Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene M. Zheganin                   2:5054/79.2    17 Jul 2003  10:19:30
 To : Vadym Fedchuk
 Subject : тунель
 -------------------------------------------------------------------------------- 
 
 
  16 Jul 03 в 17:55, Vadym Fedchuk -=> Eugene M. Zheganin о "Re: тунель":
 
  [...]
 
  VF> насчет красиво я не уверен, так один файл в rc.d а так два в разных
  VF> местах но это дело вкуса
 
 В rc.d лежат стартапные скрипты. А у тебя эдакий конфиго-скрипт. Так что не
 идеологично.
 
  >> В твоем случае имеем ненужный оверхэд. Если не напрягает- забей.
  >> Hо вообще- можно обойтись одним IPSEC. Как раз для таких случаев Оккам
  >> придумал бритву.
  VF> каким образом можно обойтись одним IPSEC? напиши команды заменяющие
  VF> вышеуказаный тунель
 
 Hу типа. У тебя сначала есть gif, payload которого на пути между шлюзами
 шифруется поверх IPSEC ESP-transport (в принципе идея неплохая). Можно сделать
 так: два шлюза, между ними ESP-tunnel. То есть payload пакетов тоже шифруется.
 
 Выглядеть будет как:
 
 === Cut ===
 #!/bin/sh
 
 #
 #echo
 # Setting up keys
 setkey -c <<EOF
 flush;
 spdflush;
 spdadd 192.168.0.0/24 192.168.2.0/24 any -P out ipsec
 esp/tunnel/10.0.0.2-10.0.0.1/require;
 spdadd 192.168.2.0/24 192.168.0.0/24 any -P in  ipsec
 esp/tunnel/10.0.0.1-10.0.0.2/require;
 add 10.0.0.1 10.0.0.2 esp 0x10001 -m tunnel -E 3des-cbc
 "xxxxxxxxxxxxxxxxxxxxxxxx" -A hmac-md5 "yyyyyyyyyyyyyyyy";
 add 10.0.0.2 10.0.0.1 esp 0x10002 -m tunnel -E 3des-cbc
 "zzzzzzzzzzzzzzzzzzzzzzzz" -A hmac-md5 "ssssssssssssssss";
 EOF
 === Cut ===
 
 Можно также сделать AH-transport+ESP-tunnel чтобы уж совсем показать
 гипотетическим снифферам где раки зимуют (где-то предпоследняя степень паранойи,
 но у меня именно так) - см. ниже. Hадеюсь из скрипта понятно, что где куда. Для 
 использования с racoon просто выкидываешь все SA (add bla-bla-bla) и он их потом
 сам вставит исходя их разрещшенных алгоритмов криптования и прописанных SP.
 
 Сразу предупреждаю, что хосты в туннелируемых сетях друг друга будут видеть без 
 проблем, а вот чтоб шлюзы видели- нужно будет нарисовать какое-нить некрасивое
 микроизвращение типа
 
 route add <tunneled_network> <my_own_private_address>
 
 или
 
 route add <tunneled_network> <private_gate_IP_from_the_other_side>
 
 Можно так же попариться с введением дополнительных SA/SP для случая пакетов
 "белый IP рутера - серый адрес противоположной туннелируемой сети" но я так и не
 смог обрулить момент, когда один шлюз со своего серого адреса шлет пакет на
 серый адрес соседнего шлюза, а приходит ему ответ с белого адреса (так как все
 прет через маршрут по умолчанию)- плюнул и сделал вот как выше. Оба способа
 прописывания маршрута рабочие, несмотря на внешнюю бредовость.
 === Cut ===
 #!/bin/sh
 
 #
 #echo
 # Setting up keys
 setkey -c <<EOF
 flush;
 spdflush;
 spdadd 192.168.0.0/24 192.168.2.0/24 any -P out ipsec
 esp/tunnel/10.0.0.2-10.0.0.1/require ah/transport/10.0.0.2-10.0.0.1/require;
 spdadd 192.168.2.0/24 192.168.0.0/24 any -P in  ipsec
 esp/tunnel/10.0.0.1-10.0.0.2/require ah/transport/10.0.0.1-10.0.0.2/require;
 add 10.0.0.1 10.0.0.2 esp 0x10001 -m tunnel -E 3des-cbc
 "xxxxxxxxxxxxxxxxxxxxxxxx" -A hmac-md5 "yyyyyyyyyyyyyyyy";
 add 10.0.0.2 10.0.0.1 esp 0x10002 -m tunnel -E 3des-cbc
 "zzzzzzzzzzzzzzzzzzzzzzzz" -A hmac-md5 "ssssssssssssssss";
 add 10.0.0.1 10.0.0.2 ah 0x10003 -m transport -A keyed-md5 "TESTTESTTESTTEST";
 add 10.0.0.2 10.0.0.1 ah 0x10004 -m transport -A keyed-md5 "TESTTESTTESTTEST";
 EOF
 === Cut ===
 
