Tach Tobias.
Ups, das ging vorhin nicht an die Liste...
stimmt ;) Aber wenn ich nochmal nachhaken darf:
Heißt das, daß ich UDP und TCP-Port 2070 (zusätzlich zu UDP 500) auf meine IPSec-Box leiten muß?
Nein, das ist was "extras", wie wir Schwaben sagen würden ;-) [...]
Hab ich kapiert. Muß ich aber nun Prot. 50 _und_ Prot. 51 auf die IPSec-Kiste weiterleiten, oder komme ich mit ESP aus? Und noch eine Frage: der Install-Guide von freeswan.org paßt irgendwie überhaupt nicht auf die Gegebenheiten meiner SuSE. Kann mir jemand ein Howto oder sowas empfehlen, das auf einer Susi 8.2 paßt? Irgendwie fehlts mir da noch an allen Ecken und Enden mit dem Verständnis... Danke. -- Andreas Feile www.feile.net
Andreas Feile wrote:
Hab ich kapiert. Muß ich aber nun Prot. 50 _und_ Prot. 51 auf die IPSec-Kiste weiterleiten, oder komme ich mit ESP aus?
Soweit ich mich recht erinnere, sorgt AH nur für die Authentizität und Integrität der Daten, während ESP auch noch zusätzlich verschlüsselt. Leider habe ich mein Buch über IPsec nicht im Büro, sonst könnte ich dir das genauer sagen. Grüße, tobi
Hi, Andreas Feile wrote:
Hab ich kapiert. Muß ich aber nun Prot. 50 _und_ Prot. 51 auf die IPSec-Kiste weiterleiten, oder komme ich mit ESP aus?
Das kommt darauf an, was Du willst. Du wirst vermutlich kein AH wollen.
Und noch eine Frage: der Install-Guide von freeswan.org paßt irgendwie überhaupt nicht auf die Gegebenheiten meiner SuSE. Kann mir jemand ein Howto oder sowas empfehlen, das auf einer Susi 8.2 paßt? Irgendwie fehlts mir da noch an allen Ecken und Enden mit dem Verständnis...
Ich hab's noch nicht unter SuSE installiert usw., aber so kompliziert ist es nicht gewesen. Was passt nicht? Ré -- Registered Linux User #324404
Servus René. René Matthäi, Freitag, 16. Januar 2004 13:11:
Das kommt darauf an, was Du willst. Du wirst vermutlich kein AH wollen.
OK, das ist auch schon die Antwort. Es geht also auch ohne AH, und das ist fein.
Ich hab's noch nicht unter SuSE installiert usw., aber so kompliziert ist es nicht gewesen. Was passt nicht?
Ich weiß noch nicht mal recht, wonach ich fragen soll, weil ich die Logik noch nicht richtig kapier. Ich hab mir sämtliche Doku durchgesehen, die mitgeliefert wurde, aber trotzdem krieg ichs nicht auf die Füße. Mir würde vielleicht helfen, wenn Du mir (so Du das fertig hast) eine einfache Road Warrior Konfiguration schicken könntest, d.h. also die ipsec.conf für remote und die für lokal. Dann mach ich serverseitig ein rcipsec restart? Und was mach ich notebookseitig, um die Verbindung auf den Server hochzuziehen? Sorry, wenn diese Frage völlig an der Sache vorbei geht, aber ich habs eben noch nicht raus... -- Andreas Feile www.feile.net
Schau mal unter: http://www.heise.de/ct/02/05/220/ http://www.natecarlson.com/linux/ipsec-x509.php Schönes WE..... Michael Andreas Feile wrote:
Servus René.
René Matthäi, Freitag, 16. Januar 2004 13:11:
Das kommt darauf an, was Du willst. Du wirst vermutlich kein AH wollen.
OK, das ist auch schon die Antwort. Es geht also auch ohne AH, und das ist fein.
Ich hab's noch nicht unter SuSE installiert usw., aber so kompliziert ist es nicht gewesen. Was passt nicht?
Ich weiß noch nicht mal recht, wonach ich fragen soll, weil ich die Logik noch nicht richtig kapier. Ich hab mir sämtliche Doku durchgesehen, die mitgeliefert wurde, aber trotzdem krieg ichs nicht auf die Füße.
Mir würde vielleicht helfen, wenn Du mir (so Du das fertig hast) eine einfache Road Warrior Konfiguration schicken könntest, d.h. also die ipsec.conf für remote und die für lokal.
Dann mach ich serverseitig ein rcipsec restart?
Und was mach ich notebookseitig, um die Verbindung auf den Server hochzuziehen?
Sorry, wenn diese Frage völlig an der Sache vorbei geht, aber ich habs eben noch nicht raus...
Hi, Andreas Feile wrote:
Mir würde vielleicht helfen, wenn Du mir (so Du das fertig hast) eine einfache Road Warrior Konfiguration schicken könntest, d.h. also die ipsec.conf für remote und die für lokal.
Hab ich nicht - aber die sind gleich. Left... und Right... sind gleichwertig. Left... lokal ist z. B. lokal und Right... remote, auf dem Road Warrior genauso.
Dann mach ich serverseitig ein rcipsec restart?
ja
Und was mach ich notebookseitig, um die Verbindung auf den Server hochzuziehen?
Kommt auf die Konfig an. Mit auto=start wird die Verbindung, wenn erstmal alles richtig läuft, automatisch hochgefahren, sobald Du ipsec startest. Mit auto=add musst Du später ein ipsec auto --up namederverbindung ausführen. Ré -- Registered Linux User #324404
Ach, und nochwas: Tobias Heide, Freitag, 16. Januar 2004 10:24:
Ein Router sollte das eigentlich transparent handhaben, da er auf OSI-Layer 3 arbeitet. ESP und AH sind OSI-Layer 4 (also auf der Ebene von TCP).
Also der Typ von QSC meinte, daß AH von deren DSL-Routern nicht durchgereicht werden kann. Ich sollte mich daher auf die Suche nach einer Lösung machen, die mit ESP auskommt. Daher auch meine Nachfrage von soeben. Hat er Unsinn erzählt? -- Andreas Feile www.feile.net
participants (4)
-
Andreas Feile
-
Michael Schmitz
-
René Matthäi
-
Tobias Heide