Hallo Andreas!
Am 2004-06-25 15:21 +0200 schrieb Andreas Kretschmer:
Du willst remote eine einzelne Maschine administrieren? Wozu dann IPSec? SSH tut doch auch für sowas.
Zur Administration taugt es auf jeden Fall, aber ich will ja die Kiste nicht _nur_ administrieren (okay, das macht Spaß, aber er soll ja auch zu was nütze sein). Insbesondere habe ich zwei Gründe für IPSec:
- NFS (okay, es gibt auch Coda usw., aber da müsste ich mich erst wieder reinarbeiten) - im Bürgernetz gibt es einen Zwangs-Mailproxy. Da ich aber meinen Server als Smarthost nehmen will, muss ich mich an dem Proxy irgendwie vorbeitunneln und IPSec würde das gleich mit erschlagen. - Mein Mitbewohner benutzt irgendein für ihn wichtiges Win$-Programm, was zwar ftp kann, aber noch nie was von ssh/sftp gehört hat. Und ich weigere mich einfach, telnet oder nichtanonymes FTP auf der Kiste zuzulassen.
Zusammenfassend ist IPSec einfach eine "einmal gemacht und dann Ruhe bei jeder Anwendung"-Sache und ich habe in Nicht-NAT-Netzen auch schon einige Erfahrung damit. Wäre halt schön, wenn das geht.
NAT und IPSec ist an sich ein Widerspruch. Google man nach 'NAT traversal'.
Eben, ich habe ja schon diverse Howtos gelesen, aber bisher nichts gefunden. Deshalb dachte ich, ich frage mal.
Wenn ich Dich richtig verstehe, brauchst Du es nicht, und wirst es ohne Konfigurationsrechte auf dem Router auch nicht hinbekommen.
Hmm, dann werd ich wohl ein bisschen probieren müssen. Im Prinzip müsste es doch ausreichen, den Peer nicht anhand der IP, sondern anhand eines anderen Merkmals (ein Passwort oder ein Zertifikat) zu erkennen, oder?
Danke und schönes Wochenende!
Martin