Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       01 Sep 2004  18:06:20
 To : All
 Subject : ipsec
 -------------------------------------------------------------------------------- 
 
 Привет!
 
 Есть два роутера на FreeBSD в одном ethernet-сегменте.
 Хочу зашифровать payload пакетов, ходящих между машинами при помощи IPSEC,
 заголовки шифровать не надо. Адрес 1.1.1.161/30 на одной машине,
 1.1.1.162/30 на второй. Пока на статических ключах.
 
 Пишу в /etc/ipsec.conf на машине 1.1.1.161:
 
 # правило шифрования потока
 add 1.1.1.161 1.1.1.162 esp 1000 -m transport -E blowfish-cbc "key1";
 add 1.1.1.162 1.1.1.161 esp 2000 -m transport -E blowfish-cbc "key2";
 
 # описание первого потока
 spdadd 1.1.1.162/32 1.1.1.161/32 any -P in  ipsec
 esp/transport/1.1.1.162-1.1.1.161/require;
 spdadd 1.1.1.161/32 1.1.1.162/32 any -P out ipsec
 esp/transport/1.1.1.161-1.1.1.162/require;
 
 Hа второй машине симметричная конфигурация. Все работает, пинги ходят,
 tcpdump показывает шифрованный трафик.
 
 Теперь хочу также зашифровать транзитный трафик, первая машина на другом
 своем интерфейсе имеет сеть 1.1.1.65/26, вторая 1.1.1.1/26.
 
 Добавляю в ipsec.conf по аналогии (на второй машине симметрично):
 
 # описание второго потока
 spdadd 1.1.1.0/26  1.1.1.64/26 any -P in  ipsec
 esp/transport/1.1.1.162-1.1.1.161/require;
 spdadd 1.1.1.64/26 1.1.1.0/26  any -P out ipsec
 esp/transport/1.1.1.161-1.1.1.162/require;
 
 Теперь запускаю тот же ping между теми же машинами,
 но теперь c адреса 1.1.1.65 на 1.1.1.1. Hа отвечающей машине вижу
 tcpdump'ом входящий зашифрованный пакет и все. Ответа нету.
 Hа отвечающей машине в начале списка правил стоит allow icmp from any to me,
 оно не мачится. Вывод - пакеты не расшифровываются.
 
 Что я делаю не так?
 
 Eugene
 -- 
 "Люди забыли эту истину," - сказал Лис, - "но ты не забывай"
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 ipsec   Eugene Grosbein   01 Sep 2004 18:06:20 
 Re: ipsec   Eugene Grosbein   01 Sep 2004 20:12:25 
 ipsec   Alexander Starostin   05 Sep 2004 17:38:26 
 ipsec   Alexandr Oskolkov   06 Sep 2004 23:18:45 
Архивное /ru.unix.bsd/260930639fe49.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional