ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene M. Zheganin                   2:5054/79.2    21 May 2003  10:07:08
 To : Andriy Gapon
 Subject : ipsec again
 -------------------------------------------------------------------------------- 
 

 
  20 May 03 в 20:50, Andriy Gapon -=> All о "Re: ipsec again":
 
  [...]
 
  AG> ipsec transport mode - это, когда пакет ipsec-ают, но ip src и dst у
  AG> него остаются такие же, работает, естественно, между двумя хостами.
  AG> ipsec tunnel mode - это, когда пакет ipsec-ают и помещают внутрь
  AG> другого
  AG> ip пакета с src и dst опеределяемыми параметрами тунеля.
 
 Стоп. А чем этот туннель организовать ? Вот у меня сделано как раз как ты пишешь
 ниже- gif внутри esp. Hо. esp-то у меня tunnel (плюс ah, для вящей секьюрности).
 Вот сейчас прочитал это письмо, очень сильно удивился, но пошел пробовать.
 Оторвал gif-ы - ессно ничего не работает.
 
 Вот sp:
 
 spdadd 192.168.3.0/24 192.168.2.0/24 any -P out ipsec
 esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require
 ah/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
 spdadd 192.168.2.0/24 192.168.3.0/24 any -P in  ipsec
 esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require
 ah/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
 
  AG>  Задача
  AG> серверов на концах тунеля (а) ловить пакеты попадающие под ipsec
  AG> полиси и ipsec-ать их, (б) раз-ipsec-чивать приходящие пакеты.
  AG> Работать может естественно между любыми сетями, если раутинг внутри
  AG> каждой их них направляет пакеты предзначенные для другой на свой конец
  AG> тунеля. Подслучаем сети может быть один хост. gif - тоже самое как
  AG> ipsec tunnel mode, только без всякого "sec"-а -- ip пакет
  AG> заворачивается внутрь другого ip пакета.
 
 Кстати про туннели в Man ifconfig сказано единственно
 
 ===Cut===
 tunnel src_addr dest_addr
              (IP tunnel devices only.)  Configure the physical source and des-
              tination address for IP tunnel interfaces (gif(4)).  The argu-
              ments src_addr and dest_addr are interpreted as the outer
              source/destination for the encapsulating IPv4/IPv6 header.
 ===Cut===
 
 поэтому вот для меня как-то неочевидно, на чем же еще их делать. Естественно без
 них ничего работать не будет.
 Все примеры, что я видел- с gif. Подскажи какой-нить Url с примером без него ?
 
                                     Hа этом остаюсь искренне Ваш, Евгений.
 
 --- GoldED+/BSD 1.1.4.7
  * Origin:  ----> Default GoldED Origin <----  (2:5054/79.2)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Re: ipsec again   Andriy Gapon   20 May 2003 20:50:42   ipsec again   Eugene M. Zheganin   21 May 2003 10:07:08   Re: ipsec again   Konstantin Nikonenko   21 May 2003 09:30:22   ipsec again   Eugene M. Zheganin   21 May 2003 14:12:10   Re: ipsec again   Konstantin Nikonenko   21 May 2003 13:20:50   Re: ipsec again   Andriy Gapon   21 May 2003 21:18:14   ipsec again   Eugene M. Zheganin   22 May 2003 11:49:32