nach mehreren Tagen Docs und Howtos lesen ist es mir dann passiert: Die IPSec VPN unter Kernel 2.6 läuft. War bisher nur FreeSWAN aus dem 2.4er Kernel gewohnt.
Die Zusammenhänge von SADs und SPDs und wie der Racoon da mitmischt sind so halbwegs klar. Naja. Im Grunde läuft ein einfacher ESP Tunnel von SubNET_A über IP_A nach IP_B SubNET_B.
Jetzt tun sich allerdings ein paar Fragen auf, auf die ich leider keine Antworten habe. Früher (2.4er Kernel) gab es auf Grund der Userspace implementierung immer das IPSEC0...N. An sich war das ja ne schöne Sache. War einfacher mit der Firewall zu handeln. Jetzt gibt es weder routings, die man manipulieren könnte noch irgendwelche Interfaces. Und die Pakete laufen direkt von int nach ext und werden da irgendwie in das ESP gequetscht. Jetzt befürchte ich allerdings, das meine Firewall (die auch PDC,WWW,SSH,DNS,DHCP für internes Netz ist) da was missversteht und glatt die Pakete, die von internen Stationen zum anderen internen Netz gehen durch das Masquerade schickt!
Was mich das vermuten lässt: ich kann z.B. im anderen Subnetz den Hauptserver nicht pingen. Und ich glaube aufgrund der fehlenden Routings und Devices kann ich von meiner Firewall auch nicht durch den Tunnel an die Rechner im anderen Netz ran. Das wäre allerdings von Vorteil, wenn man DNS-Forwardings durchleiten möchte (auch PDC TrustDomains, etc.. - also alles von meinem ersten Rechner zum anderen ersten Rechner)
Gibt es da Lösungsansätze? Zum Beispiel ähnlich wie bei OpenVPN über nen tun oder tap Device? Oder ist es dann zu empfehlen ein UML (UserModeLinux) aufzusetzen, der über z.B. BR0 zu erreichen ist??? Ich benutze übrigens auch OpenVPN - nur mit der Konstelation wie ich es jetzt brauche ist das nicht möglich, da die Hardware nur FreeSWAN auf 2.4er Kernel kann! Kann ich leider auch nicht beeinflussen...
Also zusammengefasst: Ist es möglich die routen zu bestimmen von ServerA nach ServerB wie es mit FreeSWAN möglich war? Und wieso kann ServerA nicht ServerB durch den Tunnel auf die jeweilige interne IP pingen?
Wenn das jetzt alles ein wenig verwirrend rüberkommt. Keine Sorge - bin auch verwirrt!
Stellt einfach detailiertere Fragen.