Hallo Frank und Liste,
Am 2003-06-27 1:21 +0200 schrieb Frank Becker:
Bei uns im FSR laufen drei Rechner im gleichen Ethernet, alle
Ich habe immer gedacht, der Kernel muß wissen, für welches IP-Netz er die Pakete durch den Tunnel schickt. Das macht er IMHO über das Routing.
Richtig. Und die Routingtabelle sagt bei uns, dass Pakete an die anderen FSR-Rechner über ipsec0 gehen, und die Pakete an den Rest der Welt über eth0. Geht genau so, wie man auch normales Routing machen würde.
Wenn das nicht so ist
Doch.
Wie verteilt Ihr die Schlüssel?
Wir haben den X.509-Patch installiert, d. h., jeder Rechner generierte sich ein RSA-Schlüsselpaar und die öffentlichen Schlüssel haben wir dann auf allen anderen Rechnern installiert. Dies skaliert natürlich nicht besonders gut, aber bei drei, vier Rechnern ist es die einfachste Lösung.
kommunizieren über IPsec. Natürlich geht das (warum auch nicht?), IP ist über eine Punkt-zu-Punkt-Verbindung genau dasselbe wie über 30 hops einmal um die Erde rum (von den Latenzen mal abgesehen ;-) ).
Ich glaube wir verstehen hier einander nicht richtig. Es ist ein Unterschied, ob Du über MAC-Adressen/Layer 2 oder über Router redest. Reden die drei Rechner untereinander über IPSec?
Natürlich ist es ein Unterschied, ob man über MAC- oder IP-Adressen redet. Ich wollte darauf hinaus, dass auf der IP-Ebene es völlig transparent ist, wo der andere Rechner steht und wie die Netztopologie ist. Deshalb interessiert es auch IPsec nicht, ob der Rechner im gleichen Subnetz ist oder nicht. Das interessiert nur das Routing an sich (was aber kein Dienst der IP-Schicht ist, sondern diese implementiert).
Einer unserer Rechner hat vor kurzem neben Debian auch ein XP verpasst
Kannst Du mir mal die /etc/ipsec.conf schicken oder hier posten?
Gern, ist aber nichts spektakuläres (noch frees/wan 1.99-Syntax):
------------------- snip -------------------- # /etc/ipsec.conf
config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search
conn %default keyingtries=0 authby=rsasig auto=start
conn tomate-zwiebel left=141.76.22.52 leftsubnet=141.76.22.52/32 leftcert=tomateCert.pem right=141.76.22.54 rightsubnet=141.76.22.54/32 rightcert=zwiebelCert.pem
conn tomate-paprika left=141.76.22.52 leftsubnet=141.76.22.52/32 leftcert=tomateCert.pem right=141.76.22.53 rightsubnet=141.76.22.53/32 rightcert=paprikaCert.pem ------------------- snip --------------------
Wenn es ein IPSec Tunnel auf einen Rechner hinter einem Router ist, interessiert es mich nicht. ;)
Nein, nur im lokalen Subnetz.
Schönen Tag noch!
Pitti