Wie erhalte ich meine gesetzten TOS/DSCP-Bits eines Klartext-Paketes wenn es über einen ipsec-Tunnel geht?

Bei ipsec im transport-Modus wird der originale IP-Header nicht verändert – hier werden also die gesetzten Bits nicht verändert.

Bei ipsec im tunnel-Modus umschließt ein neuer IP-Header das Paket. Um die Bits dort vom Klartext-Paket zu übergeben, gibt es unter BSD die Funktion:

     ipsec.ecn
             If set to non-zero, IPv4 IPsec tunnel encapsulation/decapsulation
             behavior will be friendly to ECN (explicit congestion notifica-
             tion), as documented in draft-ietf-ipsec-ecn-02.txt.  gif(4)
             talks more about the behavior.

Die Jungs von Free-BSD haben hier eine sehr gute Dokumentation zu diesem Thema:

http://www.freebsd.org/doc/de_DE.ISO8859-1/books/developers-handbook/ipv6.html#ipsec-ecn

http://www.manpagez.com/man/4/ipsec/osx-10.4.php

Categories: BlogLinuxNetzwerk