handbook/ipsec

From

Slawa Olhovchenkov (2:5030/500)

To

Sergey Mikhnenkov

Date

2005-06-02T12:30:20Z

Area

RU.UNIX.BSD

Hello Sergey!

01 Jun 05, Sergey Mikhnenkov writes to Slawa Olhovchenkov:

 SM> Если писать про проблемы, как с mtu, то можно еще описать как
 SM> скрещивать freebsd c более железными девайсами.

Нафиг. Это пускай сами железячнику волнуются -- там слишком много вариантов и грабель.

 SM> Например, я чисто экспериментально вышел на то, что transport+ipencap
 SM> = tunnel :-) Т.е. железки работающие в тунельном режиме прекрасно
 SM> понимают мою фрю в транспортном режиме.

Да, такой хак возможен, но я не уверен что про него хорошо писать и что он всегда будет работать.

 SM> файерволе ты открываешь отдельно esp и ipencap... Я ipencap не
 SM> открывал, только esp, и тем не менее вот такая конструкция работает:
 SM> spdadd a.b.c.d e.f.g.h ipencap -P out ipsec
 SM> esp/transport/a.b.c.d-e.f.g.h/require; Может я просто чего-то не знаю,
 SM> это повод проверить.

Ничего удивительного. После поднятия ipsec ipencap между тазиками уже не будет наблюдаться, да. Но вот стоит ли убирать правило -- не уверен, если в целях траблшутинга ipsec выключить, то останется gif туннель и при отстутствии правил его зарэжут.

 SM> Ну и не мешало бы рассказать про туннельный режим, про его плюсы и
 SM> минусы,

Про минусы я уже сказал, плюсов в случае FreeBSD мне не известно.

 SM> про гемор с файерволом и противоречие этого режима и антиспуфинговых
 SM> правил файервола...

Разверни мысль.

 SM> В общем есть что рассказать еще, если хочется сделать полноценную
 SM> доку, чтобы не надо было искать умные мысли по гуглам, для решения
 SM> проблем :-)

Насколько я понимаю, хэндбук -- дока для начинающих, а вовсе не серьезная литература для специалистов. Поэтому не надо в нее пихать слишком сложные вещи.

 SM> Могу подсобить со статьями которые могут помочь написать эту главу,
 SM> которые мне реально помогали настраивать. Из них можно дернуть идеи
 SM> про что писать...

Давай. Только еще указывай что именно из каждой статьи тебе кажется нужным для заимствования.

... Buing a Pentium II you can reboot faster
--- GoldED+/BSD 1.1.5
 * Origin:  (2:5030/500)
SEEN-BY: 46/50 50/203 400/814 450/186 247 1024 451/30 550/196 4635/4 4652/15
SEEN-BY: 5000/5000 5011/13 5015/10 5019/31 5020/52 154 175 400 545 549 715 758
SEEN-BY: 5020/830 937 1523 1604 1630 2020 2142 2238 2450 2590 4441 5021/29
SEEN-BY: 5022/128 5025/3 750 5027/16 5029/32 5030/49 115 473 500 556 966 1063
SEEN-BY: 5030/1900 5031/70 72 5035/38 5036/34 5042/13 5049/50 97 5054/1 4 8 9
SEEN-BY: 5054/28 35 36 37 63 66 67 70 75 81 84 85 5055/95 5061/120 5062/1 10
SEEN-BY: 5063/3 5067/2 5069/7 5070/1222 5079/23 5080/80 1003 5082/6 5083/21
SEEN-BY: 5085/13 5090/108 5095/20 5096/18 6000/12 254 6001/10

PATH: 5030/500 5020/4441 545 5054/1 37