Hallo,
Ich habe eine Problemstellung, die Lösung will nicht recht gelingen.
Ich habe drei hosts ( a,b, c )
b hat einen Tunnel ( properitaer ) nach c.
b soll Pakete von a zu c weiterleiten und zurueck. Das funktioniert bereits.
Nun sollen aber die Pakete von a für c und umgekehrt die somit über b laufen, zwischen a und b via ipsec ah authorisiert werden. Nicht jedoch zwischen b und c oder a und c.
Es soll kein Tunnel sein sondern nur die Authorizierung dieser speziellen a<->c Pakete zwischen a und b.
a und b sind Linuxmaschinen Kernelversion 2.6.16.
Kann mir jemand einen Tip geben wie die ipsec Konfiguration aussehen müsste ?
Ich habe mit setkey bereits allen direkten Verkehr zwischen a un b authoriziert, das soll aber eigentlich nicht unbedingt sein.
Host a:
add <B_IP> <A_IP> ah 0x301 -A hmac-md5 <PSK>
add <A_IP> <B_IP> ah 0x201 -A hmac-md5 <PSK>
spdadd <B_IP> <A_IP> any -P in ipsec ah/transport//require;
spdadd <A_IP> <B_IP> any -P out ipsec ah/transport//require;
Host b entsprechend.
Der Verkehr zwischen von a für b und umgekehrt läuft damit authoriziert ( im tcpdump zu sehen )
Die betroffenen Pakete jedoch welche b forwarden soll laufen aber ( so sieht es im tcpdum aus ) immer noch ohne AH.
Ich habe versucht,
Host a:
add <C_IP> <A_IP> ah 0x301 -A hmac-md5 <PSK>
add <A_IP> <C_IP> ah 0x201 -A hmac-md5 <PSK>
spdadd <C_IP> <A_IP> any -P in ipsec ah/transport//require;
spdadd <A_IP> <C_IP> any -P out ipsec ah/transport//require;
Host b entsprechend.
und auch eine weitere Konfig Host a wie eben, Host b anstelle in/out fwd:
add <C_IP> <A_IP> ah 0x301 -A hmac-md5 <PSK>
add <A_IP> <C_IP> ah 0x201 -A hmac-md5 <PSK>
spdadd <C_IP> <A_IP> any -P fwd ipsec ah/transport//require;
spdadd <A_IP> <C_IP> any -P fwd ipsec ah/transport//require;
Bei diesen beiden letzten Varianten kommt keine Verbindung a<->c mehr zustande.
Ich brauche nur AH kein ESP.
Ich hoffe mir kann jemand einen Tip geben.
Danke