On Sun, 2002-09-15 at 15:13, Sven C wrote: > hi > > das ist auf dem gateway. wenn ich mit ipsec showhostkey einen key extrahiere und den in die ipsec.conf eintrage gehts auch. > mir ist nur nicht so ganz klar was ich jetzt machen muss. > > in dem bespiel der der ipsec installation habe ich nur den psk gefunden. x509 mache ich später. Hi [Also was jetzt: Sven oder Mike?] Du kannst auch ohne x509 mit RSA-Signaturen authentisieren. Ist ja ohnehin dasselbe, nur dass du bei x509 die Sigs in ein Zertifikat verpackst, und sie sonst (z.B. mit showhostkey) von Hand extrahieren und in ipsec.conf erfassen musst. Was du tun musst: Auf beiden Hosts die RSA-Signaturen erzeugen (ipsec newhostkey), extrahieren und in ipsec.conf als leftrsasigkey bzw. rightrsasigkey erfassen. Dabei kannst du laut Doku aber das %any nicht mehr verwenden, sondern musst explizit den Host(IP) angeben, der mit dieser Sig authentisiert wird. Aber das hast du ja anscheinend schon gemacht, und es funkt ja auch. Vielleicht verstehe ich dein Problem nicht ganz. lg /markus
This is a digitally signed message part