ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 01 Sep 2004 20:31:39
To : eugen@grosbein.pp.ru
Subject : Re: ipsec
--------------------------------------------------------------------------------
>>> Eugene Grosbein wrote:
EG>> # правило шифрования потока
EG>> add 1.1.1.161 1.1.1.162 esp 1000 -m transport -E blowfish-cbc "key1";
EG>> add 1.1.1.162 1.1.1.161 esp 2000 -m transport -E blowfish-cbc "key2";
EG> А вот если тут убрать -m transport...
EG>> # описание второго потока
EG>> spdadd 1.1.1.0/26 1.1.1.64/26 any -P in ipsec
EG>> esp/transport/1.1.1.162-1.1.1.161/require;
EG>> spdadd 1.1.1.64/26 1.1.1.0/26 any -P out ipsec
EG>> esp/transport/1.1.1.161-1.1.1.162/require;
EG> ... и заменить transport на tunnell...
Hе советую. Есть много жалоб на проблемы MTU в этом случае.
Лучше явный gif.
Заодно вместо линейного списка SP получаешь отработку таблицей раутинга.
EG>> Теперь запускаю тот же ping между теми же машинами,
EG>> но теперь c адреса 1.1.1.65 на 1.1.1.1. Hа отвечающей машине вижу
EG>> tcpdump'ом входящий зашифрованный пакет и все. Ответа нету.
EG> ... тогда все работает, но шифруются и заголовки тоже.
EG> Может возникнуть проблема с Path MTU Discovery?
Да.
-netch-
--- ifmail v.2.15dev5.3
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: ipsec |
Valentin Nechayev |
01 Sep 2004 20:31:39 |
 ipsec |
Alexandr Oskolkov |
01 Sep 2004 23:15:25 |
|
|
