IPsec Probleme [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPsec Probleme

neo2k

05.12.01, 11:19

Hallo,
ich habe nun endlich mal erfolgreich ne ipsec (freeswan) verbindung aufgebaut, und das läuft echt super.
ABER, ich hab da noch ein problem. Einloggen per ssh oder ftp, http läuft prima. Aber zB nen display forwarding oder einige html seiten über http oder einen mc in nem eingeloggten terminal aufmachen geht alles nicht. Und ich habe keine ahnung wieso :(
Kann mir da jemand weiterhelfen ?
In den Mailinglistenarchiven von freeswan bin ich nicht fündig geworden :(.
MfG
Torsten

PS: Ich soll nen MBone router aufbauen, muss man da eigendlich noch irgendetwas konfigurieren ? oder reicht es das ganze in den kernel einzukompilieren ?

rfi

06.12.01, 09:41

Hi,

da kann ich dir nächste Woche wahrscheinlich weiterhelfen. wir bauen das gerade zwischen zwei Firmen auf. Eins würde mich allerdings interessieren. Hast du freeswan 1.91 installiert (rpm) und dann den Kernel neu kompiliert? Die volle Funktionalität von freeswan hat man eventuell nur dann, wenn man den Kernel mit den freeswan-Erweiterungen neu kompiliert.

Grüße
rfi

neo2k

06.12.01, 11:08

hi,
ich benutze debian, hab freeswan 1.92 reinkompiliert in den kernel. Funzt eigendlich recht gut alles (is auch nich so schwer einzurichten wies die anleitung vermuten lässt).
mfg
T

bertl

07.12.01, 08:26

Hi,

ich hab das bei meinen IPsec-Verbindungen auch sporadisch gehabt. Es hat sich rausgestellt, das es fragment-Probleme waren. Nachdem ich die mtu der externen Interfaces runtergedreht habe, hats gefunzt.

Gruß, bertl

neo2k

07.12.01, 11:23

JO, stimmt, das macht sinn, durch ipsec sind bei jedem package 24 byte mehr drin oder so, vielen dank bertl, werd das gleich mal testen.

bertl

11.12.01, 09:50

Hi neo2k,

war's das mit den Fragmenten? Tut's jetzt?

cu
bertl

neo2k

11.12.01, 10:55

Irgendwie tuts nich so richtig.
Ich versteh das auch nich ganz. eth0 hat MTU von 1500 und ipsec0 16346. Wie passt denn dann so ein ipsec paket über eth0 ? muss das dann extra nochmal fragmentiert werden ? is doch eigendlich blöd, oder ?
ich hab auch versucht alle mtus runterzusetzen, und auch ipsec kleiner gemacht als ethx, aber es tut sich totzdem noch nix, funzt nich und ich weiss aber nich wieso.
Falls noch jemand ne idee hat.
MfG
T