Wie erhalte ich meine gesetzten TOS/DSCP-Bits eines Klartext-Paketes wenn es über einen ipsec-Tunnel geht?
Bei ipsec im transport-Modus wird der originale IP-Header nicht verändert – hier werden also die gesetzten Bits nicht verändert.
Bei ipsec im tunnel-Modus umschließt ein neuer IP-Header das Paket. Um die Bits dort vom Klartext-Paket zu übergeben, gibt es unter BSD die Funktion:
ipsec.ecn
If set to non-zero, IPv4 IPsec tunnel encapsulation/decapsulation
behavior will be friendly to ECN (explicit congestion notifica-
tion), as documented in draft-ietf-ipsec-ecn-02.txt. gif(4)
talks more about the behavior.
Die Jungs von Free-BSD haben hier eine sehr gute Dokumentation zu diesem Thema:
http://www.freebsd.org/doc/de_DE.ISO8859-1/books/developers-handbook/ipv6.html#ipsec-ecn
http://www.manpagez.com/man/4/ipsec/osx-10.4.php