forum.opennet.ru

Составление сообщения

Исходное сообщение

"Создание VPN во FreeBSD на базе IPSEC и racoon (freebsd ipsec vpn racoon security tunnel)"
Отправлено Valentin Nechayev, 20-Июл-04 11:00

Статья, если честно, грубо ошибочная в месте описания создания туннеля. Это можно извинить совершенно неясным и туманным описанием в handbook, и безнадёжно бардачными KAME'шными описалками, но тем не менее. Хотя на качество работы настроенной сети это _почти_ не влияет... см. ниже.
А суть ситуации следующая: gif в данном случае противоречит туннельному ipsec'у и просто не используется. Он имел бы смысл, если бы строился транспортный IPSEC между шлюзами (как я и посоветовал бы в данном случае - см.ниже), но в случае туннельного IPSEC до него дело просто не доходит:
правила IPSEC SPD - в частности, правило "криптовать всё с 10.0.1.0/24 на 10.0.2.0/24" срабатывает до раутинга (это принципиально в IPSEC), и тут туннельный ipsec реализует по сути свой gif: строит такой же пакет, как в случае ipip туннелирования gif'ом, и криптует по ESP содержимое этого пакета. На стороне получателя происходит обратное: обнаружив ESP и адекватную его содержимому SP, расшифровывает, снимает ipip-оболочку и отправляет пакет в стек.
(продолжить попробую в следующем письме, а то такие большие тексты не хочет постить)

Исходное сообщение
"Создание VPN во FreeBSD на базе IPSEC и racoon (freebsd ipsec vpn racoon security tunnel)" Отправлено Valentin Nechayev, 20-Июл-04 11:00
Статья, если честно, грубо ошибочная в месте описания создания туннеля. Это можно извинить совершенно неясным и туманным описанием в handbook, и безнадёжно бардачными KAME'шными описалками, но тем не менее. Хотя на качество работы настроенной сети это _почти_ не влияет... см. ниже. А суть ситуации следующая: gif в данном случае противоречит туннельному ipsec'у и просто не используется. Он имел бы смысл, если бы строился транспортный IPSEC между шлюзами (как я и посоветовал бы в данном случае - см.ниже), но в случае туннельного IPSEC до него дело просто не доходит: правила IPSEC SPD - в частности, правило "криптовать всё с 10.0.1.0/24 на 10.0.2.0/24" срабатывает до раутинга (это принципиально в IPSEC), и тут туннельный ipsec реализует по сути свой gif: строит такой же пакет, как в случае ipip туннелирования gif'ом, и криптует по ESP содержимое этого пакета. На стороне получателя происходит обратное: обнаружив ESP и адекватную его содержимому SP, расшифровывает, снимает ipip-оболочку и отправляет пакет в стек. (продолжить попробую в следующем письме, а то такие большие тексты не хочет постить)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру