> ipsec look pc2 Sat Oct 9 21:03:20 MEST 1999 ------------------------- ------------------------- Destination Gateway Genmask Flags MSS Window irtt Iface 10.0.30.0 0.0.0.0 255.255.255.0 U 1500 0 0 eth1 10.0.40.0 10.0.30.254 255.255.255.0 UG 1500 0 0 ipsec0
Für eine manuelle Verbindung muß bei beiden Gateways ipsec gestartet werden.
Folgend wird nun auf beiden Gateways ipsec gestartet und mithilfe der ipsec look -Option
eine Ausgabe der Konfiguration angezeigt.
> ipsec manual --up pc2-pc3 > ipsec look pc2 Sat Oct 9 20:13:37 MEST 1999 ------------------------- 10.0.20.0/24 -> 10.0.40.0/24 => tun0x201@10.0.30.254 esp0x203@10.0.30.254 ------------------------- tun0x201@10.0.30.254 IPIP_proto: dir=out flags=0x0 10.0.30.1 -> 10.0.30.254 esp0x202@10.0.30.1 ESP_proto_3DES_encrypt_MD5_auth: dir=in win=0 seq=0 bit=0x00000000 flags=0x1 esp0x203@10.0.30.254 ESP_proto_3DES_encrypt_MD5_auth: dir=out win=0 seq=181 bit=0x00000000 flags=0x0 Destination Gateway Genmask Flags MSS Window irtt Iface 10.0.30.0 0.0.0.0 255.255.255.0 U 1500 0 0 eth1 10.0.40.0 10.0.30.254 255.255.255.0 UG 1500 0 0 ipsec0
> ipsec manual --up pc2-pc3 > ipsec look pc3 Sat Oct 9 22:29:25 MEST 1999 ------------------------- 10.0.40.0/24 -> 10.0.20.0/24 => tun0x200@10.0.30.1 esp0x202@10.0.30.1 ------------------------- tun0x200@10.0.30.1 IPIP_proto: dir=out flags=0x0 10.0.30.254 -> 10.0.30.1 esp0x202@10.0.30.1 ESP_proto_3DES_encrypt_MD5_auth: dir=out win=0 seq=0 bit=0x00000000 flags=0x0 esp0x203@10.0.30.254 ESP_proto_3DES_encrypt_MD5_auth: dir=in win=0 seq=0 bit=0x00000000 flags=0x1 Destination Gateway Genmask Flags MSS Window irtt Iface 10.0.30.0 0.0.0.0 255.255.255.0 U 1500 0 0 eth0 10.0.20.0 10.0.30.1 255.255.255.0 UG 1500 0 0 ipsec0
Dabei kann man folgendes erkennen:
PC2: tun0x201@10.0.30.254 (ein Tunnel von 10.0.30.1 nach 10.0.30.254)
PC3: tun0x200@10.0.30.1 (ein Tunnel von 10.0.30.254 nach 10.0.30.1)
PC2: esp0x202@10.0.30.1 (die eingehende Verbindung)
PC2: esp0x203@10.0.30.254 (die ausgehende Verbindung)
PC3: esp0x202@10.0.30.1 (die ausgehende Verbindung)
PC3: esp0x203@10.0.30.254 (die eingehende Verbindung)
Beide Verbindungen benützen dabei ESP mit einer 3DES Verschlüsselung
und der MD5 Authentifikation.
Routing Informationen:
Bei PC2 erkennt man, daß
Pakete mit der Netzadresse 10.0.30.0 über das Interface eth1 und
Pakete mit der Netzadresse 10.0.40.0 über das Interface ipsec0 versendet werden,
wobei das ipsec0-Interface die IPSec-Funktionalität bietet.
Bei PC3 werden analog Pakete mit der Netzadresse 10.0.30.0 über das Interface
eth0 und Pakete mit der Netzadresse 10.0.20.0 über das Interface ipsec0 versendet.
Das ipsec-Interface ist ein Pseudo-Interface. An das ipsec-Interface gesendete Pakete
werden verschlüsselt und danach über das ethernet-Interface versendet. Bei
PC3 werden z.B. Pakete mit der Netzadresse 10.0.20.0 an das ipsec0-Interface
gesendet, woraufhin die Pakete verschlüsselt werden und danach zur IP-Adresse
10.0.30.1 gesendet werden.
Es wird also der gesamte Verkehr vom Netzwerk 10.0.20.0 zum Netzwerk 10.0.40.0 durch einen
IPSec Tunnel zum Gateway 10.0.30.254 bzw. zum Gateway 10.0.30.1 geroutet.
Wurde der Befehl jeweils korrekt ausgeführt, sollte man die Verbindung mithilfe ping und dann mit den Programmen, die eingesetzt werden sollen, testen. Um jedoch auch sicher zu gehen, daß die Verbindung wirklich verschlüsselt wird, ist es am besten, die Pakete mittels eines Paketschnüfflers (Sniffer) zwischen den Gateways zu untersuchen.