cwbe coordinatez:
101
63540
63542
1098481
1670595

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::
total children::1
show[ 2 | 3] flat
Za normalnych okolnosti v tcpdumpe vidime na interfaci kade sa routuje ipsec tunel (zvycajne cez default gateway, napr eth0) ako k nam z peera na ktorom je zakonecny tunel prichadzaju ESPckove packety a zaroven aj dekryptovany traffic.

Avsak ak nemame na INPUTe povoleny ESP traffic z daneho hostu tak NEUVIDIME dekryptovany traffic (len prichadzajuce ESPcka..).

Cize je dobre pouzit nieco aspon taketo: iptables -I INPUT -p ESP -j ACCEPT

Mozno celkom logicke, ale clovek sa s tym moze natrapit ked povolil ..




000001010006354000063542010984810167059501670600
maniac
 maniac      31.05.2005 - 22:54:20 , level: 1, UP   NEW
aby som to upresnil bol som v tom, ze ten traffic kernel zoberie ako RELATED/ESTABLISHED kedze pri vymene klucov ho tak zobral

00000101000635400006354201098481016705950167060001674358
nudzo
 nudzo      02.06.2005 - 12:46:16 , level: 2, UP   NEW
Vymena klucov ide cez IKE, t.j. UDP (17) protokol port 500 - u neho vie kvazi stavy kernel riesit. IPSec ide cez protokol ESP (50)... Btw ja mam radsej strongswan... a overovanie cez X509 certifikaty...

0000010100063540000635420109848101670595016706000167435801674535
juraj
 juraj      02.06.2005 - 13:49:06 , level: 3, UP   NEW
ja som racoon s x.509 certifikatmi pouzival este na bsd, myslim, ze bude fungovat... tym *swan som nikdy neprisiel na chut, stale s tym boli problemy.

000001010006354000063542010984810167059501670600016743580167453501674905
maniac
 maniac      02.06.2005 - 15:38:41 , level: 4, UP   NEW
funguju vsetky, kazdy ma ine silne stranky..

0000010100063540000635420109848101670595016706000167435801674520
maniac
 maniac      02.06.2005 - 13:43:52 , level: 3, UP   NEW
ano, [free|open|strong]swan pouzivam tiez v komplexnejsich setupoch.
toto je velmi jednoduchy tunnel, takze som pouzil najjednoduchsiu cestu t.j. ipsec implementaciu priamo v 2.6 jadre bez nutnosti patchovania a s pouzitim standartneho racoon daemona.

000001010006354000063542010984810167059501670600016743580167452001676520
nudzo
 nudzo      03.06.2005 - 10:57:58 , level: 4, UP   NEW
No sak *swan na 2.6 jadre nepatchuje nic... pouziva kernelovu implementaciu... je to vlastne len IKE daemon a par toolov... dokonca to potrebuje aj setkey z ipsec-tools...

00000101000635400006354201098481016705950167060001674358016745200167652001678345
maniac
 maniac      04.06.2005 - 09:52:20 , level: 5, UP   NEW
dobre vediet hmm