben shared media (d.h. demselben Ethernetsegment) liegen, also in allen Testaufbauten für FreeSWAN). Zum Debuggen brauchst Du außerdem ein ping von 192.168.100.3 nach 192.168.200.3 und dann die Ausgaben von tcpdump -i eth0 und tcpdump -i ppp0 auf 195.244.233.49/192.168.100.1. Kristian