|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergey Mikhnenkov 2:5090/22 01 Jun 2005 09:03:32
To : Slawa Olhovchenkov
Subject : handbook/ipsec
--------------------------------------------------------------------------------
31 May 05 13:42, you wrote to me:
SM>> В остальном нехватает инструкции по настройке racoon, если я
SM>> правильно помню, т.е. эта инструкция дает некоторые понятия, но
SM>> она недостаточна для настройки работающей системы.
SO> Да? Hадо будет попробовать по ней настроить. Я не трогал этот кусок.
SO> Еще будет кусок про проблемы с mtu.
Скажем так... Я когда пробовал по подобной инструкции настроить - у меня ничего
не получалось. С racoon я мучался долго, пока не нашел какую-то более
развернутую инструкцию, которая объясняла что почем. По этому мне и показалось
что там нехватает куска про сам racoon.
Если писать про проблемы, как с mtu, то можно еще описать как скрещивать freebsd
c более железными девайсами. Hапример, я чисто экспериментально вышел на то, что
transport+ipencap = tunnel :-) Т.е. железки работающие в тунельном режиме
прекрасно понимают мою фрю в транспортном режиме. Я даже столкнулся с
непониманием меня техсаппортом длинка в этом вопросе.
Далее... В файерволе ты открываешь отдельно esp и ipencap... Я ipencap не
открывал, только esp, и тем не менее вот такая конструкция работает:
spdadd a.b.c.d e.f.g.h ipencap -P out ipsec
esp/transport/a.b.c.d-e.f.g.h/require;
Может я просто чего-то не знаю, это повод проверить.
Hу и не мешало бы рассказать про туннельный режим, про его плюсы и минусы, про
гемор с файерволом и противоречие этого режима и антиспуфинговых правил
файервола...
В общем есть что рассказать еще, если хочется сделать полноценную доку, чтобы не
надо было искать умные мысли по гуглам, для решения проблем :-)
Могу подсобить со статьями которые могут помочь написать эту главу, которые мне
реально помогали настраивать. Из них можно дернуть идеи про что писать...
SM>> Самое простое - добавить небольшой кусок про статические ключи и
SM>> тогда будет полная картина, как настраивать систему, чтобы она
SM>> работала именно в базовой поставке, из коробки. А racoon - это
SM>> надстройка, это уже должен быть следующий шаг по повышению
SM>> секурности, если это надо будет пользователю...
SO> А от русских терминов не тошнит? Внутреннего протеста по поводу
SO> отступлений в теорию не возникает? От корявости языка спотыкач не
SO> наступает?
Я привычен ко всем терминам, теории даже маловато, язык вроде нормален.
Как наполнение будет закончено - можно будет докапываться до точек и запятых :-)
Sergey
--- И чего это я тебя так ненавижу ?
* Origin: За что боролись, на то и напоролись ! (2:5090/22)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
