ipiptunneling]

Michael Grosseck micha at electric-solutions.de
Sam Apr 6 01:38:56 CEST 2002 

Hallo Lutz,

erst mal vielen Dank für Deine Antwort.


> * Michael Grosseck wrote:
>  >21:10:52.179922 < 172.31.0.9 > 217.80.139.81: icmp: host 212.201.40.47
>  >unreachable - admin prohibited filter
>  >
>  >es sieht wohl so aus als wenn die pakete irgendwo abgefangen werden !?!
>
> Nein, es gibt einen Paketfilter, der das Protokoll IPIP nicht durchläßt
und
> dafür freundlicherweise explizite ICMP Ablehnungen schickt.

sowas in der Art wollte ich auch ausdrücken. Ich konnte mir nur nicht so
richtig vorstellen, wie die Firewall sowas erkennt, da ich angenommen hab,
daß das IP-Paket einfach in das Datensegment des übergeordneten IP-Paketes
verschoben wird, und die Firewall gar nicht merkt, daß dort ein anderes
IP-Paket versteckt ist. Weil dort aber auch eine andere Protokollnummer im
IP-Header steht, nehme ich an, das die Firewall das daran erkennt, und die
Pakete abweist. Oder liege ich da falsch???


>  >wenn ich den host 212.201.40.47 aber anpinge bekomme ich allerdings was
>  >zurück.
>
> Das ist auch kein IPIP Protokoll sondern ICMP Typ 8 und Typ 0.
>
das ist mir bewußt.
sorry, für meine laxe Formulierung, ich wollte damit auch mehr ausdrücken,
daß der Rechner an sich erreichbar ist.

>  >ich benutze nur masquerading und das hatte ich abgeschalten zum testen,
>  >daran scheint es nicht zu liegen...
>
> Sicher? Masquerading muß natürlich außer TCP/UDP/ICMP auch die von Dir
> benötigten Protokolle wie IPIP, GRE (für L2TP), ESP oder AH (für IPSec)
> unterstützen.
>
na gut im Moment bin ich mir nicht sicher, ob mein Masquerading diese
Protokolle unterstützt, obwohl ich davon ausgehe, wenn ich Masquerading und
IP-Tunneling in der Kernelkonfiguration angebe. Deswegen hab ich zum Testen
das Masquerading  ja auch auf beiden Seiten ausgeschaltet.
da es dann trotzdem nicht funktioniert, nehme ich an, es liegt an der
Firewall, daß die Pakete nicht durchkommen.

> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Rauskommen
ja wenn man mit dem Admin reden könnte wäre das eine feine Sache. Leider
haben aber einige Studenten ziemlich rüde auf die Umstellung auf öffentliche
IP's und die damit verbundenen Startschwierigkeiten reagiert, so das der
Admin einfach keine Lust mehr hat zu diskutieren.
Ich wiederum hab aber auch keine Lust mich in diese ganzen Streitigkeiten
einzumischen, deswegen suche ich nach meiner eigenen Lösung.
Außerdem sehe ich das mehr als Herausforderung. Wie auch immer, das ist eine
andere Story...

> http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#IPSec

ups, so kompliziert wollte ich das gar nicht aufziehen... :)


Schönes Wochenende
Ciao Liox
alias Michael Grosseck








-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein