handbook/ipsec
- From
- Sergey Mikhnenkov (2:5090/22)
- To
- Slawa Olhovchenkov
- Date
- 2005-06-02T17:23:08Z
- Area
- RU.UNIX.BSD
Hello Slawa.
02 Jun 05 12:30, you wrote to me:
SM>> Например, я чисто экспериментально вышел на то, что
SM>> transport+ipencap = tunnel :-) Т.е. железки работающие в
SM>> тунельном режиме прекрасно понимают мою фрю в транспортном
SM>> режиме.
SO> Да, такой хак возможен, но я не уверен что про него хорошо писать и
SO> что он всегда будет работать.
У меня все варианты заработали. Пробовал с dlink, planet и zyxell. В данный момент постоянно работает dlink и planet.
SM>> Ну и не мешало бы рассказать про туннельный режим, про его плюсы
SM>> и минусы,
SO> Про минусы я уже сказал, плюсов в случае FreeBSD мне не известно.
Меньше сущностей. Типа гифов. Может еще что...
SM>> про гемор с файерволом и противоречие этого режима и
SM>> антиспуфинговых правил файервола...
SO> Разверни мысль.
firewall_type="simple"
rc.firewall:
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
Если я правильно помню, эти правила не пропустят esp пакеты в тунельном режиме... Хотя могу ошибаться, у меня файервол сложнее, может не на них я спотыкался, разбираться детально тогда было некогда. Если не сложно - проверь, у меня стенда щас нет :-(
SM>> В общем есть что рассказать еще, если хочется сделать полноценную
SM>> доку, чтобы не надо было искать умные мысли по гуглам, для
SM>> решения проблем :-)
SO> Насколько я понимаю, хэндбук -- дока для начинающих, а вовсе не
SO> серьезная литература для специалистов. Поэтому не надо в нее пихать
SO> слишком сложные вещи.
Как минимум, еще туда надо добавить про отличие ipencap и any режимов шифрации трафика при статических ключах. Это точно надо.
Sergey
--- И чего это я тебя так ненавижу ?
* Origin: За что боролись, на то и напоролись ! (2:5090/22)
SEEN-BY: 46/50 400/520 814 450/1024 463/68 464/36 910 465/213 5000/0 1 20 26
SEEN-BY: 5000/27 61 94 104 116 170 363 5000 5004/75 1111 5005/14 5009/14
SEEN-BY: 5010/77 275 5011/13 5013/21 5015/10 5019/31 5020/545 715 4441 5021/29
SEEN-BY: 5025/3 5027/16 5029/34 5030/115 5035/38 5036/34 5054/1 4 8 9 28 35 36
SEEN-BY: 5054/37 63 66 67 70 75 81 84 85 5057/119 5062/10 5063/3 5069/7
SEEN-BY: 5080/1003 5085/13 5090/10 22 30 33 69 73 118 131 135 177 1029 5095/20
SEEN-BY: 5096/18 6000/254 6001/10
�PATH: 5090/22 1029 5000/5000 5020/545 5054/1 37