|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrey Simonenko 2:5020/400 05 Oct 2004 15:25:59
To : Andrey Simonenko
Subject : Re: IPsec tunnel без esp
--------------------------------------------------------------------------------
Andrey Simonenko <simon@comsys.ntu-kpi.kiev.ua> wrote:
>
> spdadd x.x.x.x/32 0.0.0.0/0 any -P out ipsec
> esp/tunnel/x.x.x.x-y.y.y.y/require ah/transport//require;
>
> spdadd 0.0.0.0/0 x.x.x.x/32 any -P in ipsec
> esp/tunnel/y.y.y.y-x.x.x.x/require ah/transport//require;
>
[skipped]
> Можно ли сделать такой туннель без esp (шифрования), чтобы был
> только ah (аутентификация между x.x.x.x и y.y.y.y)?
Можно. Для x.x.x.x:
add x.x.x.x y.y.y.y ah 1002 -A ... ;
add y.y.y.y x.x.x.x ah 1003 -A ... ;
spdadd x.x.x.x/32 0.0.0.0/0 any -P out ipsec ah/tunnel/x.x.x.x-y.y.y.y/require;
spdadd 0.0.0.0/0 x.x.x.x/32 any -P in ipsec ah/tunnel/y.y.y.y-x.x.x.x/use;
симметрично для y.y.y.y (см. ниже).
Реализация IPsec на FreeBSD отказывается "принимать" пакеты у которых
в SP "-P in" стоит require, если use, то пакеты принимаются и попадают
под SP. В приведенном выше примере можно в "-P out" тоже указать use.
Согласно tcpdump и моим тестам со сменой ключей получили IPsec туннель
с аутентификацией заголовков (AH).
Hасколько я понимаю именно про эту проблему говорится в ipsec(4) в
разделе BUGS.
Если не трудно, прокомментируйте, если что-то так понял.
--- ifmail v.2.15dev5.3
* Origin: NTUU "KPI" (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