                                     Hа этом остаюсь искренне Ваш, Евгений.
 
 --- GoldED+/BSD 1.1.4.7
  * Origin:  ----> Default GoldED Origin <----  (2:5054/79.2)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 тунель   Vadym Fedchuk   14 Jul 2003 17:45:49 
 тунель   Andrey Ostanovsky   14 Jul 2003 22:34:18 
 тунель   Alexandr Oskolkov   15 Jul 2003 11:21:29 
 Re: тунель   Vadym Fedchuk   15 Jul 2003 11:37:51 
 тунель   Eugene M. Zheganin   15 Jul 2003 15:43:10 
 Re: тунель   Vadym Fedchuk   15 Jul 2003 14:45:32 
 тунель   Eugene M. Zheganin   15 Jul 2003 17:58:36 
 тунель   Ivan Voytas   15 Jul 2003 16:03:43 
 тунель   Eugene M. Zheganin   16 Jul 2003 10:57:12 
 тунель   Alexandr Oskolkov   15 Jul 2003 18:39:21 
 Re: тунель   Andrej A. Shidenko   15 Jul 2003 17:33:12 
 тунель   Alexandr Oskolkov   15 Jul 2003 20:28:32 
 Re: тунель   Vadym Fedchuk   16 Jul 2003 09:25:33 
 тунель   Eugene M. Zheganin   16 Jul 2003 11:06:14 
 тунель   Alexandr Oskolkov   16 Jul 2003 13:35:56 
 тунель   Slawa Olhovchenkov   16 Jul 2003 11:29:18 
 тунель   Eugene M. Zheganin   16 Jul 2003 18:31:02 
 тунель   Slawa Olhovchenkov   16 Jul 2003 18:45:36 
 тунель   Ivan Voytas   16 Jul 2003 15:38:20 
 тунель   Slawa Olhovchenkov   16 Jul 2003 18:35:04 
 Re: тунель   Victor Sudakov   15 Jul 2003 17:18:26 
 тунель   Alexandr Oskolkov   15 Jul 2003 18:30:26 
 Re: тунель   Vadim Guchenko   15 Jul 2003 23:39:11 
 Re: тунель   Aleksandr Kuzminsky   16 Jul 2003 10:05:07 
 Re: тунель   Vadym Fedchuk   16 Jul 2003 11:53:13 
 тунель   Alexandr Oskolkov   16 Jul 2003 14:29:06 
 Re: тунель   Vadym Fedchuk   16 Jul 2003 18:03:27 
 тунель   Eugene M. Zheganin   16 Jul 2003 18:33:14 
 Re: тунель   Vadym Fedchuk   16 Jul 2003 17:55:48 
 тунель   Eugene M. Zheganin   17 Jul 2003 10:19:30 
 Re: тунель   Vadym Fedchuk   17 Jul 2003 10:26:34 
 тунель   Eugene M. Zheganin   17 Jul 2003 14:08:24 
 Re: тунель   Vadym Fedchuk   17 Jul 2003 16:28:15 
 тунель   Eugene M. Zheganin   18 Jul 2003 09:58:30 
 Re: тунель   Victor Sudakov   20 Jul 2003 23:47:34 
 тунель   Eugene M. Zheganin   21 Jul 2003 10:44:24 
 Re: тунель   Victor Sudakov   21 Jul 2003 15:38:45 
 тунель   Eugene M. Zheganin   21 Jul 2003 17:50:00 
 Re: тунель   Victor Sudakov   10 Aug 2003 20:13:29 
 тунель   Dennis Chikin   22 Jul 2003 00:30:19 
Архивное /ru.unix.bsd/28173f162778.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional