ipsec ah only

Hallo,

Ich habe eine Problemstellung, die Lösung will nicht recht gelingen.

Ich habe drei hosts ( a,b, c )

b hat einen Tunnel ( properitaer ) nach c.

b soll Pakete von a zu c weiterleiten und zurueck. Das funktioniert bereits.

Nun sollen aber die Pakete von a für c und umgekehrt die somit über b laufen, zwischen a und b via ipsec ah authorisiert werden. Nicht jedoch zwischen b und c oder a und c.

Es soll kein Tunnel sein sondern nur die Authorizierung dieser speziellen a<->c Pakete zwischen a und b.

a und b sind Linuxmaschinen Kernelversion 2.6.16.

Kann mir jemand einen Tip geben wie die ipsec Konfiguration aussehen müsste ?

Ich habe mit setkey bereits allen direkten Verkehr zwischen a un b authoriziert, das soll aber eigentlich nicht unbedingt sein.

Host a:

add <B_IP> <A_IP> ah 0x301 -A hmac-md5 <PSK>

add <A_IP> <B_IP> ah 0x201 -A hmac-md5 <PSK>

spdadd <B_IP> <A_IP> any -P in ipsec ah/transport//require;

spdadd <A_IP> <B_IP> any -P out ipsec ah/transport//require;

Host b entsprechend.

Der Verkehr zwischen von a für b und umgekehrt läuft damit authoriziert ( im tcpdump zu sehen )

Die betroffenen Pakete jedoch welche b forwarden soll laufen aber ( so sieht es im tcpdum aus ) immer noch ohne AH.

Ich habe versucht,

Host a:

add <C_IP> <A_IP> ah 0x301 -A hmac-md5 <PSK>

add <A_IP> <C_IP> ah 0x201 -A hmac-md5 <PSK>

spdadd <C_IP> <A_IP> any -P in ipsec ah/transport//require;

spdadd <A_IP> <C_IP> any -P out ipsec ah/transport//require;

Host b entsprechend.

und auch eine weitere Konfig Host a wie eben, Host b anstelle in/out fwd:

add <C_IP> <A_IP> ah 0x301 -A hmac-md5 <PSK>

add <A_IP> <C_IP> ah 0x201 -A hmac-md5 <PSK>

spdadd <C_IP> <A_IP> any -P fwd ipsec ah/transport//require;

spdadd <A_IP> <C_IP> any -P fwd ipsec ah/transport//require;

Bei diesen beiden letzten Varianten kommt keine Verbindung a<->c mehr zustande.

Ich brauche nur AH kein ESP.

Ich hoffe mir kann jemand einen Tip geben.

Danke