handbook/ipsec

From

Sergey Mikhnenkov (2:5090/22)

To

Slawa Olhovchenkov (2:5054/37.63)

Date

2005-06-01T09:03:32Z

Area

RU.UNIX.BSD

Hello Slawa.

31 May 05 13:42, you wrote to me:

 SM>> В остальном нехватает инструкции по настройке racoon, если я
 SM>> правильно помню, т.е. эта инструкция дает некоторые понятия, но
 SM>> она недостаточна для настройки работающей системы.
 SO> Да? Надо будет попробовать по ней настроить. Я не трогал этот кусок.
 SO> Еще будет кусок про проблемы с mtu.
Скажем так... Я когда пробовал по подобной инструкции настроить - у меня ничего не получалось. С racoon я мучался долго, пока не нашел какую-то более развернутую инструкцию, которая объясняла что почем. По этому мне и показалось что там нехватает куска про сам racoon.
Если писать про проблемы, как с mtu, то можно еще описать как скрещивать freebsd c более железными девайсами. Например, я чисто экспериментально вышел на то, что transport+ipencap = tunnel :-) Т.е. железки работающие в тунельном режиме прекрасно понимают мою фрю в транспортном режиме. Я даже столкнулся с непониманием меня техсаппортом длинка в этом вопросе.
Далее... В файерволе ты открываешь отдельно esp и ipencap... Я ipencap не открывал, только esp, и тем не менее вот такая конструкция работает:
spdadd a.b.c.d e.f.g.h ipencap -P out ipsec esp/transport/a.b.c.d-e.f.g.h/require;
Может я просто чего-то не знаю, это повод проверить.
Ну и не мешало бы рассказать про туннельный режим, про его плюсы и минусы, про гемор с файерволом и противоречие этого режима и антиспуфинговых правил файервола...
В общем есть что рассказать еще, если хочется сделать полноценную доку, чтобы не надо было искать умные мысли по гуглам, для решения проблем :-)
Могу подсобить со статьями которые могут помочь написать эту главу, которые мне реально помогали настраивать. Из них можно дернуть идеи про что писать...
 SM>> Самое простое - добавить небольшой кусок про статические ключи и
 SM>> тогда будет полная картина, как настраивать систему, чтобы она
 SM>> работала именно в базовой поставке, из коробки. А racoon - это
 SM>> надстройка, это уже должен быть следующий шаг по повышению
 SM>> секурности, если это надо будет пользователю...
 SO> А от русских терминов не тошнит? Внутреннего протеста по поводу
 SO> отступлений в теорию не возникает? От корявости языка спотыкач не
 SO> наступает?

Я привычен ко всем терминам, теории даже маловато, язык вроде нормален.
Как наполнение будет закончено - можно будет докапываться до точек и запятых :-)

Sergey

--- И чего это я тебя так ненавижу ?
 * Origin: За что боролись, на то и напоролись ! (2:5090/22)
SEEN-BY: 46/50 400/520 814 450/1024 463/68 464/36 910 465/213 5000/0 1 20 26
SEEN-BY: 5000/27 61 94 104 116 170 363 5000 5004/75 1111 5005/14 5009/14
SEEN-BY: 5010/77 275 5011/13 5013/21 5015/10 5019/31 5020/545 715 4441 5021/29
SEEN-BY: 5025/3 5027/16 5029/34 5030/115 5035/38 5036/34 5054/1 4 8 9 28 35 36
SEEN-BY: 5054/37 63 66 67 70 75 81 84 85 5057/119 5062/10 5063/3 5069/7
SEEN-BY: 5080/1003 5085/13 5090/10 22 30 33 69 73 118 131 135 177 1029 5095/20
SEEN-BY: 5096/18 6000/254 6001/10

PATH: 5090/22 1029 5000/5000 5020/545 5054/1 37