Moin,
stehe etwas auf dem Schlauch: (habe noch nie mit DSL gearbeitet, Rechner steht in Nürnberg)
gegeben eth0 (internes Netz), eth1
eth1 hat $irgendeine Adresse (10.0.0.1), ppp0 die von Provider verordnete.
Soweit klappt alles, ich komme über eine Modemleitung hin, kenne auch die ppp0-IP, kann auch auf diese SSH machen, die Kiste macht Masq für interne Rechner - alles okay.
Nun will ich IPsec (FreeSwan) einrichten:
ipsec-nbg:~# ipsec auto --status 000 interface ipsec0/ppp0 80.132.xxx.xxx 000 000 algorithm ESP encrypt: id=3, name=ESP_3DES 000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5 000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1 000 ... 000 "bsh": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1 000 "bsh": policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ; unrouted 000 "bsh": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
Was mich wundert: 'interface: ; unrouted' in der policy-Zeile.
Muß ich erst die eth1 noch einrichten, muß ich was beim Routing beachten?
Andreas, etwas ratlos...
Hi Andreas,
On Mon, Oct 13, 2003 at 17:04:16 +0200, Andreas Kretschmer wrote:
stehe etwas auf dem Schlauch: (habe noch nie mit DSL gearbeitet, Rechner steht in Nürnberg)
gegeben eth0 (internes Netz), eth1
eth1 hat $irgendeine Adresse (10.0.0.1), ppp0 die von Provider verordnete.
Das Interface, ueber das PPPoE laeuft (hier eth1), sollte keine IP-Adresse haben, es muss nur "up" gesetzt sein.
Nun will ich IPsec (FreeSwan) einrichten:
[...]
Muß ich erst die eth1 noch einrichten, muß ich was beim Routing beachten?
Siehe oben, eth1 braucht keine IP-Adresse und taucht daher auch nicht in der Routingtabelle auf. Aus der Sicht von IPSec ist ppp0 ein PPP-Interface wie bei der Modemeinwahl, was "drunter liegt", ist egal. (Okay, die MTU-Groesse fuer ppp0 wird bei DSL kleiner gesetzt als bei der Modemeinwahl, typischerweise 1492)
bye, Chris
am Mon, dem 13.10.2003, um 18:43:45 +0200 mailte Christian Perle folgendes:
Hi Andreas,
On Mon, Oct 13, 2003 at 17:04:16 +0200, Andreas Kretschmer wrote:
stehe etwas auf dem Schlauch: (habe noch nie mit DSL gearbeitet, Rechner steht in Nürnberg)
gegeben eth0 (internes Netz), eth1
eth1 hat $irgendeine Adresse (10.0.0.1), ppp0 die von Provider verordnete.
Das Interface, ueber das PPPoE laeuft (hier eth1), sollte keine IP-Adresse haben, es muss nur "up" gesetzt sein.
Okay, ich versuch es morgen mal nur 'up' zu bekommen ohne IP. Die MTU paßt.
Vielleicht habe ich ja auch $irgend was anderes verbockt, war etwas stessig heute, und wenn man dann von A aus versucht, zwischen B und C IPsec einzurichten, ist man schnell aus dem Konzept, wenn dann noch Teflon bimmelt und irgend welche $Mitarbeiter mit dem Papiereinzug des Druckers nicht zurande kommen...
Andreas
am 13.10.2003, um 17:04:16 +0200 mailte Andreas Kretschmer folgendes:
Moin,
stehe etwas auf dem Schlauch: (habe noch nie mit DSL gearbeitet, Rechner steht in Nürnberg)
Der Hauptfehler war wohl, als Standardgateway die IP-Adresse von ppp0 zu nehmen. Der Rechner kam zwar ins Netz und war erreichbar, aber IPsec wollte nicht.
Nun habe ich als Gateway die P-t-p - Adresse von ppp0 genommen, und es klappt offensichtlich alles.
Kann es mir bitte einer erklären, warum? Danke.
Andreas
Hi Andreas,
On Tue, Oct 14, 2003 at 15:25:02 +0200, Andreas Kretschmer wrote:
Nun habe ich als Gateway die P-t-p - Adresse von ppp0 genommen, und es klappt offensichtlich alles.
Kann es mir bitte einer erklären, warum? Danke.
Weil die P-t-P-Adresse nun mal das Gateway _ist_ :)
Nach Aufbau einer PPP-Verbindung zeigt die Defaultroute ja auch nicht auf das lokale Ende des PPP-Links, sondern auf das remote Ende, also die Peer-Adresse.
bye, Chris
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Andreas Kretschmer -
Christian Perle