Ich fand jedoch nicht den gesamten Datenverkehr verschlüsselt.
Wenn ein Programm, wie z. B. ssh, bereits vor der Installation von ipsec mit dem Remote-Server verbunden ist, werden diese Verbindungen nicht als VPN-Tunnel verwendet. Dies ist in der Ausgabe von tcpdump zu sehen:
[root @ lorawan ~] # tcpdump -i eth0 tcpdump: Ausführliche Ausgabe unterdrückt. Verwenden Sie -v oder -vv für die vollständige Protokolldekodierung, die auf eth0 überwacht wird, Verbindungstyp EN10MB (Ethernet), Erfassungsgröße 262144, Byte 22: 17: 54.407463 IP 10.0 .1.1> 10.0.1.2: ESP (spi = 0xc0920b53, seq = 0x4a), Länge 184 22: 17: 59.454819 IP 10.0.1.2> 10.0.1.1: ESP (spi = 0x3ec810fd, seq = 0x97), Länge 120 22:17 : 59.455637 IP 10.0.1.1> 10.0.1.2: ESP (spi = 0xc0920b53, seq = 0x4c), Länge 104 22: 17: 59.455637 IP 10.0.1.1> 10.10.0.0: ICMP 10.0.1.1 udp-Port-Domäne nicht erreichbar, Länge 36 22 : 17: 59.455787 IP 10.0.1.2> 10.0.1.1: ESP (spi = 0x3ec810fd, seq = 0x98), Länge 120 22: 18: 01.000771 STP 802.1d, Config, Flags [keine], Bridge-ID 8000.80: e0: 1d : 66: 2f: a2.8001, Länge 43 22: 18: 03.000814 STP 802.1d, Config, Flags [keine], Brücken-ID 8000.80: e0: 1d: 66: 2f: a2.8001, Länge 43 22:18: 04.738096 IP 10.0.1.2.33457> 10.0.1.1.5888: Flags [P.], Sequenz 4216930160: 4216930182, ack 50432821, gewonnen 17584, Länge 22 22: 18: 04.738618 IP 10.0.1.1.5888> 10.0.1.233457: Flags [.], Seq. 1:27, Ack 22, Sieg 3446, Länge 26 22: 18: 04.738679 IP 10.0.1.2.33457> 10.0.1.1.5888: Flags [.], Ack 27, Sieg 17584, Länge 0
Auf die Standardschnittstelle: eth0 kann immer noch von einem externen Host-Prozess zugegriffen werden, z. B. ssh:
[root @ lorawan ~] # tcpdump -i eth0 tcpdump: Verbose Ausgabe unterdrückt. Verwenden Sie -v oder -vv für die vollständige Protokolldekodierung, die auf eth0 überwacht wird, Verbindungstyp EN10MB (Ethernet), Erfassungsgröße 262144, Byte 22: 24: 28.021347, IP 10.0 .1.2> 10.0.1.1: ESP (spi = 0x3ec810fd, seq = 0xa9), Länge 120 22: 24: 28.169729 IP 10.0.1.1.36550> 10.0.1.2.ssh: Flags [P.], seq 156: 208, ack 825, gewinnen 2944, Länge 52 22: 24: 28.170144 IP 10.0.1.2.ssh
10.0.1.1.36550: Flags [P.], Seq. 825: 893, ack 208, win 16616, Länge 68 22: 24: 28.370727 IP 10.0.1.1.36550> 10.0.1.2.ssh: Flags [.], Ack 893, gewonnen 2876, Länge 0
Und mein iptables Forwarder sieht OK aus:
[root@lorawan ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere 10.10.0.0 policy match dir in pol ipsec reqid 1 proto esp ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:bootps ACCEPT udp -- anywhere anywhere udp dpt:bootps Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere 10.10.0.0 policy match dir in pol ipsec reqid 1 proto esp ACCEPT all -- 10.10.0.0 anywhere policy match dir out pol ipsec reqid 1 proto esp ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 10.10.0.0 anywhere policy match dir out pol ipsec reqid 1 proto esp
Meine Frage ist: Gibt es eine Möglichkeit, "ALLEN Verkehr" in das VPN zu routen?
1 Antwort auf die Frage
0
aelbaz
Ich denke, es ist möglich, dass dieses Problem ein Nebeneffekt davon ist, wie der Linux-Netzwerkstapel funktioniert und wie die Bibliothek libpcap den Datenverkehr erfasst.
Willkommen bei Super User! Während die Frage theoretisch beantwortet werden kann, ist es [bevorzugt] (// meta.stackoverflow.com/q/8259), die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
bertieb vor 7 Jahren
0